jaki jest bezpieczny sposób wysyłania haseł przez Internet?

12

Szukam najlepszego sposobu bezpiecznego wysyłania haseł przez Internet. Opcje, na które patrzyłem, to PGP i zaszyfrowane pliki RAR. Nie ma żadnych rzeczywistych parametrów poza przejściem z punktu a do punktu b przez Internet bez zbyt dużego ryzyka.

security password Jim B.
źródło
4
Może to zabrzmieć dziwnie, ale dlaczego skoro ktoś polecił Skype'a i zadzwonił do niego, dlaczego nie wysłać SMS-a z hasłem? (zakładając, że druga strona ma telefon komórkowy, ale hej, kto dziś nie ma telefonu komórkowego?)
Darius

Odpowiedzi:

25

PGP lub inna metoda szyfrowania asymetrycznego brzmiałaby jak droga.

  1. obie strony muszą opublikować swój klucz publiczny
  2. podpisz swoją wiadomość swoim prywatnym kluczem
  3. szyfruj za pomocą klucza publicznego drugiej osoby
  4. przesłać plik
  5. tylko klucz prywatny drugiej osoby może odszyfrować wiadomość
  6. twój klucz publiczny może być użyty do sprawdzenia poprawności wiadomości

=> bezpieczne i prywatne

Lexu
źródło
+1 dobre wyjaśnienie.
msanford
+1. Podoba mi się to nawet lepiej niż moja własna odpowiedź, ponieważ zawiera szczegółowe informacje o tym, jak należy to zrobić.
Milan Babuškov
To chyba najlepsza droga - liczyłem na coś, czego klient nie musiałby instalować, ale to najlepsza odpowiedź.
Jim B
+1 dla GPG / PGP. Szyfrowanie asymetryczne jest tutaj naprawdę najlepszą opcją.
Bran the Blessed
9

Każdy mechanizm wykorzystujący klucze asymetryczne (jak SSL lub PGP) jest dobry. Zasadniczo oznacza to, że szyfrujesz dane (hasło w twoim przypadku) za pomocą klucza publicznego innej osoby, a jedynym sposobem na ich odszyfrowanie jest dostęp do klucza prywatnego (co robi tylko odbiorca).

Jedyną rzeczą, o którą należy się martwić o PGP, jest to, komu ufasz, ponieważ fałszowanie może się łatwo zdarzyć, gdy ludzie podpiszą swoje klucze.

Przeczytaj sekcję Sieć zaufania we wpisie na Wikipedii dla PGP, aby uzyskać więcej informacji na ten temat.

Milan Babuškov
źródło
2
Aby pomóc tym, którzy nie wiedzą, co to jest i googlują, termin to „klucz asymetryczny” (nie asynchroniczny), co oznacza, że ​​obie połówki klucza nie wyglądają tak samo. :)
msanford,
+1, ponieważ klucz szyfrowania asymetrycznego jest najlepszym rozwiązaniem, a także sposób, aby zweryfikować tożsamość odbiorcy (podczas gdy szyfrowane RAR nie, naprawdę.)
msanford
1
+1 za wzmiankę o kluczu asymetrycznym. Edytowałem również twój post, aby poprawić literówkę.
KPWINC
8

Co z dzwonieniem do odbiorcy przez Skype ?

ceejayoz
źródło
2
+1, ponieważ tak naprawdę nie jest to zły pomysł i jest niewykorzystany. Jasne, jeśli masz wiele kluczy do
rozdania,
1
Skype działa dobrze, o ile przepis znajduje się w pobliżu tej samej strefy czasowej. Zwykle dzwoniłbym za pomocą POTS, ale te opcje po prostu nie są dostępne.
Jim B
Mówisz poważnie? Pewnie „lepszy” niż zwykły tekst, ale nikt nie powinien polecać czegoś takiego…
lajarre
@lajarre Chcesz wyjaśnić? Dla większości ludzi Skype będzie całkowicie akceptowalną metodą.
ceejayoz
@ceejayoz, jeśli dobrze rozumiem, ta odpowiedź zaleca OP, aby przekazał drugiemu odbiorcy hasło za pomocą swojego głosu przez Skype. Wydaje mi się, że moja reakcja (która moim zdaniem jest właściwa, gdy powinieneś być paranoiczny ze swoimi hasłami), wynika z faktu, że Skype jest zastrzeżony. Czy jesteś wystarczająco dobrym hakerem, aby wiedzieć, czy jest to bezpieczne? A może polegasz na wierze w Skype? Oprogramowanie oparte na ZRTP byłoby bezpieczną odpowiedzią. Nie jestem pewien, co oznacza „akceptowalny [dla większości ludzi]” ...
lajarre
2

Powinieneś także upewnić się, że odbiorca musi zmienić hasło, zanim będzie mógł skorzystać z jakiejkolwiek usługi, dla której jest przeznaczony - uwierzytelniając zmianę za pomocą wysłanego hasła jednorazowego. Zapewni to dalszą ochronę przed kradzieżą - i / lub nieco większe szanse na jej wykrycie, gdyby złodziej musiał ją zmienić, pozostawiając prawdziwemu użytkownikowi monit o odmowę dostępu ^^

Oskar Duveborn
źródło
1

Wyślij jednorazowy link, który prowadzi do strony (używając SSL), na której można utworzyć hasło. Jeśli ktoś odkryje link, prawdopodobnie jest już za późno, aby mógł z niego skorzystać. Będziesz potrzebować pewnego rodzaju możliwości resetowania, na wypadek, gdyby link został przechwycony i wykorzystany przed zamierzonym odbiorcą.

Wayne Sheppard
źródło
1

Jeśli korzystasz z systemu Windows, możesz posłuchać Security Now 201: SecureZip

AFAIK SecureZip implementuje / automatyzuje podejście do szyfrowania asymetrycznego, które opisałem powyżej .

Lexu
źródło
1

Możesz spróbować NoteShred. To narzędzie stworzone właściwie z myślą o twoich potrzebach. Możesz utworzyć bezpieczną notatkę, wysłać komuś link i hasło, a następnie „zniszczyć” je po przeczytaniu. Notatka zniknęła, a otrzymasz powiadomienie e-mailem z informacją, że Twoje informacje zostały zniszczone.

Jest bezpłatny i nie wymaga rejestracji.

https://www.noteshred.com

Cheyne
źródło
1

Jeśli jest to jednorazowa rzecz, możesz użyć mojego narzędzia: http://tanin.nanakorn.com/labs/secureMessage

Używa Javascript do szyfrowania RSA. Dlatego twoje hasło nigdy nie opuszcza komputera twojego lub twojego przyjaciela. Aby uzyskać więcej informacji, zobacz Często zadawane pytania na powyższej stronie.

Aby to robić regularnie, lepiej byłoby użyć kluczy PGP lub SSH, aby nie trzeba było generować nowej pary kluczy za każdym razem.

Tanin
źródło
0

Zwykle używam metod synchronicznych do przesyłania hasła. Często po prostu wysyłam komuś wiadomość i mówię, że hasło, na które czeka, to xxxxxx. W ten sposób nie ma identyfikacji serwera, na którym działa hasło, i mogę je wysłać, gdy wiem, że osoba tam siedzi, aby natychmiast zmienić hasło.

Catherine MacInnes
źródło
Dodatkowo, korzystając z komunikatora internetowego, możesz użyć klienta obsługującego protokół OTR, takiego jak Pidgin lub Adium, lub użyć Skype'a, który szyfruje wiadomości błyskawiczne (choć nie jestem pewien poziomu).
msanford
0

Nie podajesz wielu szczegółów dotyczących tego, co jest potrzebne, ale przechowuję moje hasła w pliku Keepass, który jest przechowywany w Dropbox.

Greeblesnort
źródło
-2

Zaszyfrowany formularz internetowy HTTPS może działać dobrze. Martwiłbym się o plik RAR, ponieważ jeśli ktoś przechwyciłby cały plik, mógłby brutalnie wymusić hasło do momentu jego złamania. Przechwytywanie i łączenie strumienia HTTPS nie jest zbyt łatwe, szczególnie przy dużych rozmiarach klawiszy. Mogą one być następnie przechowywane w zaszyfrowanej bazie danych lub w innej postaci, być może również odzyskane tylko przez bezpieczny formularz internetowy.

PGP również by działał, gdybyś miał sposób na bezpieczną wymianę kluczy prywatnych i mógł zaufać, że nie zostaną naruszone z drugiej strony.

Matt
źródło
Czy masz jakieś przemyślenia na temat tego, kto wie, kto prosi o ten formularz / stronę internetową? Jeśli użytkownik jeszcze nie zna hasła, to nie może się również uwierzytelnić.
Arjan
3
Schematy szyfrowania asymetrycznego klucza, takie jak PGP / GPG, zostały zaprojektowane specjalnie, aby NIE trzeba było wymieniać kluczy prywatnych. Wymieniasz klucze publiczne, które są nazywane publicznymi, ponieważ powinny być po prostu publiczne. Nie musisz ukrywać swoich kluczy publicznych, tylko prywatnych.
Mikael Auno,
1
Przepraszam, źle zrozumiałem oryginalne pytanie. Założyłem, że dotyczy to sprawy wewnętrznej, a nie nowych użytkowników czy czegoś takiego. Myślę, że szyfrowanie kluczem publicznym byłoby tym, czego potrzebujesz.
Matt