重要なファイルをメールで送る際に暗号化して、パスワードを別のメールで通知する運用を義務付けている企業をよく見かける。
一見安全そうに思えるが、このやり方に疑問を持つ人は少なくないだろう。ファイルを添付したメールを盗聴できる攻撃者は、パスワードが記載されたメールも盗聴できそうだからだ。ネットワークを盗聴できる攻撃者なら、暗号化ファイルを簡単に復元できるだろうか。実際に確かめた。
(中略)
以上のように、メールのパケットが流れるネットワークにアクセスできる攻撃者なら、無料のソフトでも暗号化ファイルとパスワードの両方を入手できる。ネットワークに流れるパケットが大量でも、IPアドレスなどでフィルターできるので、パスワードを含むメールを見つけるのはさほど難しくない。万全の盗聴防止策ではないと理解したうえで、パスワードの別送を運用すべきだろう。

http://itpro.nikkeibp.co.jp/atclact/active/16/032500015/032500009/

論理的に考えて、メールを奪取できる攻撃者相手に、パスワードをメールで分けて送るなんてのは、ほとんど意味が無いなんてのは判り切っているのだが、そもそも論で言うならパスワード自体、ブルートフォース攻撃でも時間さえかければ突破できる訳で。
この手の防御手法は、「相手の時間を奪う」「解析の自動化を阻止する」事を目的にしたものであり、少なくとも２通のメールを傍受しなくては、内容の解析が出来ない…という手間を与える事が出来る。
何より、同一メール内にパスワードを入れておくと、メールの本文解析を上手く利用して、添付ファイルの解凍までを人間の手を使わずに実行する事すら出来てしまうだろうけれど、別メールなら難易度は跳ね上がる。
そう、「パスワードの別送」とは、攻撃者に対するささやかな嫌がらせを目的とした手法なのだ。
これだけで、防御が出来るとか勘違いしている人も結構居そうな気がするけど、実体は違う。