Jak klienci mogą łatwo i bezpiecznie wysyłać mi hasła? [Zamknięte]

Często muszę uzyskiwać hasła od klientów FTP, SSH, MySQL, Authorize.net itp.

Jak w łatwy sposób bezpiecznie przesyłają mi hasła? Może nawet bez potrzeby logowania / hasła?

Sesje zaszyfrowanych wiadomości błyskawicznych są kłopotliwe z konfiguracją bez technologii. Rozmowy telefoniczne przerywają moją koncentrację i wymagają umówienia się. (Czy połączenia VOIP są bezpieczne?)

Idealny: łatwy sposób na wysyłanie zaszyfrowanych wiadomości e-mail przez osoby nie znające się na technologii . PGP / GPG tego nie robi , chyba że Outlook ma jakiś super łatwy wbudowany kreator. (Nigdy nie wiesz...?)

Dobrze: Bezpieczny system wiadomości internetowych (mam nadzieję, że w PHP), który mógłbym hostować i uruchamiać przez SSL. Nie byłem w stanie znaleźć czegoś takiego.

Może pytam niewłaściwą lub niewłaściwą drogę. Wszelkie sugestie są mile widziane!

Twój pomysł na internetowy system przesyłania wiadomości mógłby zostać zaimplementowany w kilkudziesięciu liniach HTML i PHP (głównie HTML) w każdym systemie, który ma zainstalowany serwer WWW SSL i GPG. To naprawdę bardzo prosty, ale wyspecjalizowany program typu formmail. Możesz nawet zhakować istniejący skrypt CGI formmail, aby wstawić wywołanie do GPG (zakładając, że jeszcze nie istnieje, spróbuj Googling dla formmail + GPG)

• Jeśli jeszcze tego nie zrobiłeś, zainstaluj gpg na stacji roboczej i utwórz klucze publiczne i prywatne
• Utwórz stronę php, która wyświetla formularz, aby zaakceptować wiadomość (pole tekstowe), zaszyfrować ją za pomocą gpg za pomocą klucza publicznego i wysłać do Ciebie e-mailem. Zakoduj na stałe swój adres e-mail w skrypcie (tj. Nie zezwalaj nadawcy na określenie, do kogo wysłać)
• Zainstaluj stronę php na istniejącym serwerze ssl lub utwórz go tylko do tego zadania. Samopodpisany certyfikat jest wystarczający do tej pracy.
• Poinformuj swojego klienta, kiedy jest potrzebny, aby wysłać Ci login i hasło.

Btw, thunderbird ma wtyczkę Enigmail, która bardzo ułatwia korzystanie z szyfrowania GPG. Ale nadal jest to prawdopodobnie zbyt duży problem dla zwykłych użytkowników.

PGP jest popularny.

Możesz także wypróbować sprawdzoną metodę spotkania nad stawem, najlepiej gdy oboje macie na sobie trencze.

Jest to kombinacja pliku tekstowego i połączenia telefonicznego:

Poproś klienta, aby umieścił hasło w zwykłym pliku tekstowym, a następnie upuścił plik tekstowy w chronionym hasłem pliku zip. (7zip jest darmowy i open source). Poproś, aby wysłali Ci zaszyfrowany plik .zip / .rar / .7z, a następnie zadzwonili podając swoją nazwę użytkownika i hasło do pliku zip.

Zapobiega to otwarciu pliku zip przez nikogo, a nawet jeśli tak, to tylko hasło, które niczego nie daje bez żadnych innych informacji, takich jak nazwa użytkownika i gdzie go użyć.

Ponadto jest to sposób wysłania pocztą e-mail „zabronionego” typu pliku, takiego jak .exe, do klienta poczty e-mail, który skanuje załączniki i wewnętrzne zamki. W takich przypadkach zazwyczaj po prostu dołączam hasło do spakowanego pliku w wiadomości e-mail i zwykle jest to „hasło”. Wystarczy jednak, aby oprogramowanie pocztowe nie sprawdzało zawartości.

Nie komplikuj sprawy zbytnio i nie przeceniaj znaczenia tego, co wysyła ci klient.

Jeśli na dowolnym komputerze jest uruchomiony rejestrator kluczy, żadne szyfrowanie nie ochroni tych cennych haseł.

Nie wysyłałbym NAPRAWDĘ wrażliwych haseł przez Internet (takich jak hasło administratora), ale do aplikacji, o których wspomniałeś? Nie warto podejmować wysiłków, aby zabezpieczyć ich przed przypadkiem, że ktoś może przechwytywać wiadomości e-mail.

Jeśli twój klient jest zaniepokojony, ma kilka opcji:

1. Dowiedz się, jak wysyłać zaszyfrowane wiadomości e-mail.
2. Wyślij faks, jeśli to możliwe.
3. List ślimaka? (lol)
4. Mów wyraźnie przez telefon, używając alfabetu fonetycznego

skonfiguruj plik Safe Password w niezależnym Dropbox , aby klienci mogli dodawać hasła w razie potrzeby.

Joel opisuje tutaj technikę

Co z Cryptocat ? Bezpieczny, łatwy w użyciu, a przeglądarka to wszystko, czego potrzebujesz. Szczegółowe informacje można znaleźć na stronie Informacje .

Jak zauważył Ian Dunn, system ma tę wadę, że osoba atakująca może udawać twojego klienta. Jedynym zabezpieczeniem w tym przypadku byłaby nazwa pokoju rozmów, który stałby się hasłem . Problem przesunięty, ale nierozwiązany.

Jednak często muszę wysyłać klientom sałatkę 30+ char (nazywamy je hasłami) i najczęściej używam crypto.cat do wymiany danych uwierzytelniających podczas rozmowy z nimi przez telefon. Wydaje mi się to bardzo bezpieczne i klient może z niego korzystać CTRL+C.

Możesz spróbować NoteShred. To narzędzie stworzone właściwie z myślą o twoich potrzebach. Możesz utworzyć bezpieczną notatkę, wysłać komuś link i hasło, a następnie „zniszczyć” je po przeczytaniu. Notatka zniknęła, a otrzymasz powiadomienie e-mailem z informacją, że Twoje informacje zostały zniszczone.

Jest bezpłatny i nie wymaga rejestracji.

https://www.noteshred.com

Komunikatory Skype są szyfrowane .

Oto niezbędne ostrzeżenia: Skype nie jest oprogramowaniem typu open source, więc nie wiesz, czy wykonali okropną robotę, zainstalowali tylne wejście do rządu lub skopiowali wszystkie wiadomości do Boba w IT, ale najlepsze dostępne dowody sugerują, że tak jest bezpieczne.

Co powiesz na plik tekstowy na zaszyfrowanym kluczu USB wysłanym pocztą ślimakową

Ten proces nie działa we wszystkich sytuacjach, ale myślę, że jest dobry dla systemów dla wielu użytkowników (takich jak CMS lub panel kontrolny hostingu):

1. Klient dzwoni do ciebie przez telefon.
2. Gdy rozmawiasz przez telefon, klient loguje się do systemu i tworzy nowe konto administratora specjalnie dla Ciebie, zamiast dać ci dostęp do ich istniejącego.
3. Wybierają stosunkowo proste, losowe (ale ponad 15 znaków) hasło do początkowego hasła (np. Podczas jazdy do Portland w ten weekend lub gdzie są moje słuchawki )
4. Mówią ci hasło przez telefon.
5. Natychmiast logujesz się do systemu i resetujesz hasło na coś naprawdę mocnego , np. #] T'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Ostatnie hasło przechowujesz w swoim menedżerze haseł.

Zaletami tego podejścia są:

1. Jest to stosunkowo proste dla klienta. Muszą tylko wiedzieć, jak założyć konto w systemie. Możesz przejść przez to, gdy rozmawiasz przez telefon, jeśli mają problemy.
2. Jest to również stosunkowo proste dla Ciebie. Nie musisz zajmować się konfigurowaniem i udostępnianiem zaszyfrowanych plików, hostingiem niestandardowego formularza itp.
3. Używa hasła (w przeciwieństwie do hasła), dzięki czemu hasło tymczasowe jest łatwe do przekazania przez telefon, ale jest również względnie bezpieczne.
4. Ostateczne hasło nigdy nie jest przesyłane (z wyjątkiem oczywiście formularza resetowania hasła, ale system powinien je zaszyfrować).
5. Ostateczne hasło nigdy nie jest znane klientowi, więc nie może przypadkowo udostępnić go atakującym. Oczywiście nadal mogą ujawnić hasło do swojego konta, ale pośmiertne dochodzenie w sprawie zdarzenia śledziłoby penetrację konta, a nie twojego;)

Początkowe hasło jest najsłabszym ogniwem w łańcuchu ze względu na jego stosunkowo niską entropię i niepewną transmisję przez telefon. Jednak nadal ma ~ 100 bitów entropii i żyje tylko przez 15-90 sekund. Moim zdaniem jest to wystarczająco dobre, chyba że pracujesz nad czymś bardzo wrażliwym lub wiesz, że jesteś obecnie osobiście atakowany przez dobrego hakera.

Niektóre osoby w tym wątku sugerowały utworzenie aplikacji internetowej w tym celu. W rzeczywistości niektórzy nawet stworzyli własne. Szczerze mówiąc, nie sądzę, że dobrym pomysłem jest poleganie na nieznajomych przy takich usługach. Wdrożyłem podstawową aplikację internetową, która umożliwia użytkownikom wymianę haseł za pomocą prostego interfejsu internetowego i udostępniłem ją swobodnie na licencji MIT.

Sprawdź to tutaj: https://github.com/MichaelThessel/pwx

Instalacja w ramach własnej infrastruktury zajmuje kilka minut, a Ty możesz dokładnie przeanalizować kod źródłowy. Używam własnej instalacji z moimi klientami od miesięcy, a nawet osoby bez wiedzy technicznej szybko ją podniosły.

Jeśli chcesz przetestować aplikację bez uprzedniej instalacji, możesz zajrzeć tutaj:

https://pwx.michaelthessel.com

Co powiesz na wysyłanie haseł za pomocą starych dobrych SMS-ów ? Jest to bardzo proste i dopóki nie podasz żadnych innych informacji w tekście, bardzo trudno będzie ustalić, dokąd zmierza.

Ten jest nieco większy wysiłek, ale oszczędza również czas klienta:

Skonfiguruj je za pomocą czegoś takiego jak Roboform, ale przechowuj dane w Internecie, abyś mógł uzyskać do nich dostęp. Kiedy się gdzieś zalogują, RF zapisze hasło i będzie dla ciebie dostępne.

Wady:
* Nie jestem pewien, jak bezpieczne jest przechowywanie online Roboforma * Masz wtedy dostęp do wszystkich haseł klienta i może im się to nie podobać.

Korzystanie z programu Outlook lub Thunderbirda w S / MIME jest łatwe, ale jeszcze lepiej jest, aby zadzwonili do Ciebie i przeczytali Ci swoje hasło - jeśli chcesz być niesamowity, poproś o przeczytanie Ci części, a następnie wysłanie Ci SMS-a i wysłanie Ci e-maila inna część tego.

Jeśli użycie jest bardzo tymczasowe, takie jak jednorazowe rozwiązywanie problemów lub przesyłanie plików, ten poziom bezpieczeństwa może być niepotrzebny. Poproś klienta, aby tymczasowo zmienił hasło na coś, co znasz, wykonaj swoją pracę, a następnie poproś klienta o zmianę go ponownie. Nawet jeśli tymczasowe hasło zostanie odkryte, stanie się nieaktualne, zanim będzie mogło być użyte do niecnych celów.

Mój przyjaciel stworzył tę witrynę specjalnie z tego powodu: https://pwshare.com

Dla mnie i moich przyjaciół w świecie hostingu jest to świetne narzędzie do szybkiego wysyłania haseł do klientów.

Ze strony about: https://pwshare.com/about PWShare używa specyfikacji szyfrowania klucza publicznego / prywatnego znanej jako RSA. Gdy klient chce wysłać hasło, serwer żąda klucza publicznego.

Klient następnie szyfruje hasło przed wysłaniem hasła do serwera. Z tego powodu serwer nie zna ani nie przechowuje odszyfrowanego hasła.

Tylko przy użyciu łącza, które zawiera identyfikator klucza prywatnego i hasło, hasło można odszyfrować.

Poleciłbym użycie czegoś takiego jak axcrypt. Jest bardzo intuicyjny, więc nawet osoby z trudnościami technicznymi mogą go uruchomić.

Pobierz AxCrypt tutaj

Korzystając z AxCrypt, użytkownik lub osoba, z którą mamy do czynienia, może utworzyć plik ze wszystkimi hasłami / poufnymi informacjami, a następnie zaszyfrować go za pomocą hasła. Zawsze zalecam przynajmniej wymianę hasła przez telefon lub osobiście (jest to najlepsza opcja). AxCrypt wykorzystuje pewne przyzwoite szyfrowanie, więc możesz być pewien, że zatrzyma on wszystkich oprócz najbardziej zdeterminowanych przeciwników. Najlepsze w AxCrypt jest to, że integruje się z systemem Windows jako rozszerzenie eksploratora. W Eksploratorze Windows wszystko, co musisz zrobić, to kliknąć plik prawym przyciskiem myszy, aby go zaszyfrować / odszyfrować /

Pomyślnych łowów!