Každý den potřebuji někomu předat nějakou citlivou informaci. Typicky cestu na serveru, název souboru, kus logu, případně přihlašovací jméno a heslo. A právě u té poslední možnosti není nejlepší nápad posílat vše v e-mailu nebo nějaké IM zprávě (Skype, Teams, Telegram, Signal, WhatsUp, ICQ, Jabber a nevím, co ještě).
Klasické řešení - rozdělit informace do dvou částí, jednu poslat jedním kanálem, druhou jiným. Lepší, ale pořád nic moc. Soukromé zprávy umí jen část IM klientů, PGP šifrování nebo S/MIME šifrování je reálně s lidmi z non-IT branže nepoužitelné. Zaslání hesla datovou schránkou? Haha, možná tak v rámci ČR za ideální konstelace hvězd. Poslání hesla SMS? Jako jo, ale příjemce udělá při přepisování určitě chybu. Takže to nakonec skončí tak, že si příjemce obsah SMS chytrým telefonem přepošle do mailové schránky a jsme zase na začátku.
Nedávno mi jeden zákazník poslal heslo pomocí služby https://1ty.me/. Resp. poslal mi e-mailem jednorázové URL. Koukal jsem na to jako vrána, ale pak jsem si uvědomil - proč ne? Pokud by se mi pomocí jednorázového URL nic nezobrazilo, tak je jasné, že heslo někdo uloupil. Tím pádem bych měl ihned kontaktovat odesílatele, že došlo ke kompromitaci a heslo je záhodno změnit. Pokud by se někdo dostal k e-mailu až v budoucnu, nebude mu k ničemu, protože jsem si heslo již vyzvedl a na službě 1ty.me už byl záznam zničen.
Takže za mne je nejlepší kombinace - část informace nějakým kanálem, nejcitlivější část předat pomocí jiného komunikačního kanálu jako jednorázový odkaz na https://1ty.me/.
Doplnění 5. 10. 2022:
Dnes jsem dostal odkaz na obdobný web https://onetimesecret.com/. Autor zveřejnil About stránku, která obsahuje i FAQ. Princip fungování je krapet odlišný. Zatímco 1TY.me je postaveno na jednoduchém jednorázovém zobrazení předávané informace, u One-Time Secret je možné zvolit, jak dlouho má URL vedoucí na předávanou informaci, platit. Navíc je možné požadovat po uživateli heslo.