Как клиенты могут легко и безопасно отправить мне пароли? [закрыто]

Мне часто нужно получать пароли от клиентов для FTP, SSH, MySQL, Authorize.net и т. Д.

Какой простой способ безопасно отправить мне пароли? Может быть, даже без них не требуется логин / пароль?

Зашифрованные сеансы обмена мгновенными сообщениями - сложная задача для работы с нетехническими специалистами. Телефонные звонки нарушают мою концентрацию и требуют организации. (В любом случае, безопасны ли VOIP-звонки?)

Идеально: простой способ для неопытных людей отправлять зашифрованные письма. PGP / GPG не сокращает его , если в Outlook нет какого-то сверхлегкого встроенного мастера. (Ты никогда не узнаешь...?)

Хорошо: веб-система защищенных сообщений (надеюсь, на PHP), которую я мог бы разместить и использовать поверх SSL. Я не смог найти ничего подобного.

Может быть, я спрашиваю не то или не то. Любые предложения приветствуются!

Ваша идея системы обмена сообщениями через Интернет может быть реализована в нескольких десятках строк HTML и PHP (в основном, html) в любой системе, в которой установлен веб-сервер SSL и GPG. Это действительно очень простая, но специализированная программа типа mailmail. Вы можете даже взломать существующий CGI-скрипт formmail, чтобы вставить вызов в GPG (если он еще не существует, попробуйте Googling для formmail + GPG)

• Если вы еще этого не сделали, установите gpg на свою рабочую станцию ​​и создайте свой открытый и закрытый ключи.
• Создайте страницу php, которая отображает форму для принятия сообщения (текстовое поле), шифрует ее с помощью gpg, используя ваш открытый ключ, и отправляет вам по электронной почте. Жесткий код вашего адреса электронной почты в сценарии (т. Е. Отправитель не может указать, кому отправлять сообщения)
• Установите страницу php на существующий сервер ssl или создайте ее только для задачи. Самоподписанный сертификат достаточно хорош для этой работы.
• Сообщите вашему клиенту URL-адрес, когда он понадобится, чтобы отправить вам логин и пароль.

Кстати, Thunderbird имеет плагин Enigmail, который делает использование GPG-шифрования очень простым. Но это все еще, вероятно, слишком много проблем для случайных пользователей.

PGP популярен.

Вы также можете попробовать проверенный метод встречи в пруду, желательно, чтобы вы оба были в плащах.

Это комбинация между текстовым файлом и телефонным звонком:

Пусть ваш клиент поместит пароль в простой текстовый файл, а затем поместит текстовый файл в zip-файл, защищенный паролем. (7zip бесплатный и с открытым исходным кодом). Попросите их отправить вам по электронной почте зашифрованный файл .zip / .rar / .7z, а затем позвоните с их именем пользователя и паролем для zip-файла.

Это не позволяет никому открыть файл zip, и даже если они это сделали, это всего лишь пароль, который ничего не дает вам без какой-либо другой информации, такой как имя пользователя и где его использовать.

Кроме того, это способ отправить по электронной почте «запрещенный» тип файла, такой как .exe, почтовому клиенту, который сканирует вложения и внутренние zip-файлы. В этих случаях я обычно просто включаю пароль для zip-файла в электронное письмо, и обычно это «пароль». Однако этого достаточно, чтобы программное обеспечение электронной почты не проверяло содержимое.

Не переусердствуйте и не переоценивайте важность того, что отправляет вам ваш клиент.

Если на каком-либо из компьютеров работает регистратор ключей, шифрование не защитит эти драгоценные пароли.

Я бы не отправлял ДЕЙСТВИТЕЛЬНО чувствительные пароли через Интернет (например, пароль администратора), но для приложений, которые вы упомянули? Это не стоит усилий, чтобы защитить их на случай, если кто-то перехватит ваши электронные письма.

Если ваш клиент обеспокоен, у них есть несколько вариантов:

1. Узнайте, как отправлять зашифрованные письма.
2. Отправьте факс, если это возможно.
3. Обычная почта? (смешно)
4. Произнесите это четко по телефону, используя фонетический алфавит

настройте файл Safe Password в шард Dropbox , чтобы клиенты могли добавлять пароли по мере необходимости.

Джоэл описывает технику здесь

Как насчет Cryptocat ? Безопасный, простой в использовании и браузер все, что вам нужно. Подробнее см. На странице «О нас» .

Как указал Ян Данн, в системе есть недостаток, который злоумышленник может выдать за вашего клиента. В этом случае единственной защитой будет имя чата, которое затем станет паролем . Проблема сдвинута, но не решена.

Тем не менее, я часто нужен отправить клиент 30+ полукокса салату (мы называем их пароли) , и я в основном использую crypto.cat для обмена учетных данных во время разговора с ними по телефону. Это кажется очень безопасным для меня, и клиент может использовать CTRL+C.

Вы можете попробовать NoteShred. Это инструмент, созданный для ваших нужд. Вы можете создать безопасную заметку, отправить кому-нибудь ссылку и пароль и «разорвать» их после прочтения. Примечание исчезло, и вы получили уведомление по электронной почте, чтобы сообщить, что ваша информация уничтожена.

Это бесплатно и не требует никакой регистрации.

https://www.noteshred.com

Система мгновенных сообщений Skype зашифрована .

Теперь, вот необходимые предостережения: Skype не является открытым исходным кодом, поэтому вы не знаете, выполнили ли они ужасную работу или установили правительственный бэкдор или скопировали все сообщения Бобу в ИТ, но наилучшие имеющиеся данные свидетельствуют о том, что это ненадежно.

Как насчет текстового файла на зашифрованном USB-ключе, отправленном обычной почтой?

Этот процесс работает не во всех ситуациях, но я думаю, что он хорош для многопользовательских систем (таких как CMS или панель управления хостингом):

1. Клиент звонит вам по телефону.
2. Пока вы разговариваете по телефону, клиент входит в систему и создает новую учетную запись администратора специально для вас, а не дает вам доступ к существующей.
3. Они выбирают относительно простую, произвольную (но не более 15 символов) парольную фразу для начального пароля (например, поездка в Портленд в эти выходные или где мои наушники )
4. Они говорят вам пароль по телефону.
5. Вы немедленно входите в систему и сбрасываете пароль на что-то действительно надежное , например, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Вы храните окончательный пароль в вашем менеджере паролей.

Преимущества этого подхода в том, что:

1. Это относительно просто для клиента. Им нужно только знать, как создать учетную запись в системе. Вы можете пройти через это, пока вы разговариваете по телефону, если у них возникнут проблемы.
2. Это относительно просто и для вас. Вам не нужно заниматься настройкой и распространением зашифрованных файлов, размещением приложения с настраиваемой формой и т. Д.
3. Он использует фразу-пароль (в отличие от пароля), так что временный пароль легко общаться по телефону, но также является относительно безопасным.
4. Окончательный пароль никогда не передается (за исключением формы сброса пароля, конечно, но она должна быть зашифрована системой).
5. Окончательный пароль никогда не известен клиенту, поэтому они не могут случайно раскрыть его злоумышленникам. Конечно, они все еще могут раскрыть пароль своей учетной записи, но расследование инцидента после вскрытия может отследить проникновение в их учетную запись, а не в вашу;)

Первоначальная ключевая фраза является самым слабым звеном в цепи из-за ее относительно низкой энтропии и небезопасной передачи по телефону. Тем не менее, он все еще имеет ~ 100 бит энтропии и живет только 15-90 секунд. На мой взгляд, этого достаточно, если вы не работаете над чем-то очень чувствительным, или знаете, что в настоящее время вас лично преследует хороший хакер.

Некоторые люди в этой теме предлагали создать веб-приложение для этого. На самом деле некоторые даже создали свои. Честно говоря, я не считаю хорошей идеей полагаться на незнакомцев в такой услуге. Я внедрил базовое веб-приложение, которое позволяет пользователям обмениваться паролями через простой веб-интерфейс, и сделал его доступным бесплатно под лицензией MIT.

Проверьте это здесь: https://github.com/MichaelThessel/pwx

Это займет несколько минут, чтобы установить в вашей собственной инфраструктуре, и вы можете изучить исходный код. Я использовал свою собственную установку с моими клиентами в течение многих месяцев, и даже нетехнические люди подобрали ее в самое короткое время.

Если вы хотите протестировать приложение без предварительной установки, вы можете посмотреть здесь:

https://pwx.michaelthessel.com

Как насчет отправки паролей через старые добрые SMS ? Это очень просто, и, пока вы не предоставите никакой другой информации в тексте, будет очень трудно понять, к чему это приведет.

Это немного больше усилий, но также экономит время клиента:

Установите для них что-то вроде Roboform, но храните данные в Интернете, чтобы вы могли получить к ним доступ. Когда они войдут куда-нибудь, RF сохранит пароль, и он будет вам доступен.

Недостатки : * Не уверен, насколько безопасным является онлайн-хранилище Roboform * У вас есть доступ ко всем паролям клиента, и им может не понравиться эта идея.

Использовать outlook или thunderbird с S / MIME легко, но еще лучше, чтобы они позвонили вам и прочитали вам свой пароль - если вы хотите быть супер-крутым, пусть они прочитают его вам, а затем отправят вам текст и отправят вам электронное письмо. другая часть этого.

Если использование является очень временным, например, одноразовое устранение неполадок или передача файлов, этот уровень безопасности может быть ненужным. Попросите клиента временно сменить пароль на что-то, что вы знаете, сделайте свою работу, а затем снова смените его. Даже если временный пароль был обнаружен, он будет устаревшим, прежде чем его можно будет использовать в гнусных целях.

Мой друг создал этот сайт специально по этой причине: https://pwshare.com

Для меня и моих друзей в мире хостинга отличный инструмент для быстрой отправки паролей клиентам.

На странице about: https://pwshare.com/about. PWShare использует спецификацию шифрования с открытым / закрытым ключом, известную как RSA. Когда клиент хочет отправить пароль, с сервера запрашивается открытый ключ.

Затем клиент шифрует пароль перед отправкой пароля на сервер. Из-за этого сервер не знает и не хранит расшифрованный пароль.

Только с помощью ссылки, которая содержит идентификатор и пароль закрытого ключа, можно расшифровать пароль.

Я бы рекомендовал использовать что-то вроде axcrypt. Это очень интуитивно понятно, так что даже технически сложные люди могут заставить его работать.

Скачать AxCrypt здесь

Когда вы используете AxCrypt, вы или тот, с кем имеете дело, можете создать файл со всеми паролями / конфиденциальной информацией, а затем зашифровать его парольной фразой. Я всегда рекомендую как минимум обменяться паролем по телефону или лично (это лучший вариант). AxCrypt использует некоторое приличное шифрование, поэтому вы можете быть уверены, что оно защитит всех, кроме самого решительного противника. Лучшая часть AxCrypt заключается в том, что он интегрируется в Windows как расширение для проводника. В Windows Explorer все, что вам нужно сделать, это щелкнуть правой кнопкой мыши на файле, чтобы зашифровать его / расшифровать его /

Хорошей охоты!