用Email發加密ZIP再另發密碼，真的安全嗎？更好的替代方案

「把檔案壓縮成加密ZIP，先寄檔案，再寄一封Email告知密碼。」這種做法在許多企業中習以為常，但它的安全性其實形同虛設。

日本政府在2020年已經正式廢止了這種做法。讓我們看看為什麼每個組織都應該跟進。

這種方法為什麼不可靠

1. 密碼和檔案走同一條路

ZIP檔和密碼從同一個信箱寄往同一個收件人。如果Email被攔截，攻擊者同時取得兩者。就像鎖了門，然後把鑰匙貼在門旁邊。

2. 資安軟體無法掃描內容

大多數Email資安閘道無法檢查加密ZIP的內容。這不僅沒有提升安全性，反而為惡意軟體提供了繞過防禦的通道。

3. ZIP加密本身就脆弱

標準ZIP加密（ZipCrypto）已有已知漏洞，使用專業工具可能在幾分鐘內破解。

4. 無法防止寄錯人

第一封Email寄錯了，第二封也幾乎一定會寄錯。這種方法對人為失誤沒有任何防護。

5. 收件人體驗差

• 需要翻找Email尋找密碼
• 手機上開啟ZIP檔案困難
• 反覆輸入密碼很煩

更好的替代方案

方案1：雲端儲存分享連結

使用Google Drive、OneDrive等透過連結分享檔案。

優點：

• 精細的存取權限控制
• 可追蹤下載狀態
• 可撤銷存取權限
• 惡意軟體掃描正常運作

缺點：

• 大多數服務不支援對單一連結設密碼
• 企業IT政策可能限制外部分享

方案2：用密碼保護連結

把雲端分享連結用密碼保護。LOCK.PUB 可以為任何URL添加密碼——包括Google Drive連結或任何下載連結。

比較項目	ZIP + Email	LOCK.PUB + 雲端
密碼傳遞路徑	相同（Email）	可分離
惡意軟體掃描	被阻斷	正常運作
存取日誌	無	有
撤銷存取	不可能	刪除連結即可
寄錯人補救	無法補救	立即刪除連結

方案3：企業通訊工具分享

透過LINE WORKS、Microsoft Teams等直接分享檔案。安全性優於Email附件，但需注意保存期限和安全設定。

方案4：企業級檔案傳輸解決方案

對合規要求高的企業，可考慮Box、SharePoint等提供完整稽核和精細存取控制的專業方案。

如何轉型

第1步：評估現況

了解組織內這種做法的普遍程度，確認哪些合作夥伴使用此方式。

第2步：選擇替代方案

根據IT環境選擇合適工具，比較成本和維運負擔。

第3步：逐步遷移

先從內部開始，再通知外部合作夥伴，設定過渡期。

第4步：制度化和培訓

形成文件化的檔案分享規範，對全員進行培訓。

核心原則：密碼和檔案走不同的路

基本規則：永遠不要透過相同管道發送密碼和檔案。

Email寄檔案（或連結），LINE傳密碼。更好的做法是使用 LOCK.PUB，密碼直接內建在連結中——收件人存取時輸入密碼，完全不需要另外傳遞密碼。

總結

透過Email發送加密ZIP檔只提供了安全的假象，實際上由於阻斷了惡意軟體偵測，反而降低了安全性。

安全檔案分享清單：

• 切換到雲端儲存分享連結
• 為分享連結添加密碼保護
• 建立存取日誌機制
• 制定新的檔案分享規範
• 對團隊進行安全培訓

→ 在 LOCK.PUB 建立密碼保護連結