який безпечний спосіб надсилання паролів через Інтернет?

12

Я шукаю найкращий спосіб безпечно надсилати паролі через Інтернет. Я розглянув параметри PGP та зашифровані файли RAR. Немає реальних параметрів, окрім потрапляння з точки а в точку b по інтернетам без зайвого ризику.

security password

— Джим Б
джерело

4

Це може здатися дивним, але чому, оскільки хтось порекомендував Skype і зателефонував їм, чому б не надіслати SMS-повідомлення паролем? (якщо припустити, що інша сторона має мобільний телефон, але ей, хто зараз не має мобільного телефону?)

— Дарій

25

PGP або інший метод асиметричного шифрування звучить як шлях.

обидві сторони повинні опублікувати його відкритий ключ
підпишіть своє повідомлення власним приватним ключем
зашифрувати відкритим ключем іншого
передайте файл
лише приватний ключ іншого може розшифрувати повідомлення
ваш відкритий ключ може бути використаний для перевірки повідомлення

=> безпечний та приватний

— лексу
джерело

+1 хороше пояснення.

— msanford

+1. Мені це подобається навіть краще, ніж моя власна відповідь, бо вона містить деталі, як це слід робити.

— Мілан Бабушков

Це, мабуть, найкращий шлях - я сподівався на те, що клієнту не доведеться встановлювати, але це найкраща відповідь.

— Джим Б

+1 для GPG / PGP. Асиметричне шифрування справді найкращий варіант.

— Бран Блаженний

9

Будь-який механізм, який використовує асиметричні ключі (наприклад, SSL або PGP), хороший. В основному це означає, що ви шифруєте дані (пароль у вашому випадку) відкритим ключем іншої людини, і єдиний спосіб розшифрувати це - мати доступ до приватного ключа (що робить лише приймач).

Єдине, що турбується про PGP, - кому ви довіряєте, адже підробка може легко статися, коли люди підписують власні ключі.

Прочитайте розділ Інтернет довіри у статті Вікіпедії для PGP для отримання додаткової інформації про це.

— Мілан Бабушков
джерело

2

Тільки для того, щоб допомогти тим, хто не знає, що це таке, і гуглить це, термін "асиметричний" ключ (не асинхронний), тобто обидві половини ключа не виглядають однаково. :)

— msanford

+1, тому що асиметричне шифрування ключа є найкращим рішенням, а також забезпечує спосіб перевірити особу одержувача (тоді як, зашифрований RAR, насправді, немає)

— msanford

1

+1 для згадки про асиметричний ключ. Я також відредагував ваше повідомлення, щоб виправити помилку друку.

— KPWINC

8

А як щодо дзвінка одержувача через Skype ?

— ceejayoz
джерело

2

+1, тому що це насправді не є поганою ідеєю і недостатньо використовується. Звичайно, якщо у вас є багато ключів, щоб видати, це буде не дуже добре, але для одного-двох ...

— msanford

1

Skype працює добре, доки рецепт знаходиться десь поблизу одного часового поясу. Зазвичай я просто дзвоню за допомогою POTS, але такі варіанти просто недоступні.

— Джим Б

Ти серйозно? Звичайно "краще", ніж звичайний текст, але ніхто не повинен рекомендувати таку річ ...

— lajarre

@lajarre Хочете пояснити? Для більшості людей Skype стане цілком прийнятним методом.

— ceejayoz

@ceejayoz, якщо я добре зрозумів, ця відповідь рекомендує ОП повідомити іншому одержувачу пароль, використовуючи його голос через Skype. Я здогадуюсь, що моя реакція (яка, на мою думку, є правильною, коли вам слід параноїзувати свої паролі), випливає з того, що Skype є власником. Ви достатньо хороший хакер, щоб знати, чи безпечно це? Або ви покладаєтесь на те, що вірите хлопцям Skype? Програмне забезпечення на основі ZRTP - це безпечна відповідь. Я не впевнений, що означає "прийнятне [для більшості людей]" ...

— lajarre

2

Ви також повинні переконатися, що одержувач повинен змінити пароль, перш ніж мати змогу скористатися будь-якою послугою - автентифікація змін за допомогою надісланого одноразового пароля. Це забезпечить подальший захист від крадіжок - та / або трохи кращі шанси на їх виявлення, якщо він вимагатиме від злодія змінити його, залишаючи справжньому користувачеві доступ із відхиленням доступу ^^

— Оскар Дювеборн
джерело

1

Надішліть посилання одноразового використання, яке посилається на сторінку (за допомогою SSL), де можна створити пароль. Якщо хтось інший виявить посилання, ймовірно, пізно використовувати його. Вам знадобиться якась можливість скидання, на випадок, якщо посилання буде перехоплено і використане перед призначеним одержувачем.

— Уейн Шеппард
джерело

1

Якщо у вас є Windows, ви можете послухати Security Now 201: SecureZip

AFAIK SecureZip реалізує / автоматизує підхід, описаний вище, для асиметричного шифрування .

— лексу
джерело

1

Ви можете спробувати NoteShred. Це інструмент, зроблений майже для вашої точної потреби. Ви можете створити захищену нотатку, надіслати комусь посилання та пароль, а також вони "розчавлять" її після того, як вони її прочитають. Нотатка відсутня, і ви отримуєте повідомлення електронною поштою, щоб повідомити, що ваша інформація знищена.

Це безкоштовно, і не вимагає ніякої реєстрації.

https://www.noteshred.com

— Чейн
джерело

1

Якщо це разова річ, ви можете використовувати мій інструмент: http://tanin.nanakorn.com/labs/secureMessage

Він використовує Javascript для шифрування RSA. Тому ваш пароль ніколи не залишає машину вашого або вашого друга. Будь ласка, дивіться поширені запитання на вищенаведеній сторінці для отримання додаткової інформації

Щоб робити це регулярно, вам краще використовувати ключі PGP або SSH, так що вам не доведеться щоразу створювати нову пару клавіш.

— Танін
джерело

0

Я схильний використовувати синхронні методи для передачі пароля. Часто я просто комусь чату і кажу їм, що пароль, який вони чекають, - це ххххх. Таким чином, немає ідентифікації сервера, на якому працює пароль, і я можу надіслати його, коли я знаю, що людина сидить там, щоб негайно змінити пароль.

— Кетрін Макіннес
джерело

Крім того, за допомогою чату ви можете використовувати клієнт, що підтримує протокол OTR, наприклад, Pidgin або Adium, або використовувати Skype, який шифрує чати (хоча я не впевнений у рівні).

— msanford

0

Ви не даєте багато деталей щодо того, що потрібно, але я зберігаю свої паролі у файлі Keepass, який зберігається в Dropbox.

— Greeblesnort
джерело

0

Ми просто виставили веб-та мобільний додаток, щоб зробити щось із цього. Він створює випадкові URL-адреси для облікових даних, таких як скорочувач URL-адрес, використовуючи HTTPS та метод хедування / AES шифрування для зберігання. Є простий API для розробників, ось наше записування, можливо, це просте рішення, яке вам потрібно .. http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it

-2

Зашифрована HTTPS веб-форма може добре працювати. Я б переймався файлом RAR, тому що якщо хтось захопив весь файл, він міг би змусити пароль, поки він не зламався. Захоплення та з'єднання потоку HTTPS не надто просто, особливо з великим розміром клавіш. Потім вони можуть зберігатися в зашифрованій базі даних або щось подібне, можливо, витягуватися також через захищену веб-форму.

PGP також працює, якби у вас був спосіб безпечно обмінятись приватними ключами і ви могли б довіряти, що з іншого боку вони не будуть порушені.

— Метт
джерело

Будь-які думки про те, як дізнатися, хто тоді запитує цю веб-форму / сторінку? Якщо користувач ще не знає пароль, він також не може перевірити автентифікацію.

— Ар'ян

3

Асиметричні схеми шифрування ключів, такі як PGP / GPG, розроблені спеціально так, що вам НЕ доведеться обмінюватися своїми приватними ключами. Ви обмінюєтесь відкритими ключами, які називаються відкритими, тому що вони повинні бути саме такими, відкритими. Не потрібно приховувати ваші відкриті ключі, лише ваші приватні.

— Mikael Auno

1

Вибачте, я неправильно зрозумів оригінальне запитання. Я припускав, що це стосується внутрішньої речі, а не для нових користувачів чи чогось іншого. Шифрування відкритого ключа - це спосіб зробити те, що ви хочете, я думаю.

— Метт