Мне часто нужно получать пароли от клиентов для FTP, SSH, MySQL, Authorize.net и т. Д.
Какой простой способ безопасно отправить мне пароли? Может быть, даже без них не требуется логин / пароль?
Зашифрованные сеансы обмена мгновенными сообщениями - сложная задача для работы с нетехническими специалистами. Телефонные звонки нарушают мою концентрацию и требуют организации. (В любом случае, безопасны ли VOIP-звонки?)
Идеально: простой способ для неопытных людей отправлять зашифрованные письма. PGP / GPG не сокращает его , если в Outlook нет какого-то сверхлегкого встроенного мастера. (Ты никогда не узнаешь...?)
Хорошо: веб-система защищенных сообщений (надеюсь, на PHP), которую я мог бы разместить и использовать поверх SSL. Я не смог найти ничего подобного.
Может быть, я спрашиваю не то или не то. Любые предложения приветствуются!
источник
Ответы:
Ваша идея системы обмена сообщениями через Интернет может быть реализована в нескольких десятках строк HTML и PHP (в основном, html) в любой системе, в которой установлен веб-сервер SSL и GPG. Это действительно очень простая, но специализированная программа типа mailmail. Вы можете даже взломать существующий CGI-скрипт formmail, чтобы вставить вызов в GPG (если он еще не существует, попробуйте Googling для formmail + GPG)
Кстати, Thunderbird имеет плагин Enigmail, который делает использование GPG-шифрования очень простым. Но это все еще, вероятно, слишком много проблем для случайных пользователей.
источник
PGP популярен.
Вы также можете попробовать проверенный метод встречи в пруду, желательно, чтобы вы оба были в плащах.
источник
Это комбинация между текстовым файлом и телефонным звонком:
Пусть ваш клиент поместит пароль в простой текстовый файл, а затем поместит текстовый файл в zip-файл, защищенный паролем. (7zip бесплатный и с открытым исходным кодом). Попросите их отправить вам по электронной почте зашифрованный файл .zip / .rar / .7z, а затем позвоните с их именем пользователя и паролем для zip-файла.
Это не позволяет никому открыть файл zip, и даже если они это сделали, это всего лишь пароль, который ничего не дает вам без какой-либо другой информации, такой как имя пользователя и где его использовать.
Кроме того, это способ отправить по электронной почте «запрещенный» тип файла, такой как .exe, почтовому клиенту, который сканирует вложения и внутренние zip-файлы. В этих случаях я обычно просто включаю пароль для zip-файла в электронное письмо, и обычно это «пароль». Однако этого достаточно, чтобы программное обеспечение электронной почты не проверяло содержимое.
источник
Не переусердствуйте и не переоценивайте важность того, что отправляет вам ваш клиент.
Если на каком-либо из компьютеров работает регистратор ключей, шифрование не защитит эти драгоценные пароли.
Я бы не отправлял ДЕЙСТВИТЕЛЬНО чувствительные пароли через Интернет (например, пароль администратора), но для приложений, которые вы упомянули? Это не стоит усилий, чтобы защитить их на случай, если кто-то перехватит ваши электронные письма.
Если ваш клиент обеспокоен, у них есть несколько вариантов:
источник
настройте файл Safe Password в шард Dropbox , чтобы клиенты могли добавлять пароли по мере необходимости.
Джоэл описывает технику здесь
источник
Как насчет Cryptocat ? Безопасный, простой в использовании и браузер все, что вам нужно. Подробнее см. На странице «О нас» .
Как указал Ян Данн, в системе есть недостаток, который злоумышленник может выдать за вашего клиента. В этом случае единственной защитой будет имя чата, которое затем станет паролем . Проблема сдвинута, но не решена.
Тем не менее, я часто нужен отправить клиент 30+ полукокса салату (мы называем их пароли) , и я в основном использую crypto.cat для обмена учетных данных во время разговора с ними по телефону. Это кажется очень безопасным для меня, и клиент может использовать
CTRL+C
.источник
Вы можете попробовать NoteShred. Это инструмент, созданный для ваших нужд. Вы можете создать безопасную заметку, отправить кому-нибудь ссылку и пароль и «разорвать» их после прочтения. Примечание исчезло, и вы получили уведомление по электронной почте, чтобы сообщить, что ваша информация уничтожена.
Это бесплатно и не требует никакой регистрации.
https://www.noteshred.com
источник
Система мгновенных сообщений Skype зашифрована .
Теперь, вот необходимые предостережения: Skype не является открытым исходным кодом, поэтому вы не знаете, выполнили ли они ужасную работу или установили правительственный бэкдор или скопировали все сообщения Бобу в ИТ, но наилучшие имеющиеся данные свидетельствуют о том, что это ненадежно.
источник
Как насчет текстового файла на зашифрованном USB-ключе, отправленном обычной почтой?
источник
Этот процесс работает не во всех ситуациях, но я думаю, что он хорош для многопользовательских систем (таких как CMS или панель управления хостингом):
Преимущества этого подхода в том, что:
Первоначальная ключевая фраза является самым слабым звеном в цепи из-за ее относительно низкой энтропии и небезопасной передачи по телефону. Тем не менее, он все еще имеет ~ 100 бит энтропии и живет только 15-90 секунд. На мой взгляд, этого достаточно, если вы не работаете над чем-то очень чувствительным, или знаете, что в настоящее время вас лично преследует хороший хакер.
источник
Некоторые люди в этой теме предлагали создать веб-приложение для этого. На самом деле некоторые даже создали свои. Честно говоря, я не считаю хорошей идеей полагаться на незнакомцев в такой услуге. Я внедрил базовое веб-приложение, которое позволяет пользователям обмениваться паролями через простой веб-интерфейс, и сделал его доступным бесплатно под лицензией MIT.
Проверьте это здесь: https://github.com/MichaelThessel/pwx
Это займет несколько минут, чтобы установить в вашей собственной инфраструктуре, и вы можете изучить исходный код. Я использовал свою собственную установку с моими клиентами в течение многих месяцев, и даже нетехнические люди подобрали ее в самое короткое время.
Если вы хотите протестировать приложение без предварительной установки, вы можете посмотреть здесь:
https://pwx.michaelthessel.com
источник
Как насчет отправки паролей через старые добрые SMS ? Это очень просто, и, пока вы не предоставите никакой другой информации в тексте, будет очень трудно понять, к чему это приведет.
источник
Это немного больше усилий, но также экономит время клиента:
Установите для них что-то вроде Roboform, но храните данные в Интернете, чтобы вы могли получить к ним доступ. Когда они войдут куда-нибудь, RF сохранит пароль, и он будет вам доступен.
Недостатки : * Не уверен, насколько безопасным является онлайн-хранилище Roboform * У вас есть доступ ко всем паролям клиента, и им может не понравиться эта идея.
источник
Использовать outlook или thunderbird с S / MIME легко, но еще лучше, чтобы они позвонили вам и прочитали вам свой пароль - если вы хотите быть супер-крутым, пусть они прочитают его вам, а затем отправят вам текст и отправят вам электронное письмо. другая часть этого.
источник
Если использование является очень временным, например, одноразовое устранение неполадок или передача файлов, этот уровень безопасности может быть ненужным. Попросите клиента временно сменить пароль на что-то, что вы знаете, сделайте свою работу, а затем снова смените его. Даже если временный пароль был обнаружен, он будет устаревшим, прежде чем его можно будет использовать в гнусных целях.
источник
Мой друг создал этот сайт специально по этой причине: https://pwshare.com
Для меня и моих друзей в мире хостинга отличный инструмент для быстрой отправки паролей клиентам.
На странице about: https://pwshare.com/about. PWShare использует спецификацию шифрования с открытым / закрытым ключом, известную как RSA. Когда клиент хочет отправить пароль, с сервера запрашивается открытый ключ.
Затем клиент шифрует пароль перед отправкой пароля на сервер. Из-за этого сервер не знает и не хранит расшифрованный пароль.
Только с помощью ссылки, которая содержит идентификатор и пароль закрытого ключа, можно расшифровать пароль.
источник
Я бы рекомендовал использовать что-то вроде axcrypt. Это очень интуитивно понятно, так что даже технически сложные люди могут заставить его работать.
Скачать AxCrypt здесь
Когда вы используете AxCrypt, вы или тот, с кем имеете дело, можете создать файл со всеми паролями / конфиденциальной информацией, а затем зашифровать его парольной фразой. Я всегда рекомендую как минимум обменяться паролем по телефону или лично (это лучший вариант). AxCrypt использует некоторое приличное шифрование, поэтому вы можете быть уверены, что оно защитит всех, кроме самого решительного противника. Лучшая часть AxCrypt заключается в том, что он интегрируется в Windows как расширение для проводника. В Windows Explorer все, что вам нужно сделать, это щелкнуть правой кнопкой мыши на файле, чтобы зашифровать его / расшифровать его /
Хорошей охоты!
источник