Skip to content

What problem could Box solve for you?

← Help shape the future of Box

Secure open link - Require email address verification with one-time password

【Summary】
Please add "Require email address confirmation by one-time password" to the Open Link settings.
This will allow the access statistics to show the email addresses of users who have accessed from the open link, so that you can determine if the access is suspicious or not.

【Problem to be solved】
The current open link is not secure enough.
This is because it is not possible to determine who accessed the file.
With the current use, if a user who is not logged in to Box accesses from an open link, the access history only shows the IP address and expected region.
The IP address can only be used to guess the network used, and the expected region is wrong in some cases.
It is impossible for the IT management department to monitor whether the open link is a pathway for information leakage.

【Idea Details】
Allow users to select "Require email address verification with one-time password" when issuing an Open Link.
If this setting is enabled, the following actions will be taken
<If the user accessing is logged in to Box>
Displayed as before, without change.
<If the user accessing is not logged in to Box>
(1) The user will be asked to enter email address.
The one-time password will be sent to the address he/she entered.
(3) The user will be asked to enter one-time password.
(4) When the user enter the correct one-time password, he/she will be able to open the open link.
(5)The email address entered will be displayed in the file access history.

【Additional idea】
If you realize this request, it will also be possible to restrict open links with a domain whitelist. I have raised the request in the following ticket.
Secure open link② - Domail whire list for open link

19 votes

We're glad you're here

Please sign in to leave feedback
Signed in as (Sign out)
Close
Close

We’ll send you updates on this idea

Kengo Masuda-Marubeni IT Sol shared this idea  ·   ·  Report…  ·  Admin →
How important is this to you?

We're glad you're here

Please sign in to leave feedback
Signed in as (Sign out)
Close
Close

We're glad you're here

Please sign in to leave feedback
Signed in as (Sign out)
Close
Close
Submitting...
An error occurred while saving the comment
  • Kengo Masuda-Marubeni IT Sol commented  ·   ·  Report

    【Reply to comment on Dec. 15 ,2021】

    Yes, I agree with you.
    This request is "a system that can determine the source of access", but what is more important in actual information security is "the ability to restrict the source of access".

    And I was posting the following Pulse as a mechanism for this purpose.
    https://pulse.box.com/forums/909778-help-shape-the-future-of-box/suggestions/43756059-secure-open-link-domain-white-list-for-open-shar

    If you would like to vote for this request, I would appreciate it if you could vote for this request as well.
    Note that the above Pulse assumes that the user issuing the shared link, not the administrator, specifies the domain list or email address of the OTP destination.

  • Anonymous commented  ·   ·  Report

    The purpose of this ask is to "determine if the access is suspicious or not".

    Email addresses can be generated on the fly (in Yahoo and Gmail) and often compromised by malicious persons. Even if the email is valid, there is no guarantee that user has non-ill intent.

    Rather, I propose the following amendments to this:
    1. Openly shared links may have a Time-to-Live, after which the link's data is no longer accessible
    2. We associate labels with the open link so we can classify what type of data it contains.
    3. We can restrict the domain of email addresses using regexs. (i.e. @box.com, @yahoo.com, @aol.com).
    I would like to know your opinions on this.

  • Kengo Masuda-Marubeni IT Sol commented  ·   ·  Report

    日本語訳も掲載します。

    【サマリー】
    オープンリンクの設定に「ワンタイムパスワードによるメールアドレスの確認を要求する」を追加してください。
    これにより、アクセス統計にオープンリンクからアクセスしたユーザーのメールアドレスを表示できるようになり、不審なアクセスかどうかを判断できるようになります。

    【解決すべき問題点】
    現在のオープンリンクはセキュリティが十分とは言えません。
    というのも、誰がアクセスしたのかを判断できないからです。
    現在の使い方では、Boxにログインしていないユーザーがオープンリンクからアクセスした場合、アクセス履歴にはIPアドレスと予想される地域しか表示されません。
    IPアドレスからは使用しているネットワークを推測することしかできず、予想される地域も間違っている場合があります。
    これでは、IT管理部門は、オープンリンクが情報漏えいの経路になっていないかどうかを監視することができません。

    【アイデアの詳細】
    オープンリンク発行時に「ワンタイムパスワードによるメールアドレス認証を要求する」を選択できるようにします。
    この設定を有効にすると、以下のような動作します。
    <アクセスしているユーザーがBoxにログインしている場合>
    変更せずに従来通り表示します。
    <アクセスしたユーザーがBoxにログインしていない場合>
    (1)アクセスしたユーザーはメールアドレスの入力を求められます。
    (2)入力後、入力されたアドレスにワンタイムパスワードが送信されます。
    (3) ワンタイムパスワードの入力を求められます。
    (4) 正しいワンタイムパスワードを入力すると、オープンリンクを開くことができます。
    (5)入力されたメールアドレスは、ファイルアクセス履歴に表示されます。

    【追加のアイデア】
    この要望を実現すれば、ドメインやメールアドレスのホワイトリストでオープンリンクを制限することも可能になります。以下のチケットで要望を上げています。
    セキュアなオープンリンク② - オープンリンクのDomainホワイトリスト

  • AdminDaniel Kaplan (Admin, Box) commented  ·   ·  Report

    We want to make a link where we always know the ID of the people accessing it - an in-between state from the open link to the other login-required ones

Help shape the future of Box: Security

Categories

Feedback and Knowledge Base

(thinking…)

By entering and viewing this page, you agree to be bound by (1) UserVoice Terms of Service and the (2) Box Community Terms of Use. In the event of a direct conflict between the foregoing terms of service with respect to the Box Community Guidelines, Feedback and Suggestions, the Box Community Terms of Use shall take precedence as between you and Box.