Безопасно ли отправлять ZIP с паролем по email? Лучшие альтернативы

«Заархивируй файл в ZIP с паролем, отправь по почте, а пароль пришли следующим письмом.» Эта практика привычна во многих организациях — и она фундаментально ошибочна.

В Японии этот метод настолько распространён, что имеет собственное название: PPAP. Японское правительство официально отказалось от него в 2020 году. Вот почему каждой организации следует сделать то же самое.

Почему этот метод не работает

1. Пароль идёт тем же путём

ZIP-файл и пароль отправляются с одного аккаунта тому же получателю. Если письмо перехвачено, злоумышленник получает оба. Как если запереть дверь и приклеить ключ рядом.

2. Антивирус не может проверить содержимое

Большинство почтовых шлюзов безопасности не могут проверить содержимое ZIP с паролем. Вместо повышения безопасности это создаёт путь для вредоносного ПО обойти защиту.

3. Шифрование ZIP слабое

Стандартное шифрование ZIP (ZipCrypto) имеет известные уязвимости. С правильными инструментами его можно взломать за минуты.

4. Не защищает от ошибки адресата

Если первое письмо отправлено не тому, второе почти наверняка уйдёт туда же.

5. Ужасный пользовательский опыт

• Получателю приходится искать пароль среди писем
• ZIP-файлы сложно открывать на мобильных
• Повторный ввод паролей раздражает

Лучшие альтернативы

Вариант 1: Ссылки облачного хранилища

Google Диск, Яндекс.Диск, OneDrive — делитесь файлами через ссылки.

Плюсы:

• Детальные права доступа
• Отслеживание загрузок
• Возможность отозвать доступ
• Антивирусная проверка работает

Минусы:

• Не все сервисы позволяют ставить пароль на отдельные ссылки
• IT-политики могут ограничивать внешний обмен

Вариант 2: Ссылки с защитой паролем

Оберните ссылку из облака защитой с паролем. LOCK.PUB позволяет добавить пароль к любому URL — ссылкам Google Диска, Яндекс.Диска или любым ссылкам для скачивания.

Сравнение	ZIP + Email	LOCK.PUB + Облако
Путь пароля	Тот же (email)	Можно разделить
Антивирусная проверка	Заблокирована	Работает
Журнал доступа	Нет	Да
Отозвать доступ	Невозможно	Удалить ссылку
Ошибка адресата	Без решения	Немедленно удалить ссылку

Вариант 3: Корпоративные мессенджеры

Делитесь файлами через Telegram, Slack или Microsoft Teams. Безопаснее вложений email.

Вариант 4: Корпоративные решения

Для организаций со строгими требованиями — Box, SharePoint с полным аудитом.

Ключевой принцип: разделяй пароль и файл

Золотое правило: никогда не отправляйте пароль по тому же каналу, что и файл.

Файл (или ссылку) по почте, пароль — в Telegram. Ещё лучше: используйте LOCK.PUB, где пароль встроен в саму ссылку — получатель вводит его при доступе, отдельная передача не нужна.

Итог

Отправка ZIP с паролем по email создаёт лишь иллюзию безопасности и на деле ухудшает положение, блокируя обнаружение вредоносного ПО.

Чек-лист безопасного обмена файлами:

• Перейти на ссылки облачного хранилища
• Добавить защиту паролем к ссылкам
• Внедрить журналирование доступа
• Утвердить новые правила обмена файлами
• Обучить команду безопасным практикам

→ Создайте ссылку с паролем на LOCK.PUB