アカウント名:
パスワード:
職場で、他組織からメールで照会文書が来るときメールにワードとかの文書ファイルを添付してパスワードでロックして、パスワードは同じアドレスに別メールで送るというのがよく来るんだけど、無意味だよね。 パスワードって、どういう使い方するのか意味がわかってないよなぁ、と苦笑していたら、上手がいた。
職場で全社的に使っている某アンチウィルス大手なんだけど、ライセンス更新契約をしたら「パスワード送付メール」、その後「IDとダウンロードアドレス通知メール」を同じアドレス宛てに続けて送ってきたよ。 ユーザー登録した先に送ったという言い分があるにしても、そこって担当者個人宛のメールアドレスを登録させていたし、担当者なんて異動で変わるだろうに。 まあ、担当者が異動したときに、速やかに登録情報を変えない方も悪いと思うけど、お金が絡んでいるんだから、せめて契約更新時、今の担当者などのメールを登録させ直すとか必要だと思うんだよね。 まあ、セキュリティ対策を売り物にしている企業でも、こんな状態なんですね。
/* ちなみに、私はそこは使ってません。今までいろいろ致命的なトラブルを起こしているメーカーなので。 アンチウィルスはノートンかエフ・セキュアが安心できる。*/
同じアドレスという前提条件が間違いです。添付ファイルとパスワードを別メールで送るのは、メールの誤送信対策の一つです。ファイルが添付されているメールにパスワードが記述されていた場合は誤送信したときに取り返しがつきませんが、パスワードを別メールで送信する場合は間違ったアドレスにファイルを送ってしまった場合でもパスワードのメールを送る前に誤送信に気がつく可能性がありますし、パスワードのメールを正しいアドレスのみに送信していればファイルを開くことは難しいです。
別メールでパスワードを送る場合、第一段階で暗号化した本文を送った後、受信者に電話などでメールが着いたか確認するステップが必要ですね。 「ついたら返信してね」では、本人確認ができないのでだめです。 また、本人確認できたらメールのアドレスはコピペするなり、アドレス帳から取り込むなりして、同一アドレスであることを確実にする必要がありますね。
ただ、本当に重要な内容であるなら、事前にパスワードをメール以外の手段で取り交わしておくなどの対策が必要です。 今回のセキュリティソフト・メーカーの場合、郵送で送るべきだと思います。 日本郵便の場合、宛先の確認はかなり慎重に行ってくれるので、今回の事案程度なら封書で十分な安全性が確保できると思います(簡易書留とか使えばベストでしょう)。
回数を増やせば誤送信対策になるなら、一文字ずつ別に送るといいよ
もしかして揶揄しているつもりなのでしょうか。セキュリティは利便性と安全性のバランスを取る必要があり一文字ずつ送るのは得られる安全性に対して利便性を損ないすぎるというのはちょっと考えればわかると思うのですが。
「回数を増やせば誤送信対策になるなら」と批判するなら、回数を増やしても誤送信対策にはならないとお考えなのですね?それではその根拠を理論的に説明してください。送信した直後に誤送信に気がつくというのはままあることであり、誤送信対策として一定時間メールを送信しないというソリューションが登場したほどには時間をおくというのは誤送信対策としては有効です。反論するならば時間をおくという対策が「まったく」役に立たないぐらいまでには証明していただかないと得られる安全性に対して損なう利便性は低いと思います。
#以前読んだ小説でタイトル一文字のメールを送信して#時間通りに並べるとメッセージになるというのがありました。
ぶっちゃけエクスキューズだと思ってます。静的ファイルのパスワードロックてのがそもそも、大量のリソースを注げば解析可能なものだし、将来的に効率的なクラック方法が編み出される可能性もあるので、いつか解析される可能性が充分有り得る秘匿データです。そもそもその程度のものなので、例えばメールから分離したファイルが簡単に使われないようにといった、まあ完全な秘匿性は無いけどある程度慎重に扱うデータということにしておきましょうよという意識合わせとしての扱いなのだと思ってます。
文書ファイルは別途保存されうるが、その保存された文書の漏洩時の対策になってるので全く無意味ではない。
>パスワードって、どういう使い方するのか意味がわかってないよなぁそういう人多いですよね。
後半は>担当者なんて異動で変わるだろうにという組織であるならば>担当者が異動したときに、速やかに登録情報を変えない方も悪いこれに尽きるというか変えない方「が」悪い。
職場で全社的に使っている某アンチウィルス大手なんだけど、ライセンス更新契約をしたら「パスワード送付メール」、その後「IDとダウンロードアドレス通知メール」を同じアドレス宛てに続けて送ってきたよ。
この場合パスワードが漏洩したとしても、不正にダウンロードされるだけで、損害は某アンチウィルス会社側だけだし、額も知れたもの。他の安全な方法を取る場合に必要な手間とを考えて、リスクを取っても許容できる範囲と考えただけでしょう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
人生の大半の問題はスルー力で解決する -- スルー力研究専門家
「パスワードは後ほどメールします」 (スコア:3, 興味深い)
職場で、他組織からメールで照会文書が来るときメールにワードとかの文書ファイルを添付してパスワードでロックして、パスワードは同じアドレスに別メールで送るというのがよく来るんだけど、無意味だよね。
パスワードって、どういう使い方するのか意味がわかってないよなぁ、と苦笑していたら、上手がいた。
職場で全社的に使っている某アンチウィルス大手なんだけど、ライセンス更新契約をしたら「パスワード送付メール」、その後「IDとダウンロードアドレス通知メール」を同じアドレス宛てに続けて送ってきたよ。
ユーザー登録した先に送ったという言い分があるにしても、そこって担当者個人宛のメールアドレスを登録させていたし、担当者なんて異動で変わるだろうに。
まあ、担当者が異動したときに、速やかに登録情報を変えない方も悪いと思うけど、お金が絡んでいるんだから、せめて契約更新時、今の担当者などのメールを登録させ直すとか必要だと思うんだよね。
まあ、セキュリティ対策を売り物にしている企業でも、こんな状態なんですね。
/*
ちなみに、私はそこは使ってません。今までいろいろ致命的なトラブルを起こしているメーカーなので。
アンチウィルスはノートンかエフ・セキュアが安心できる。
*/
Re: (スコア:0)
同じアドレスという前提条件が間違いです。
添付ファイルとパスワードを別メールで送るのは、メールの誤送信対策の一つです。
ファイルが添付されているメールにパスワードが記述されていた場合は誤送信したときに取り返しがつきませんが、
パスワードを別メールで送信する場合は間違ったアドレスにファイルを送ってしまった場合でも
パスワードのメールを送る前に誤送信に気がつく可能性がありますし、
パスワードのメールを正しいアドレスのみに送信していればファイルを開くことは難しいです。
本人確認の手順が必要 (スコア:1)
別メールでパスワードを送る場合、第一段階で暗号化した本文を送った後、受信者に電話などでメールが着いたか確認するステップが必要ですね。
「ついたら返信してね」では、本人確認ができないのでだめです。
また、本人確認できたらメールのアドレスはコピペするなり、アドレス帳から取り込むなりして、同一アドレスであることを確実にする必要がありますね。
ただ、本当に重要な内容であるなら、事前にパスワードをメール以外の手段で取り交わしておくなどの対策が必要です。
今回のセキュリティソフト・メーカーの場合、郵送で送るべきだと思います。
日本郵便の場合、宛先の確認はかなり慎重に行ってくれるので、今回の事案程度なら封書で十分な安全性が確保できると思います(簡易書留とか使えばベストでしょう)。
Re: (スコア:0)
回数を増やせば誤送信対策になるなら、一文字ずつ別に送るといいよ
Re: (スコア:0)
もしかして揶揄しているつもりなのでしょうか。
セキュリティは利便性と安全性のバランスを取る必要があり
一文字ずつ送るのは得られる安全性に対して利便性を損ないすぎるというのは
ちょっと考えればわかると思うのですが。
「回数を増やせば誤送信対策になるなら」と批判するなら、
回数を増やしても誤送信対策にはならないとお考えなのですね?
それではその根拠を理論的に説明してください。
送信した直後に誤送信に気がつくというのはままあることであり、
誤送信対策として一定時間メールを送信しないというソリューションが登場したほどには
時間をおくというのは誤送信対策としては有効です。
反論するならば時間をおくという対策が「まったく」役に立たないぐらいまでには証明していただかないと
得られる安全性に対して損なう利便性は低いと思います。
#以前読んだ小説でタイトル一文字のメールを送信して
#時間通りに並べるとメッセージになるというのがありました。
Re: (スコア:0)
ぶっちゃけエクスキューズだと思ってます。
静的ファイルのパスワードロックてのがそもそも、大量のリソースを注げば解析可能なものだし、
将来的に効率的なクラック方法が編み出される可能性もあるので、
いつか解析される可能性が充分有り得る秘匿データです。
そもそもその程度のものなので、例えばメールから分離したファイルが簡単に使われないように
といった、まあ完全な秘匿性は無いけどある程度慎重に扱うデータということに
しておきましょうよという意識合わせとしての扱いなのだと思ってます。
想像力が足りないと思う (スコア:0)
文書ファイルは別途保存されうるが、その保存された文書の漏洩時の対策になってるので全く無意味ではない。
>パスワードって、どういう使い方するのか意味がわかってないよなぁ
そういう人多いですよね。
後半は
>担当者なんて異動で変わるだろうに
という組織であるならば
>担当者が異動したときに、速やかに登録情報を変えない方も悪い
これに尽きるというか変えない方「が」悪い。
Re: (スコア:0)
職場で全社的に使っている某アンチウィルス大手なんだけど、ライセンス更新契約をしたら「パスワード送付メール」、その後「IDとダウンロードアドレス通知メール」を同じアドレス宛てに続けて送ってきたよ。
この場合パスワードが漏洩したとしても、不正にダウンロードされるだけで、損害は某アンチウィルス会社側だけだし、額も知れたもの。他の安全な方法を取る場合に必要な手間とを考えて、リスクを取っても許容できる範囲と考えただけでしょう。