¿Es Skype lo suficientemente seguro como para transmitir contraseñas?

Preguntas que me haría antes de usar skype para enviar información confidencial:

1. ¿El cifrado es realmente un usuario final para el usuario final o los datos solo se cifran entre el usuario y Skype (lo que potencialmente otorga acceso a Skype)?
2. ¿Cómo se administran los registros de IM? ¿Puede estar seguro de que ha "eliminado" la contraseña del registro?
3. Incluso si los registros no se almacenan en el disco directamente compre Skype, ¿la memoria que usa Skype para esto no se puede paginar? es decir, ¿podría colocarse la contraseña en un archivo de página sin que usted lo sepa y, por lo tanto, ser recuperable para los usuarios locales?

Antes de satisfacer estas preguntas, mi propia respuesta debería ser no.

"Una contraseña" no es suficiente información para determinar cómo se debe proteger. ¿A qué recursos otorga acceso la contraseña y a qué nivel de acceso?

Skype utiliza un cifrado razonablemente sólido en la comunicación de voz, pensamos. Es de código cerrado, por lo que sabemos que proviene de la documentación y inversión de protocolo . No puede mirar su código fuente para asegurarse de que no lo están, por ejemplo, usando una implementación AES defectuosa que pierde datos clave.

Incluso si el protocolo es completamente seguro, aún es operado por Skype Limited, una compañía con sede en Luxemburgo y propiedad de Silver Lake Investments, una firma de inversiones en tecnología con sede en Menlo Park.

Entonces, para volver al principio, ¿qué estás tratando de proteger? Si se trata de los códigos de lanzamiento nuclear, más de $ 10k en datos financieros, o secretos de estado de Luxemburgo, no use Skype. Si se trata de una cuenta de usuario en un dominio que no interesaría a una empresa de inversión de capital, un pequeño país europeo o un sindicato del crimen con los recursos para rastrear el tráfico principal de Internet, Skype probablemente esté bien.

Skype envía información entre nodos clientes de terceros con un protocolo cerrado. No otorga ninguna garantía sobre la seguridad de su conexión. Le sugeriría usar algo como OTR sobre su medio de mensajería instantánea.

Más allá de eso, se aplica la regla habitual: "¿existe el riesgo suficiente para justificar una preocupación?". Tal vez simplemente no vale la pena tratarlo en tu caso.

La otra pregunta es si realmente necesita enviar una contraseña (es decir, un secreto compartido) directamente, o si tendría más sentido establecer un canal encriptado utilizando un método que no requiera un canal seguro.

Por ejemplo, si puede obtener una confirmación positiva de que está hablando con la persona adecuada (p. ej., reconociendo su voz en el teléfono), hacer que generen un par de llaves asimétricas y leer la huella digital de la tecla sería una ruta de confianza suficiente para iniciar una comunicación cifrada después, mientras que un intruso no obtendría nada.

Parece que llego un poco tarde, pero solo quiero compartir mi opinión.

Nada es lo suficientemente seguro como para transferir contraseñas.

Las contraseñas como concepto se deben memorizar solamente. Almacenar / transmitir / decirle a alguien una contraseña al instante reduce la seguridad de lo que está protegiendo.

En general, no debería tener que darle a nadie una contraseña, él debería crear una cuenta para sí mismo o usted debería crear una cuenta para él.