こんにちは。
土曜日の朝に、シャワーを浴びていたら、今更ながら「パスワードがメールで送られてくるのって意味あるのか?」と気になってしまい、夜しか寝られなくなってしまうので徹底調査してみました。
一応、サイバーセキュリティについては、情報処理安全確保支援士を取得する(現在は失効)くらいには勉強したつもりなのですが、イマイチ意味がわかりませんでした。
そこで、こちらの記事では、セキュリティ向上の一環として、パスワードを2通のメールに分けて送信する方法は本当に効果があるのか?について検証します。
パスワード別送=「PPAP』
そもそも、このパスワード別送はPPAPという命名があるそうです(笑)
知らんがな(笑)
- P:パスワード(Password)付きzip暗号化ファイルを送付
- P:パスワード(Password)を送付
- A:暗号化(Angoka)
- P:プロトコル(Protocol=手順)
パスワード別送の目的
-
漏洩リスクの分散
一通のメールが漏洩した場合でも、もう一通が漏洩しなければ完全なパスワードは攻撃者に渡らない -
攻撃のハードルを上げる
攻撃者が二つのメールを同時に入手する必要があるため、情報を守るハードルが高くなる
(ふるさと)なるほど。確かに、多少の意義はありそうですな。でも、そもそもメールが漏洩するパターンは何があるんだ?
メールが漏洩するケース
-
メールアカウント自体が乗っ取られている場合
パスワードの漏洩や、何かしらの攻撃によって、メールアカウント自体を乗っ取られた場合、パスワードを別送したとしても意味がありません。 -
中間者攻撃(Man-in-the-Middle Attack)にあった場合
中間者攻撃により、メールの中身が漏洩した場合でも、1通目と2通目を両方とも傍受すればいいので、パスワードを別送する意味はないような気がします。ただし、1通目と2通目の時間を3hくらい開けて送付すれば、多少の効果はある気もします。 -
メールサーバーを乗っ取られる場合
全メールが傍受されてしまうわけですから、パスワードの別送には意味がありません。
(ふるさと)やっぱ意味ないやん。
2要素認証
メールを別送することで、いわゆるワンタイムパスワード(2要素認証)的な効果があるような気がしますが、それはありえません。ちなみに、2段階認証的な意味合いはありそうな気がしますが、よくわかりません。
- メールでファイルを送って、パスワードをLINEで送る
- メールでファイルを送って、パスワードはSMSで送る
- パスワードは、そもそも相手方と共通の何かを事前に話しておく
等のようなパターンなら意味はあります。
メールでファイルを送って、30秒しか使えないパスワードをメールで送るなら、まだ一定の効果はありそうです。
5. まとめ
では、最後に私の意見で終わりにします。
(ふるさと)意味ない!!!!めんどくさいが勝つ(笑)
異論は認めますので、有識者の方はコメントお待ちしております。