Często muszę uzyskiwać hasła od klientów FTP, SSH, MySQL, Authorize.net itp.
Jak w łatwy sposób bezpiecznie przesyłają mi hasła? Może nawet bez potrzeby logowania / hasła?
Sesje zaszyfrowanych wiadomości błyskawicznych są kłopotliwe z konfiguracją bez technologii. Rozmowy telefoniczne przerywają moją koncentrację i wymagają umówienia się. (Czy połączenia VOIP są bezpieczne?)
Idealny: łatwy sposób na wysyłanie zaszyfrowanych wiadomości e-mail przez osoby nie znające się na technologii . PGP / GPG tego nie robi , chyba że Outlook ma jakiś super łatwy wbudowany kreator. (Nigdy nie wiesz...?)
Dobrze: Bezpieczny system wiadomości internetowych (mam nadzieję, że w PHP), który mógłbym hostować i uruchamiać przez SSL. Nie byłem w stanie znaleźć czegoś takiego.
Może pytam niewłaściwą lub niewłaściwą drogę. Wszelkie sugestie są mile widziane!
źródło
Odpowiedzi:
Twój pomysł na internetowy system przesyłania wiadomości mógłby zostać zaimplementowany w kilkudziesięciu liniach HTML i PHP (głównie HTML) w każdym systemie, który ma zainstalowany serwer WWW SSL i GPG. To naprawdę bardzo prosty, ale wyspecjalizowany program typu formmail. Możesz nawet zhakować istniejący skrypt CGI formmail, aby wstawić wywołanie do GPG (zakładając, że jeszcze nie istnieje, spróbuj Googling dla formmail + GPG)
Btw, thunderbird ma wtyczkę Enigmail, która bardzo ułatwia korzystanie z szyfrowania GPG. Ale nadal jest to prawdopodobnie zbyt duży problem dla zwykłych użytkowników.
źródło
PGP jest popularny.
Możesz także wypróbować sprawdzoną metodę spotkania nad stawem, najlepiej gdy oboje macie na sobie trencze.
źródło
Jest to kombinacja pliku tekstowego i połączenia telefonicznego:
Poproś klienta, aby umieścił hasło w zwykłym pliku tekstowym, a następnie upuścił plik tekstowy w chronionym hasłem pliku zip. (7zip jest darmowy i open source). Poproś, aby wysłali Ci zaszyfrowany plik .zip / .rar / .7z, a następnie zadzwonili podając swoją nazwę użytkownika i hasło do pliku zip.
Zapobiega to otwarciu pliku zip przez nikogo, a nawet jeśli tak, to tylko hasło, które niczego nie daje bez żadnych innych informacji, takich jak nazwa użytkownika i gdzie go użyć.
Ponadto jest to sposób wysłania pocztą e-mail „zabronionego” typu pliku, takiego jak .exe, do klienta poczty e-mail, który skanuje załączniki i wewnętrzne zamki. W takich przypadkach zazwyczaj po prostu dołączam hasło do spakowanego pliku w wiadomości e-mail i zwykle jest to „hasło”. Wystarczy jednak, aby oprogramowanie pocztowe nie sprawdzało zawartości.
źródło
Nie komplikuj sprawy zbytnio i nie przeceniaj znaczenia tego, co wysyła ci klient.
Jeśli na dowolnym komputerze jest uruchomiony rejestrator kluczy, żadne szyfrowanie nie ochroni tych cennych haseł.
Nie wysyłałbym NAPRAWDĘ wrażliwych haseł przez Internet (takich jak hasło administratora), ale do aplikacji, o których wspomniałeś? Nie warto podejmować wysiłków, aby zabezpieczyć ich przed przypadkiem, że ktoś może przechwytywać wiadomości e-mail.
Jeśli twój klient jest zaniepokojony, ma kilka opcji:
źródło
skonfiguruj plik Safe Password w niezależnym Dropbox , aby klienci mogli dodawać hasła w razie potrzeby.
Joel opisuje tutaj technikę
źródło
Co z Cryptocat ? Bezpieczny, łatwy w użyciu, a przeglądarka to wszystko, czego potrzebujesz. Szczegółowe informacje można znaleźć na stronie Informacje .
Jak zauważył Ian Dunn, system ma tę wadę, że osoba atakująca może udawać twojego klienta. Jedynym zabezpieczeniem w tym przypadku byłaby nazwa pokoju rozmów, który stałby się hasłem . Problem przesunięty, ale nierozwiązany.
Jednak często muszę wysyłać klientom sałatkę 30+ char (nazywamy je hasłami) i najczęściej używam crypto.cat do wymiany danych uwierzytelniających podczas rozmowy z nimi przez telefon. Wydaje mi się to bardzo bezpieczne i klient może z niego korzystać
CTRL+C
.źródło
Możesz spróbować NoteShred. To narzędzie stworzone właściwie z myślą o twoich potrzebach. Możesz utworzyć bezpieczną notatkę, wysłać komuś link i hasło, a następnie „zniszczyć” je po przeczytaniu. Notatka zniknęła, a otrzymasz powiadomienie e-mailem z informacją, że Twoje informacje zostały zniszczone.
Jest bezpłatny i nie wymaga rejestracji.
https://www.noteshred.com
źródło
Komunikatory Skype są szyfrowane .
Oto niezbędne ostrzeżenia: Skype nie jest oprogramowaniem typu open source, więc nie wiesz, czy wykonali okropną robotę, zainstalowali tylne wejście do rządu lub skopiowali wszystkie wiadomości do Boba w IT, ale najlepsze dostępne dowody sugerują, że tak jest bezpieczne.
źródło
Co powiesz na plik tekstowy na zaszyfrowanym kluczu USB wysłanym pocztą ślimakową
źródło
Ten proces nie działa we wszystkich sytuacjach, ale myślę, że jest dobry dla systemów dla wielu użytkowników (takich jak CMS lub panel kontrolny hostingu):
Zaletami tego podejścia są:
Początkowe hasło jest najsłabszym ogniwem w łańcuchu ze względu na jego stosunkowo niską entropię i niepewną transmisję przez telefon. Jednak nadal ma ~ 100 bitów entropii i żyje tylko przez 15-90 sekund. Moim zdaniem jest to wystarczająco dobre, chyba że pracujesz nad czymś bardzo wrażliwym lub wiesz, że jesteś obecnie osobiście atakowany przez dobrego hakera.
źródło
Niektóre osoby w tym wątku sugerowały utworzenie aplikacji internetowej w tym celu. W rzeczywistości niektórzy nawet stworzyli własne. Szczerze mówiąc, nie sądzę, że dobrym pomysłem jest poleganie na nieznajomych przy takich usługach. Wdrożyłem podstawową aplikację internetową, która umożliwia użytkownikom wymianę haseł za pomocą prostego interfejsu internetowego i udostępniłem ją swobodnie na licencji MIT.
Sprawdź to tutaj: https://github.com/MichaelThessel/pwx
Instalacja w ramach własnej infrastruktury zajmuje kilka minut, a Ty możesz dokładnie przeanalizować kod źródłowy. Używam własnej instalacji z moimi klientami od miesięcy, a nawet osoby bez wiedzy technicznej szybko ją podniosły.
Jeśli chcesz przetestować aplikację bez uprzedniej instalacji, możesz zajrzeć tutaj:
https://pwx.michaelthessel.com
źródło
Co powiesz na wysyłanie haseł za pomocą starych dobrych SMS-ów ? Jest to bardzo proste i dopóki nie podasz żadnych innych informacji w tekście, bardzo trudno będzie ustalić, dokąd zmierza.
źródło
Ten jest nieco większy wysiłek, ale oszczędza również czas klienta:
Skonfiguruj je za pomocą czegoś takiego jak Roboform, ale przechowuj dane w Internecie, abyś mógł uzyskać do nich dostęp. Kiedy się gdzieś zalogują, RF zapisze hasło i będzie dla ciebie dostępne.
Wady:
* Nie jestem pewien, jak bezpieczne jest przechowywanie online Roboforma * Masz wtedy dostęp do wszystkich haseł klienta i może im się to nie podobać.
źródło
Korzystanie z programu Outlook lub Thunderbirda w S / MIME jest łatwe, ale jeszcze lepiej jest, aby zadzwonili do Ciebie i przeczytali Ci swoje hasło - jeśli chcesz być niesamowity, poproś o przeczytanie Ci części, a następnie wysłanie Ci SMS-a i wysłanie Ci e-maila inna część tego.
źródło
Jeśli użycie jest bardzo tymczasowe, takie jak jednorazowe rozwiązywanie problemów lub przesyłanie plików, ten poziom bezpieczeństwa może być niepotrzebny. Poproś klienta, aby tymczasowo zmienił hasło na coś, co znasz, wykonaj swoją pracę, a następnie poproś klienta o zmianę go ponownie. Nawet jeśli tymczasowe hasło zostanie odkryte, stanie się nieaktualne, zanim będzie mogło być użyte do niecnych celów.
źródło
Mój przyjaciel stworzył tę witrynę specjalnie z tego powodu: https://pwshare.com
Dla mnie i moich przyjaciół w świecie hostingu jest to świetne narzędzie do szybkiego wysyłania haseł do klientów.
Ze strony about: https://pwshare.com/about PWShare używa specyfikacji szyfrowania klucza publicznego / prywatnego znanej jako RSA. Gdy klient chce wysłać hasło, serwer żąda klucza publicznego.
Klient następnie szyfruje hasło przed wysłaniem hasła do serwera. Z tego powodu serwer nie zna ani nie przechowuje odszyfrowanego hasła.
Tylko przy użyciu łącza, które zawiera identyfikator klucza prywatnego i hasło, hasło można odszyfrować.
źródło
Poleciłbym użycie czegoś takiego jak axcrypt. Jest bardzo intuicyjny, więc nawet osoby z trudnościami technicznymi mogą go uruchomić.
Pobierz AxCrypt tutaj
Korzystając z AxCrypt, użytkownik lub osoba, z którą mamy do czynienia, może utworzyć plik ze wszystkimi hasłami / poufnymi informacjami, a następnie zaszyfrować go za pomocą hasła. Zawsze zalecam przynajmniej wymianę hasła przez telefon lub osobiście (jest to najlepsza opcja). AxCrypt wykorzystuje pewne przyzwoite szyfrowanie, więc możesz być pewien, że zatrzyma on wszystkich oprócz najbardziej zdeterminowanych przeciwników. Najlepsze w AxCrypt jest to, że integruje się z systemem Windows jako rozszerzenie eksploratora. W Eksploratorze Windows wszystko, co musisz zrobić, to kliknąć plik prawym przyciskiem myszy, aby go zaszyfrować / odszyfrować /
Pomyślnych łowów!
źródło