「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」に言いたいこと - 病みつきエンジニアブログ

(2015/8/29追記) 最初に代案だけ書いておくと、(メールで送る程度の秘匿性のものは)「Proself」みたいな別プロトコルを使う、です。 メールパスワードでは、パスワードに規約をつけることもできません。 また、この話は企業等においてのルール化の話です。 ファイルをZIPで暗号化し、まずZIPをメールで送り、しばらくして別メールで8文字程度の乱数パスワードを送るという謎のプロトコルが日本企業で流行っているが、ZIPのパスワードは総当たりでかなり高速に解析できるし、そもそもパスワードをメールで送っているので効果が疑問。— Daiyuu Nobori (@dnobori) June 17, 2013 もう何年前のネタなんだろうという感じでもあるのですが、2015年現在もこの慣習はなくなっていないように感じます。 実際社会人になってからも、残念なことに一度言われたことがありますし(受け売り

[yamitzky]

代案を記事に書いたので、ご参照ください！　別プロトコルで、パスワードに規約かけられるツール使いましょう

[zonia]

エクスキューズだよね、セキュリティ考慮して無いわけじゃないですよっていう。代替案については、より万人に理解しやすくて、特別なツールを使うことなく、利便性を損なわない方法が求められているのである(錯乱)

[haruten]

某社ではセキュリティという理由でなく、マナーだと言い始めている点で頭痛い

[napsucks]

事前に共有パスワードを顧客とネゴしておけば誤送信に対してだいぶ安全だよ。

[dadabreton]

指摘しても面倒だからほっといてることのひとつ。大した効果が無いのに続いてるという意味で似たようなビジネス上の風習はいっぱいある。

[itotto]

そうそう。「何もしていないよりはマシ」レベルだってことを認識して使っている分にはいいと思うんだけど、得てしてこれを使う人はこれが安全な方法だと思っていたりするので困る。

[renos]

パスワードなしZIP送ると勝手にランダムパスワード生成して圧縮し直すといううちのメールシステム神です(憤怒

[UhoNiceGuy]

しょぼい鍵でもかけてれば法的には抗弁できる/PGP等暗号化メールについてあまり言及がないのはいろいろな意味であきらめているからなのか。絶望しているからなのか。

[TamotsU]

意味ないの分かってるが、暗黙ルールに乗らざるを得無い。この方式で大事故が起きればみんなやらなくなるんだがなあ。

[tomymot]

では何で流行ったんだろう？ちなみに海外とやり取りしていてもこの慣習によく出会います。

[aike]

この件よく批判されるけど、2通にわけることで誤送信確率を1%×1%に下げられると信じる人にも理解できる、手軽で直感的な代案はまだない感じがする。

[tettekete37564]

まあ公開鍵暗号方式が使えれば一番いいんだけどね。現状、右手でドアを締めて左手で鍵を閉めましょう、ぐらいの意味しかない。

[hironei]

昔からなんだけどお客様に言われるから仕方ない面もある

[ewiad420]

「じゃあ、どうするの？」セキュアで簡単で特別なサービスに依存しないソリューションがあれば、導入しやすいんだけどな…。それができないうちは、残念ながら続いてしまう気がする。

[shodai]

言い訳って世の中では重要だしな。セキュリティはキリがないから特に。

[qtamaki]

安全でないのは百も承知だろ。大事な書類を風呂敷に包むようなもの

[Rion778]

運用方法を定めずに「個人情報を含むファイルにはパスワードを設定すること」という取り決めだけが明文化されている例はいくつか見た。そこにパソコン詳しくない人が放り込まれると謎文化が発達するのは必然。

[yhira0202]

ただただ、面倒くさい運用。

[n_231]

大抵の誤送信は送った次の瞬間に気付くので、分割に意味が無いわけでもない。

[crazy_hitman]

知らんかった！慣習って怖いなー。

[agano]

誤送信対策なのだろうが、うちのシステムは自動で添付ファイルをZip暗号化し、続けてパスワードを同じアドレスに送るという手間を省いた画期的なものでしてね。何のための暗号化なのか・・

[sds-page]

「OSの標準機能としてセキュアな文字列送信プロトコルが搭載」的な事にならないとなかなか

[tailriver]

Proself にパスワード認証つけて平文メールで URL 送ってる。パスワードは一ヶ月前とかに送った Proself の URL の一部。ダウンロード状況は監視できるし、多少誤送信しても問題ない。

[tamtam3]

守りたい…メールの添付ファイルにパスワード、別メールでパスワード送付…昔懐かし「江戸しぐさ」

[h1romi]

客先がこれ使ってて転送メールのhtml メールの画像とかも暗号化されて送られて来たりしてかなりめんどくさい。

[kazukan]

何にパス付けて何に付けないってルールがさらに曖昧だったりするのが問題を複雑化させているうちの会社。マストは解ってもベターに手間かけるのは無駄なのでは

[gikazigo]

「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」に言いたいこと - 病みつきエンジニアブログ あれは儀式だから、あれで安全になるとは誰も思っていないのでは。まともにやるなら、S/MIMEで暗

[yzx]

そもそも既知のファイルが一つでも含まれていたらアウトなZIPの暗号化は使わないほうがよい。

[teramako]

月一で来月使用するパスワード数種類をパスワードを掛けて関係者に送る。後は「パターン青です！」とか言うだけつてのはやってた。

[nobiox]

パスワードなんか一瞬で解読されるから無意味、というのは、鍵なんか簡単にピッキングされるから施錠は無意味、というようなもの。無意味な訳がない。

[kura-2]

ほんと謎プロトコル

[nakamura2ro]

「メールの添付ファイルにパスワードかけて、別メールでパスワードを送る」という方式に対して、まずは「あまり安全ではない」

[sakidatsumono]

英文字だけなら10桁パスワードを16日で解読。

[iww]

『例えば、メールを誤送信する確率が、仮に1％だとします。』 2通誤送信する確率は0.01%になる。 『数文字程度の英数字とか、辞書に含まれる単語とかを使ってしまうと一瞬で解読されます』 長い文字列なら、割と大丈夫

[rikuzai]

割と行政で出会う。行方不明高齢者情報とか。つか、行政は未だにFDでデータ提出とか普通。

[htnmiki]

別プロトコル法が大企業で機能してるケースってあるのかな？

[hiroqli]

社内の偉い人が、それでリスク回避できてるとリスクを受容してるんだから、それでいいじゃないか。めんどくさい。 という感じ（超サラリーマン思考）