A Criptografia de Mensagens do Office365 é realmente segura?

3

Estou procurando implementar Criptografia de mensagens do Office365 para nossa organização. Minha pergunta é: na verdade, é mais seguro do que o e-mail regular (não criptografado) para mensagens enviadas para usuários fora da organização?

De acordo com página , os usuários externos podem receber uma senha única para exibir mensagens criptografadas. No entanto, essa senha de uso único também é enviada via e-mail , portanto, assumindo um ataque MITM, o invasor não poderia simplesmente interceptar a senha de uso único e descriptografar a mensagem?

Deixe-me saber se estou perdendo alguma coisa ou se isso é apenas mais hype de marketing do MS ...

    
por ebarrere 23.03.2016 / 19:38

2 respostas

2

Sua preocupação tem algum mérito. No entanto ...

O e-mail de senha única não identifica especificamente a mensagem que acompanha. Então, apenas ter a mensagem OTP não lhe diz muito. Dito isto, se a pessoa tiver apenas uma mensagem criptografada em sua caixa de correio, mais o email OTP correspondente, um invasor poderá colocar 2 e 2 juntos.

Além disso, o código é válido apenas por 15 minutos. Portanto, a janela de vulnerabilidade é bastante limitada. Um invasor teria que estar interceptando ativamente seu e-mail E respondendo a ele, não apenas descartando passivamente os pacotes para análise posterior.

Se você ainda não estiver satisfeito com a segurança, poderá desativar a senha de uma vez por meio do PowerShell:

Set-OMEConfiguration -OTPEnabled $ False

Isso exigirá que o destinatário use uma conta da Microsft, que é configurada independentemente, mas mais complexa de usar.

    
por 24.03.2016 / 01:16
-1

É certamente mais seguro do que enviar uma mensagem de texto simples. Quando uma mensagem sai de seus servidores, você não pode ter certeza de que a transmissão está protegida com TLS durante toda a jornada (a menos que você configure uma confiança direta e force o TLS entre dois pontos de extremidade). Você tem que assumir que sua mensagem está clara quando sair.

Com o serviço de criptografia - a Microsoft permite criptografar a mensagem e enviá-la para um destinatário. O destinatário pode ler a mensagem acessando-a através de um portal da web ou aplicativo móvel. Eles têm uma opção para entrar com uma ID da Microsoft correspondente (ela deve corresponder ao endereço do destinatário) ou usar um código de senha único gerado e enviado para o endereço do destinatário.

Como você não possui e não pode ditar os termos a partir dos quais o destinatário receberá e abrir a mensagem, você DEVE CONFIAR que eles são a pessoa para quem você está enviando. Se a conta do destinatário estiver comprometida, talvez eles consigam abrir a mensagem. Isso inclui algum homem nos cenários do meio, onde os meios para acessar a mensagem (o link do portal e mensagem criptografada), bem como snagging a chave.

Você pode tentar incluir recursos adicionais, como o TLS (mas não pode garantir isso) para transporte. Você também pode ter certeza de que os registros SPF, DKIM e DMARC adequados estão configurados (mas eles ainda dependem do recebedor que os honre) para ajudar.

Se você deseja criptografia de ponta a ponta, você precisa confiar em S / MIME ou algo como PGP. Mas mesmo com essas ferramentas, você nunca pode ter 100% de certeza de quem tem a chave privada ou se o destinatário foi comprometido.

TLDR; Se você não pode ou não confia na pessoa que está dando acesso aos dados, então nenhum controle técnico pode lhe dar o que você está procurando. Os usuários serão para sempre a maior falha de segurança.

    
por 24.03.2016 / 01:31