- 締切済み
関係者に一度にログインID・パスワードを簡単安全に伝えたい
仕事上、多くの社外関係者にログイン用ID・パスワードを伝える場面が出てきました。 例えば、http://www.abcde.co.jp/mbr/というURLをつくって、そこに関係者に閲覧して頂きたい内容を掲載するのですが、そのURLはBasic認証等で一応ログインをかけます。 この時にID・パスワードを関係者一同に「一度」に通達したいのですが、セキュリティ面があるのでメールでは送りたくありません。 かと言って、わざわざ郵送物をつくって送るということも出来ません。 何かWeb絡みで一度に通達出来る良い方法はないでしょうか。
- touchy
- お礼率88% (704/796)
- その他([技術者向] コンピューター)
- 回答数5
- ありがとう数4
- みんなの回答 (5)
- 専門家の回答
みんなの回答
- shirayukix
- ベストアンサー率43% (90/207)
またANo.2の人です。 お礼を見て事情は分かりました。 以下の方法はどうでしょうか? (1)SSL(https)のサーバを用意する。 (2)社外関係者の方がアクセスするとID(簡単な数字)とZIPパスワードを発行する。 ・発行したIDとZIPパスワードの対はサーバにも保存しておく。 ・通信は暗号化されるので盗聴されてもOK。 (3)その社外関係者の方が質問者さんにIDを伝える。 ・サーバに保存しているのでZIPパスワードを伝える必要はない。 (4)質問者さんがBasic認証のID・パスワードをZIPファイルに圧縮して社外関係者の方に送る。 このZIPファイルには(3)のIDに対応するZIPパスワード(=(2)で発行したもの)を設定しておく。 ・ZIPファイルにパスワードが設定されているので盗聴されてもOK。 公開鍵暗号を使わなくてもできるのかもしれない(?)
- shirayukix
- ベストアンサー率43% (90/207)
ANo.2の人です。 ANo.3さんがURLを間違っていらっしゃるようですので代わりに書いておきます。 公開鍵暗号の仕組みはANo.2の通りです。 > GnuPGによる公開鍵方式の暗号化ソフト「JanusDG」v1.0.3 > 相手の公開鍵と自分の秘密鍵を使って暗号化、ファイルを安全にやりとり http://www.forest.impress.co.jp/article/2005/05/25/okiniiri.html
お礼
再度、ありがとうございます! 只今、ソフトでなくサイトを探し中です(おそらく無いでしょうが^^;)
補足
無いと思ってましたが、ひとつソフトでなくてウェブでやれるのが見つかりました!! 詳細見て使えそうならいいんですが・・・あと値段も^^;
- Willyt
- ベストアンサー率25% (2858/11131)
#2の方の捕捉です。公開鍵暗号化ソフトは下記でダウンロードできます。
お礼
どうもありがとうございます
- shirayukix
- ベストアンサー率43% (90/207)
安全に送るなら「公開鍵暗号方式」です。 送信中に盗まれても解読できません。 公開鍵暗号方式 http://www.atmarkit.co.jp/aig/02security/pubkey.html (1)社外関係者の方に公開鍵・秘密鍵のペアを作ってもらい、公開鍵を送ってもらいます。秘密鍵は秘密にしてそのまま持っておきます。 (2)IDとパスワードをその公開鍵で暗号化して、社外関係者の方に送ります。 (3)社外関係者の方は、秘密にしている秘密鍵を使ってデータを復号(解読)します。公開鍵で暗号化したものは秘密鍵でしか復号できないのです。 社外関係者の方は複数いるのでそれぞれに公開鍵・秘密鍵のペアを作ってもらいます。
お礼
どうも有難う御座います。 昔、PGP絡みで調べたことはあったのですが、客にもソフトを入れて もらわないといけないからだったか、何らかの理由で断念した覚えが ありました。 ご案内のソフトもやはりソフトだからインストールが必要ですよね・・・ 先方が超大企業で、会社PCにインストールするソフトが指定されて いて、指定ないソフトはインストールできないんですよね・・・ まぁ、セキュリティ上理解できますが。。。 ウ~ン・・・でもやっぱりRSA絡みになるんでしょうかね・・・ 昔調べてからだいぶたっているので何か良い鍵発行方法がないか 調べてみます。 おっ、そうか、こういう状況だったらそういうアレがあるといいのか・・・ ありがとうございました
- rokko-oroshi
- ベストアンサー率17% (299/1664)
セキュリティ面からメールを断念してる時点で、WEB絡みってのはないのではないでしょうか? 郵送もしないのであれば、電話? 一度に全員は無理ですね。 FAXの同報?メールの方がましですね。 まあ、一番安全なのは、全員を集めて口頭で伝達ですかねえ。
お礼
メールを断念したからと言って、Web絡みが何も無い訳じゃないんですが、 知ってる限りだと使えないんですよね・・・ メールは何と言ってもデータが裸で送られますからねぇ・・・ 実際はだからといって覗かれたり色々される可能性はほとんど無いのが 現状ではあるんですけど、会社の姿勢の問題ですよね。 まして、相手が超大企業なのでここらをキッチリとやってる姿勢を 見せたいところなんですよ。 今までは二度ほど電話で伝えまくったことありますけど、アレはキツいです^^; ありがとうございました。
補足
shirayukixさま、何度もありがとうございます! ちょうど良いのですが該当ドメインはVerisignのSSLサーバ証明書を付けているんです。 なのでご提案の面白そうなこのアイデア、私にも出来るのならばやってみたいです(調べていたPGP暗号化が 出来るサイトは無理っぽいです。費用が莫大っぽいです)。 そこでお尋ねしてもよろしいでしょうか? (2)以降についてなのですが、何かプログラミングしてこさえなければならないように見えますが やはりそうでしょうか。 当方、プログラミングはできませんのでもしそうだと難しい気がしておりますが・・・ また、(2)以降を別の言い方で表現すると、こういうことでしょうか? ------------------------------------------------------------------------------------------------- https://www.abcde.co.jp/member/ というようなURL(ID・ZIP解凍用パスワード渡し用ページ)をつくり、 社外関係者の方々にこのURLをメールで知らせてブラウザで開いて頂く。 社外関係者が開いたURL画面には、CGIやPHP等でつくった「自動ID・ZIP解凍用パスワード発行機能」が 用意されていて、アクセスした段階ですぐID・ZIP解凍用パスワードが発行されてそれが画面に表示されるか、 または、アクセスしただけでは発行されないが、「ID・ZIP解凍用パスワード」発行ボタンが用意されていて、 それをクリックするとID・ZIP解凍用パスワードが発行されるようになっている。 ID・ZIP解凍用パスワードはこちらでもわかるようにするため、データベースサーバ保存、もしくは データベースは使わないとしてもWebコンテンツ外のCGIフォルダ等に保存する。 当然ながら、このURLはSSLエリアなので暗号化されているので、この画面で自動発行されるIDとZIP解凍用 パスワードは、第三者に覗かれることはない。 各社外関係者が上記URLで知りえたIDを私へメール連絡する。情報をメールで送ると意味がないように見えるが そうではなく、IDが平文メールによって例え覗かれても、ZIPパスワードがわからなければ後に送る 「パスワード付ZIPファイル(Basic認証用パスワードが圧縮保存されている)」が解凍できないので、 Basic認証のID・パスワードは知られることはない。 私から社外関係者各人に対し、個別にそれぞれ「パスワード付ZIPファイル(Basic認証用パスワードが 圧縮保存されている)」をメール添付する。 そして、パスワード付ZIPファイルの解凍パスワードを既に知っている社外関係者各人がZIPを解凍して Basic認証用ID・パスワードを知る。 ------------------------------------------------------------------------------------------------- 理解は合ってますでしょうか? 合ってたとすると、やはりプログラミングが必要になりそうですかね・・・ また、理解が合ってたと仮定しますと、第三者がID・ZIP解凍用パスワード自動発行ページを開いてID・ZIP 解凍用パスワードを入手されてはならないので、正しい人のアクセスかそうでないかを判別して 正しい人のアクセス時に限ってID・ZIP解凍用パスワードを自動発行さえる必要があるように思いますが、 可能なのでしょうか? ちなみに、社外関係者が自宅からアクセスする場合も有り得ます。 「ID・ZIP解凍用パスワード自動発行ページ」のURLは平文メールで送られてしまうので、第三者がこのURLを 知ることが出来るので第三者がこのURLへアクセスできることになってしまう気がしますが防波堤はあります でしょうかね。