Security
Office365 郵件加密真的安全嗎?
我正在為我們的組織實施Office365 消息加密。我的問題是:對於發送給組織外部使用者的消息,它實際上是否比正常(未加密)電子郵件更安全?
根據此頁面,外部使用者可以收到一次性密碼以查看加密消息。但是,這個一次性密碼也是通過電子郵件發送的,所以假設是中間人攻擊,攻擊者不能簡單地截取一次性密碼並解密消息嗎?
讓我知道我是否遺漏了什麼,或者這只是 MS 的更多行銷炒作……
你的擔心確實有一定的道理。然而…
一次性密碼電子郵件並沒有明確辨識它附帶的消息。因此,僅擁有 OTP 消息並不能告訴您太多資訊。話雖如此,如果此人的郵箱中只有一封加密郵件,加上匹配的 OTP 電子郵件,攻擊者可以將 2 和 2 放在一起。
此外,該程式碼僅在 15 分鐘內有效。因此,漏洞的視窗非常有限。攻擊者必須主動攔截您的電子郵件並做出響應,而不僅僅是被動地轉儲數據包以供以後分析。
如果您仍然對安全性不滿意,可以通過 PowerShell 禁用一次性密碼:
設置 OMEConfiguration -OTPEnabled $False
這將要求收件人使用 Microsft 帳戶,該帳戶是獨立設置的,但使用起來更複雜。