WhatsAppまたはFacebook Messengerの秘密の会話は、パスワードを転送するための合理的な方法ですか？

Question

私の家族にはNetflixアカウントがあります。つまり、パスワードを持っています。

これは、記号、数字、大文字を含む16文字の安全なパスワードです（例：3?TeJ)6RK]4Z_a>c、約80ビットのエントロピー。

ただし、このパスワードを家族の他のメンバーと共有する必要があるので、彼らもログインできます。 WhatsAppまたはFacebook Messengerの秘密の会話を使用することは、これに受け入れられる方法ですか？

より良い方法はありますか？

David · Accepted Answer

Facebookメッセンジャー（秘密の会話を使用）とWhatsAppはどちらもエンドツーエンドの暗号化を実装しています。つまり、メッセージを送信すると、テキストはコンピューター上で暗号化され、宛先コンピューター上で復号化されます。メッセージのテキストは、暗号化を破らない限り、その間は誰にも表示されません。暗号化は解読されますが、実際には起こりません（国家安全保障調査の対象である場合を除きます）。この場合、大きな問題が発生します。 NetflixパスワードをNSAのワンクと共有するよりも）。

ただし、エンドツーエンドの暗号化は通信チャネル自体のみを保護することに注意してください。次のような脅威からは保護されません。

マシンまたは宛先マシンにインストールされているキーロガーやスクリーングラバーなどのマルウェア
あなたの許可なしにパスワードを再共有または変更することを決定した友人/家族
Netflixはこれらを監視しており、アカウントが複数の地理的な場所で使用されているため、おそらく利用規約に反して共有されていることがわかります。 Netflixは家族間で複数のストリームを許可する計画を持っているので、パスワードが何らかの形で広く共有されない限り、これ自体は実用的な問題ではありません。
法執行機関、偶然に発生した場合パスワードの共有を犯罪と見なしている地域に住んでいます
コメントでダニエルが指摘したように、Facebook（Facebook MessengerとWhatsAppの両方を所有）は誤って弱いセキュリティを提供したり、ユーザーのセキュリティを侵害することに加担したりする可能性があります（たとえば、法執行機関の調査を支援するため）。プロプライエタリアプリケーション（オープンソースではない）であるため、これらのソフトウェアは外部のセキュリティ研究者によって吟味されていないため、Facebookの実装が不十分であるか、ソースデバイスまたは宛先デバイスでデータをコピー/検査している可能性があります。さらに、これらのアプリケーションはエンドツーエンドの暗号化を実装するために使用される暗号化キーを作成および制御するので、Facebook（または法執行機関など）が望む場合はFacebookが暗号化を解除できると想定する必要があります。
コメントのGert van den Bergによるもう1つの優れた点：一部のメッセージングアプリは自動的にクラウドにバックアップします。クラウドストレージに関するセキュリティは、通信チャネルで使用されるエンドツーエンドの暗号化ほど強力ではありません。たとえば、クラウドがデータのプライバシーに対する脅威をどのように表すかについての詳細は、Fappening攻撃を参照してください。（削除されたと思われるデータでも！）

ISMSDEV · Answer

「許容可能」は、許容したいリスクのレベルに関連しています。

個人的には、WhatsAppがこれに適していると思います。エンドツーエンドの暗号化が適切であるため。しかし、FacebookはNetflixのパスワードであり、銀行ではないという理由だけで問題ないと思います。

私が言うように。それはあなたとあなたのリスク選好にかかっています。個人的には、WhatsAppを家族と一緒に使用するだけで満足できません。

SecretSasquatch · Answer

Netflixパスワードの場合、FB MessengerまたはWhatsAppを介してパスワードを渡すことで十分に安全になります。転送中のデータは、最新の暗号化テクノロジーを使用して暗号化されます。ただし、パスワードは受信者と受信者の両方の受信ボックス内にプレーンテキストで表示されることに注意してください。これは、受信者のMessenger/WhatsAppアカウント（または自分のアカウント）が侵害された場合にリスクをもたらす可能性があります。

仮に、国家安全保障などに関連する機密情報を含むメッセージを送信する場合は、この機密データをこれらのタイプのメッセージングプラットフォームに送信しないことをお勧めします。実際には、これらのメッセージングサービスからチャットログを取得する能力があるmayが持つ「力」は、彼らが求めていた情報が非常に価値がある場合にのみそうします。

Conor Mancone · Answer

主に反対の試みとして、パスワードがパスワードセキュリティの最も弱い点であることはめったにないことを指摘します。実際、tooパスワードの安全性は、実際には安全性を低下させる可能性があります。人々はしばしば最も弱い点であり、ここで特に当てはまる事実です。非常に安全な（つまり、覚えにくい）パスワードを作成しました。パスワードマネージャーにパスワードを保存するので、これで問題はありません。あなたの家族はそれをしますか？彼らが自分でそれを覚えることができないので、彼らがそれを必要なときに非常にアクセスしやすい場所にあなたのメッセージを残す確率はどのくらいですか？次に、その家族のメンバーがそのメッセージをコピーして貼り付け、安全でないチャネルを介して自分宛てに電子メールで送信し、忘れないようにしますか？

安全なおよび覚えやすいパスワードは、安全ですが覚えることができないパスワードよりも安全です。後者の場所には誰かが保存するためです。彼らはそれを記憶する意図がまったくないので、それは安全ではない方法でそれを。したがって、本当に最高のセキュリティを保証したいのであれば、簡単に記憶できるパスワードを考え出す必要があると思います。次に、それらを呼び出して、それが何であるかを伝えます。

XKCD：常にリンクに値する： https://xkcd.com/936/

Sas3 · Answer

脅威モデルに国家を対象とした監視や法執行機関の令状が含まれていないほとんどの通常の人々にとっては、はい-WhatsAppのエンドツーエンドの暗号化で十分です。

他にも、完全を期すために繰り返す2つの状況を指摘しています。

サービスプロバイダー（この場合はFaceBook/WhatsApp）は、特定の状況下でデバイスから直接平文（復号化されたパスワード）を抽出できます。
エンドポイント（電話/ラップトップ）上のキーロガーやその他のマルウェア自体がプレーンテキストに直接アクセスする可能性があります。

この状況に直面したときに使用する手法の1つは、コンテキスト自体を難読化して、敵の難易度を上げることです。つまり、パスワードを送信しますが、同じチャネルでそれが何のためにあるかについては言及しないでください。別のチャネルでコンテキストに言及します。例えば。、

チャネル1：SMS /音声通話：「NetFlixパスワードを記載した別のメッセージをすぐに送信します。」.

チャネル2：WhatsApp msg： "これが先ほど話した内容です：3?TeJ)6RK]4Z_a>c "

Rob Gwynn-Jones · Answer

特にNetflixのパスワードは世界で最も価値のある資産ではないかもしれないと指摘する人もいますが、私は個人的には可能な限りベストプラクティスを実行することを好みます。

私の妻と私は両方ともKeePassを使用しており、私たち2人が必要とするパスワード（Netflixを含む）については、彼女のKeePass DBに手動でパスワードを入力する1回限りのプロセスを行いました。変更する必要がある場合は、手動でも変更できます。

これはやりすぎですか？多分。私は質問して対抗します-なぜですか？それは本当にそれほど不便ではありません、そしてそれは付箋や電子メールを介してパスワードを共有しないという習慣のすべての人を取得します。さらに、NSA Facebookがメッセージを解読して秘密裏にあなたのカードでHouse of Cardsを見ることができるようにすることを心配する必要はありません:)

Serge Ballesta · Answer

Whatsappのエンドツーエンドの暗号化は期待したものではない可能性があることに注意してください。 Whatsappが使用するプロトコルは確かに安全ですが、実装はセキュリティよりも使いやすさを喜んで選択したようです。これは Whatsapp security で議論されており、コメントは Guardianへのリンクで説明されています

Facebookなどが暗号化されたメッセージを傍受して読み取ることを可能にするセキュリティの脆弱性がWhatsAppメッセージングサービスに発見されました
...

ただし、WhatsAppには、メッセージの送信者と受信者には知られていないオフラインユーザー用の新しい暗号化キーを強制的に生成し、送信者が新しいキーでメッセージを再暗号化して、メッセージを送信していないメッセージに対して再度送信する機能があります配信済みとしてマークされています。

受信者はこの暗号化の変更を認識しませんが、送信者は設定で暗号化の警告にオプトインした場合と、メッセージが再送信された後にのみ通知されます。以前に配信されなかったメッセージのこの再暗号化と再ブロードキャストにより、WhatsAppは一部のユーザーのメッセージを傍受して読み取ることができます。

[Whatsappは、連絡先のセキュリティコードが変更されたときに対処することを正当化します]これが発生する最も一般的な理由は、誰かが電話を切り替えたか、WhatsAppを再インストールしたためです。これは、世界の多くの地域で、人々がデバイスとSimカードを頻繁に交換するためです。このような状況では、ユーザーのメッセージが転送中に失われるのではなく、確実に配信されるようにしたいと考えています。

つまり、エンドツーエンドの暗号化がある場合でも、Whatsapp管理者は、送信デバイスに、パスワードを含むメッセージの新しいコピーを、知っている新しい暗号化キーとともに送信させることができます。これが許容できるかどうかはあなた次第ですが、私に関する限り、私はその脆弱性の影響を受けないS/MIMEまたはPGP暗号化メールを好みます。

Chris H · Answer

あなたが彼らに世話をするように強要し、このパスワードの紛失にさらされてもそれほど悪くはない（つまり、銀行ではない）と仮定します。

それでも、転送中に簡単な方法で難読化して、別のチャネルでキーを送信するように誘惑されます。例えば。 3?TeJ)6RK]4Z_a>cの例を考えて、3?TfJ)6RK]4Z_b>dを送信し、電話をかけて小文字を1つ戻すように伝えます。これはそれをサーファーの肩に役に立たなくする。

また、アカウント名/メールとサービスをいくつかのメッセージ内の同じスレッドで言及しないようにして、同じ画面に表示されないようにします（「そのパスワードが必要です：3？TeJ）6RK] 4Z_a> c」「Netflixパスワード：3？TeJ）6RK] 4Z_a> c」ではなく）。

オンラインの共有パスワードデータベースはより安全かもしれませんが、さまざまなデバイスのすべてのユーザーにとってそれは面倒であり、そのためにログインを共有する必要があります。これはパスワードを伝えることなく可能であるはずですが、誰かに1回限りの説明をするのは簡単なことではありません。

Mark · Answer

オプションA：問題の人々と直接会う
オプションB：あなたはそれらを呼び出します（神はあなたの配線にバグを犯した人を知っています
オプションCを使用すると、暗号化された手紙を郵送で送信し、他の方法で鍵を送信できます。（2つのメディアでスパイされる可能性は何ですか）
オプションD：気にしないでリスクを冒すだけ

Phill W. · Answer

パスワードを「すべての名and年齢、各単語の間にスペースを入れて年齢順にリストしたもの」などに変更して、-thisに他の人に伝えてみてはいかがですかあなたの家族のメンバー。

OK、そこに多くの特殊文字が含まれることはほとんどありませんが、その完全な長さはある程度の保護を提供するはずです。

Teun Vink · Answer

他の人は、パスワードを失うという限られたリスクと、WhatsAppによるエンドツーエンドの暗号化の使用をすでに指摘していますが、もう1つ指摘しておきます。

このエンドツーエンドの暗号化は転送パスワードに対してのみ有効であることを覚えておいてください。他の人がそれを受信すると、（関連する場合はロック解除された）電話にアクセスできる人なら誰でも、チャット履歴でそれを見ることができます。

受信したメッセージをチャットの履歴から削除するように相手に依頼することをお勧めします。 WhatsAppのチャット履歴を、パスワードが記載されたデジタルポストイットとして使用してほしくありません。