チャットログや電子メールに機密情報を含めないでください


理想的には、ユーザー名とパスワードを次のような安全なパスワード管理ツールに保存します。ラストパスただし、パスワードやその他の機密情報を友人や同僚と共有する必要がある場合もあります。問題: IM や電子メールでこれを行うと、機密データの安全性が非常に低くなり、簡単に見つけられてしまいます。では、必要なときに共有しながら、チャット ログや電子メールに機密データが含まれないようにするにはどうすればよいでしょうか?

オプション 1: 懐かしいラストパス

すでに使用している場合ラストパス、無料サービスを使用すると、安全なメモとログインを作成して他の LastPass ユーザーと共有し、すべてを常に暗号化した状態に保つことができます。 (ちなみに、私は LastPass プレミアムの加入者であり、月額 1 ドルでモバイル アプリにアクセスできます。) LastPass の共有機能を使用すると、「ログイン情報を友人と安全に共有し、友人にログイン情報を共有させることができます。機密性の高いログイン認証情報を電子メールで送信することはもう心配ありません。」それがまさにここでの私たちの目標です。 LastPass 経由で何かを共有するには、LastPass Vault を開くだけです (LastPass 拡張機能を使用している場合は、[LastPass] ボタンをクリックし、[My LastPass Vault] をクリックします。そこから、共有するログインを見つけて、[共有] リンクをクリックし、共有したい相手のメールアドレスを入力します(実際には最大50人まで共有できます)。

オプション 2: さまざまな通信方法に分散する

コンテキストのないパスワードだけでは、それほど危険ではありません。場合によっては、機密データの共有をさまざまな通信方法に分割するだけで、十分な効果が得られる場合があります。たとえば、他のコンテキストなしで SMS としてパスワードを送信して、友人にパスワードを共有してもらいました。私はそれが何を意味し、どこで使用するかを知っていましたが、理論的には他の誰も知りませんでした。

これは軽量の 2 要素認証のようなものです。おそらく、IM でユーザー名を送信し、電子メールで URL を送信し、SMS でパスワードを送信するでしょう。スヌープがすべてをまとめるには、3 つのバケットすべてにアクセスする必要があります。 (完全に安全だというわけではありませんが、すべてを IM ログに保存するよりもはるかに安全です。たとえば、Google Talk/Gchat でデスクトップ IM クライアントを使用している場合、それらのチャットはハードドライブにログが記録されている可能性がありますそしてGoogle のサーバー上にあります。)

オプション 3: 自己破壊的なメッセージ

単一目的の Web アプリワンタイムシークレットの目標は 1 つあり、チャット ログや電子メール アカウントに痕跡を残さずに機密情報を共有する場所を提供することです。

オンラインでは「自己破壊的」メッセージ サービスがたくさん見つかります。ワン タイム シークレットは本質的にはこれに該当しますが、自己破壊的メッセージに焦点を当てていないというアイデアが気に入っています。スクリーンショットを撮ることで誰でも破壊を阻止できるのです。ただし、あなたと秘密を共有している相手が両方とも次の点について同じ認識を持っていると仮定します。なぜこのサービスを使用していると、基本的な考え方はかなりしっかりしているようです。 IM や電子メールでユーザー名とパスワードを送信するのは、いつも少し気が引けます。特に、誰かがコンピューターを盗んだ場合でも、これらの情報にアクセスするのはそれほど難しくなく、多くの場合、誰かが最初に見る場所になるからです。基本的にこのサービスでは、会話の機密部分をすぐに期限切れになる場所に抽出します。ユーザー/パスを共有する場合は、それらが役立つサイトを含める必要はありません。たとえば、コンテキストがなければまったく役に立たない機密部分だけを含める必要があります。あるいは、さらに一歩進んでユーザーを分離し、期限切れの 2 つの異なるシークレットに渡すこともできます。シークレットをパスワードで保護して、シークレットを共有する相手にシークレット URL とパスフレーズの両方が必要になるようにすることもできます。

もちろん、いくつかの引っかかる点もあります。現時点ではこのサイトにはプライバシーポリシーはないが、このサービスは文字通りいかなる秘密も複数回提供できないように設定されていると主張している。上で述べたように、私の提案は、脈絡なしで秘密を共有することです。たとえば、ユーザー名や URL のないパスワードはハッカーにとってあまり役に立ちません。

痕跡をあまり残さずに機密データを共有するにはどうすればよいでしょうか?

いくつかのオプションを説明しましたが、秘密を共有する方法は他にもたくさんありますが、ここでは触れませんでした。電話でやりますか?本人のみ?機密情報をどのように共有しているか聞いてみましょうIM よりも安全コメントで。


この投稿の著者である Adam Pash に問い合わせることができます。ツイッターGoogle+、 そしてフェイスブック