機密情報を送信するためにSkypeを使用する前に自分に尋ねる質問:
- 暗号化は本当にエンドユーザーからエンドユーザーへのものですか、それともユーザーとSkypeの間でのみデータが暗号化されますか?
- IMログはどのように管理されますか?ログからパスワードを「削除」したことを確認できますか?
- ログがディスクに保存されていない場合でも、Skypeを直接購入しますが、Skypeがこのページングに使用するメモリはありますか?つまり、パスワードが知らないうちにページファイルに配置され、ローカルユーザーが取得できるようになる可能性はありますか?
これらの質問を満たす前に、私自身の答えはノーでなければなりません。
「パスワード」はそれをどのように保護する必要があるかを決定するのに十分な情報ではありません。パスワードはどのリソースにアクセスを許可し、どのレベルのアクセスを許可しますか?
Skypeは音声通信に適度に強力な暗号化を使用していると思います。これはクローズドソースであるため、ドキュメントと プロトコルの逆転 からわかっています。主要なデータを漏らす欠陥のあるAES実装を使用していないなど、ソースコードを確認することはできません。
プロトコルが完全に安全であるとしても、それはまだルクセンブルクに本拠を置く会社であるスカイプ・リミテッドによって運営されており、メンロ・パークに本部を置く技術投資会社であるシルバー・レイク・インベストメンツが所有しています。
では、最初に戻るために、何を保護しようとしていますか?核発射コード、1万ドルを超える財務データ、またはルクセンブルクの機密情報である場合は、Skypeを使用しないでください。資本投資会社、ヨーロッパの小さな国、またはインターネットバックボーントラフィックを盗聴するためのリソースを備えた犯罪組織に興味がないドメインのユーザーアカウントであれば、Skypeはおそらく問題ありません。
Skypeは、閉じたプロトコルを使用してサードパーティのクライアントノード間で情報を送信します。接続のセキュリティについては保証しません。インスタントメッセージングメディアの上に [〜#〜] otr [〜#〜] のようなものを使用することをお勧めします。
それを超えて、通常、「懸念を正当化するのに十分なリスクがありますか」というルールが適用されます。多分それはあなたの場合に対処する価値がないだけです。
もう1つの質問は、本当にパスワード(つまり、共有シークレット)を直接送信する必要があるか、または安全なチャネルを必要としない方法を使用して暗号化チャネルを確立する方が理にかなっているかです。
たとえば、適切な相手と話していることを確認できる場合(電話で相手の声を認識するなど)、非対称の鍵ペアを生成し、鍵の指紋を読み取らせるだけで十分です。その後、暗号化された通信を開始するためのパス。盗聴者は何も取得しません。
私は少し遅れているようですが、私の意見を共有したいだけです。
Nothingは、パスワードを転送するのに十分安全です。
概念としてのパスワードは、記憶することのみを目的としています。誰かにパスワードを保存/送信/伝えると、保護しているもののセキュリティが即座に低下します。
一般的に、自分のアカウントを作成するためのパスワードを誰かに与える必要はありません。または、彼のアカウントを作成する必要があります。