安全じゃない「PDFを安全に保護できるパスワードの付け方と伝え方」

PDFを安全に保護できるパスワードの付け方と伝え方」に、安全じゃない記述もちらほらあって気になったので補足しておく。

Acrobatのセキュリティ機能

「文書を開くときにパスワードが必要」の設定にした場合には、技術的にもパスワードが分からない限り閲覧出来ない。したがって、安全である。

「文書の印刷および編集を制限。これらの権限設定を変更するにはパスワードが必要」については、技術的にはパスワードがなくても印刷や編集が可能。したがって、安全ではない。実際に。この設定を無視して印刷や編集を行えるツールは実在するし、ちょっとプログラミングの経験があれば容易に迂回できる。

パスワードの伝え方

「可能であれば、ビジネスチャットやグループウェアなど、メール以外の手段で伝えられると安心だ。」・・・いや、それ安心できないから。攻撃者がメールを閲覧出来る状態ならば、ビジネスチャットやグループウェアのパスワードを再発行して設定出来る可能性が高く、パスワードは筒抜けになる。パソコン本体ごと流出したのであれば、キャッシュからパスワードを得られる可能性も高い。IPAの例では電話という全く別の通信インフラ(添付ファイルの送信経路と被っていない)を使って送るというのが重要なのです)。
コレが中々にやっかいで、おすすめの方法はありません。電話では周りの人に聞こえてしまいますし、ランダムな文字列を伝えるのは困難です。SMSは数年前に脆弱性が指摘されてから、非推奨の方法になっています。直接会って打ち合わせしたときに定めるのが現実解でしょうか。

「電話で最後の1文字だけを伝える」のは、完全に論外です。最後の1文字だけ総当たりすれば良いと知られた時点で、1文字のパスワードを設定しているのと変わらない。普段から「電話で最後の1文字だけを伝える」事を習慣化していた場合には、周りの人もそのことを知っているので容易に推測できてしまいます。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です