39

Мне часто нужно получать пароли от клиентов для FTP, SSH, MySQL, Authorize.net и т.д.

Какой простой способ безопасно отправить мне пароли? Может быть, даже без них не требуется логин / пароль?

Зашифрованные сеансы обмена мгновенными сообщениями - сложная задача для работы с нетехническими специалистами. Телефонные звонки нарушают мою концентрацию и требуют организации. (В любом случае, безопасны ли VOIP-звонки?)

Идеально: простой способ для неопытных людей отправлять зашифрованные письма. PGP/GPG не сокращает его, если в Outlook нет какого-то сверхлегкого встроенного мастера. (Никогда не знаешь...?)

Хорошо: веб-система защищенных сообщений (надеюсь, на PHP), которую я мог бы разместить и использовать поверх SSL. Я не смог найти ничего подобного.

Возможно я спрашиваю не ту вещь или неправильный путь. Любые предложения приветствуются!

|источник

17 ответов17

23

PGP популярен.

Вы также можете попробовать проверенный метод встречи в пруду, желательно с обоими в плащах.

|источник
13

Ваша идея системы обмена сообщениями через Интернет может быть реализована в нескольких десятках строк HTML и PHP (в основном, html) в любой системе, в которой установлен веб-сервер SSL и GPG. Это действительно очень простая, но специализированная программа типа mailmail. Вы даже можете взломать существующий CGI-скрипт formmail, чтобы вставить вызов в GPG (если он еще не существует, попробуйте поискать в Google для formmail + GPG).

  • Если вы еще этого не сделали, установите gpg на свою рабочую станцию и создайте свой открытый и закрытый ключи.
  • Создайте страницу php, которая отображает форму для принятия сообщения (текстовое поле), шифрует ее с помощью gpg, используя ваш открытый ключ, и отправляет вам по электронной почте. Жесткий код вашего адреса электронной почты в сценарии (т.е.E не позволяет отправителю указывать, кому отправлять)
  • Установите страницу php на существующий ssl-сервер или создайте ее только для задачи. Самоподписанный сертификат достаточно хорош для этой работы.
  • Сообщите вашему клиенту URL-адрес, когда он понадобится, чтобы отправить вам логин и пароль.

Кстати, Thunderbird имеет плагин Enigmail, который делает использование GPG-шифрования очень простым. Но это все еще, вероятно, слишком много проблем для случайных пользователей.

|источник
7

Это комбинация между текстовым файлом и телефонным звонком:

Пусть ваш клиент поместит пароль в простой текстовый файл, а затем поместит текстовый файл в zip-файл, защищенный паролем. (7zip бесплатный и с открытым исходным кодом). Попросите их отправить вам по электронной почте зашифрованный файл .zip/.rar/.7z, а затем позвоните с их именем пользователя и паролем для zip-файла.

Это не позволяет никому открыть файл zip, и даже если они это сделали, это всего лишь пароль, который ничего не дает без какой-либо другой информации, такой как имя пользователя и где его использовать.

Кроме того, это способ отправить по электронной почте "запрещенный" тип файла, такой как .exe, почтовому клиенту, который сканирует вложения и внутренние zip-файлы. В этих случаях я обычно просто включаю пароль для zip-файла в электронное письмо, и обычно это "пароль". Однако этого достаточно, чтобы программное обеспечение электронной почты не проверяло содержимое.

|источник
4

Не усложняйте ситуацию и не переоценивайте важность того, что отправляет вам ваш клиент.

Если на каком-либо из компьютеров работает регистратор ключей, шифрование не защитит эти драгоценные пароли.

Я бы не отправлял ДЕЙСТВИТЕЛЬНО чувствительные пароли через Интернет (например, пароль администратора), но для приложений, которые вы упомянули? Это не стоит усилий, чтобы защитить их на случай, если кто-то перехватит ваши электронные письма.

Если ваш клиент обеспокоен, у них есть несколько вариантов:

  1. Узнайте, как отправлять зашифрованные письма.
  2. Отправьте факс, если это возможно.
  3. Обычная почта? (лол)
  4. Произнесите это четко по телефону, используя фонетический алфавит
|источник
3

Вы можете попробовать NoteShred. Это инструмент, созданный для ваших нужд. Вы можете создать безопасную заметку, отправить кому-нибудь ссылку и пароль и "разорвать" их после прочтения. Примечание исчезло, и вы получили уведомление по электронной почте, чтобы сообщить, что ваша информация уничтожена.

Это бесплатно и не требует никакой регистрации.

https://www.noteshred.com

|источник
3

Система мгновенных сообщений Skype зашифрована.

Теперь, вот необходимые предостережения: Skype не является открытым исходным кодом, поэтому вы не знаете, выполнили ли они ужасную работу, или установили правительственный бэкдор, или скопировали все сообщения Бобу в ИТ, но наилучшие имеющиеся данные свидетельствуют о том, что это безопасный.

|источник
3

настройте файл Safe Password в шард Dropbox, чтобы клиенты могли добавлять пароли по мере необходимости.

Джоэл описывает технику здесь

|источник
3

Что насчет Cryptocat? Безопасный, простой в использовании и браузер все, что вам нужно. Подробнее см. На странице «О нас».

Как указал Ян Данн, в системе есть недостаток, который может сделать злоумышленник вашим клиентом. В этом случае единственной защитой будет имя чата, которое затем станет паролем. Проблема сдвинута, но не решена.

Тем не менее, я часто нужно отправить клиент 30+ обугленного салат (мы называем их пароли) , и я в основном использую crypto.cat для обмена учетных данных во время разговора с ними по телефону. Кажется, это очень безопасно для меня, и клиент может использовать CTRL+C

|источник
2

Некоторые люди в этой теме предлагали создать веб-приложение для этого. На самом деле некоторые даже создали свои. Честно говоря, я не считаю хорошей идеей полагаться на незнакомцев в таких услугах. Я реализовал базовое веб-приложение, которое позволяет пользователям обмениваться паролями через простой веб-интерфейс, и сделал его свободно доступным по лицензии MIT.

Проверьте это здесь: https://github.com/MichaelThessel/pwx

Это займет несколько минут, чтобы установить в вашей собственной инфраструктуре, и вы можете изучить исходный код. Я использовал свою собственную установку с моими клиентами в течение многих месяцев, и даже нетехнические люди подобрали ее в самое короткое время.

Если вы хотите протестировать приложение без предварительной установки, вы можете посмотреть здесь:

https://pwx.michaelthessel.com

|источник
2

Этот процесс работает не во всех ситуациях, но я думаю, что он хорош для многопользовательских систем (таких как CMS или панель управления хостингом):

  1. Клиент звонит вам по телефону.
  2. Пока вы разговариваете по телефону, клиент входит в систему и создает новую учетную запись администратора специально для вас, а не предоставляет вам доступ к существующей.
  3. Они выбирают относительно простую, произвольную (но не более 15 символов) парольную фразу для начального пароля (например, поездка в Портленд в эти выходные или где мои наушники)
  4. Они говорят вам пароль по телефону.
  5. Вы немедленно входите в систему и сбрасываете пароль на что-то действительно надежное , например, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B/cmjV.
  6. Вы храните окончательный пароль в вашем менеджере паролей.

Преимущества этого подхода в том, что:

  1. Это относительно просто для клиента. Им нужно только знать, как создать учетную запись в системе. Вы можете пройти через это, пока вы разговариваете по телефону, если у них возникнут проблемы.
  2. Это относительно просто и для вас. Вам не нужно заниматься настройкой и распространением зашифрованных файлов, размещением приложения с настраиваемой формой и т.д.
  3. Он использует парольную фразу (в отличие от пароля), так что временный пароль легко общаться по телефону, но также является относительно безопасным.
  4. Окончательный пароль никогда не передается (за исключением формы сброса пароля, конечно, но она должна быть зашифрована системой).
  5. Окончательный пароль никогда не известен клиенту, поэтому они не могут случайно раскрыть его злоумышленникам. Конечно, они все еще могут раскрыть пароль своей учетной записи, но расследование инцидента после вскрытия может отследить проникновение в их учетную запись, а не вашу;)

Первоначальная ключевая фраза является самым слабым звеном в цепи из-за ее относительно низкой энтропии и небезопасной передачи по телефону. Тем не менее, он все еще имеет ~ 100 бит энтропии и живет только 15-90 секунд. На мой взгляд, этого достаточно, если вы не работаете над чем-то очень чувствительным, или знаете, что в настоящее время вас лично преследует хороший хакер.

|источник
2

Как насчет текстового файла на зашифрованном USB-ключе, отправленном обычной почтой?

|источник
1

Как насчет отправки паролей через старые добрые SMS? Это очень просто, и, пока вы не предоставите никакой другой информации в тексте, будет очень трудно понять, к чему это приведет.

|источник
0

Это немного больше усилий, но также экономит время клиента:

Установите для них что-то вроде Roboform, но храните данные в Интернете, чтобы вы могли получить к ним доступ. Когда они войдут куда-нибудь, RF сохранит пароль, и он будет вам доступен.

Недостатки:
* Не уверен, насколько безопасным является онлайн-хранилище Roboform. * Тогда у вас есть доступ ко всем паролям клиента, и им может не понравиться эта идея.

|источник
0

Мой друг создал этот сайт специально по этой причине:https://pwshare.com

Для меня и моих друзей в мире хостинга отличный инструмент для быстрой отправки паролей клиентам.

На странице about: https://pwshare.com/about. PWShare использует спецификацию шифрования с открытым / закрытым ключом, известную как RSA. Когда клиент хочет отправить пароль, с сервера запрашивается открытый ключ.

Затем клиент шифрует пароль перед отправкой пароля на сервер. Из-за этого сервер не знает и не хранит расшифрованный пароль.

Только с помощью ссылки, которая содержит идентификатор и пароль закрытого ключа, можно расшифровать пароль.

|источник
0

Если использование является очень временным, например, одноразовое устранение неполадок или передача файлов, этот уровень безопасности может быть ненужным. Попросите клиента временно сменить пароль на что-то, что вы знаете, сделайте свою работу, а затем снова смените его. Даже если временный пароль был обнаружен, он будет устаревшим, прежде чем его можно будет использовать в гнусных целях.

|источник
0

Использовать outlook или thunderbird с S/MIME легко, но еще лучше, чтобы они позвонили вам и прочитали вам свой пароль - если вы хотите быть супер-классным, попросите их прочитать вам часть, а затем отправить вам текст и отправить по электронной почте другая часть этого.

|источник
-1

Я бы рекомендовал использовать что-то вроде axcrypt. Это очень интуитивно понятно, так что даже технически сложные люди могут заставить его работать.

Скачать AxCrypt здесь

Когда вы используете AxCrypt, вы или тот, с кем имеете дело, можете создать файл со всеми паролями / конфиденциальной информацией, а затем зашифровать его парольной фразой. Я всегда рекомендую как минимум обменяться паролем по телефону или лично (это лучший вариант). AxCrypt использует неплохое шифрование, так что вы можете быть уверены, что оно защитит всех, кроме самого решительного противника. Лучшая часть AxCrypt заключается в том, что он интегрируется в Windows в качестве расширения проводника. В Windows Explorer все, что вам нужно сделать, это щелкнуть правой кнопкой мыши на файле, чтобы зашифровать его / расшифровать его /

Хорошей охоты!

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .