Як клієнти можуть легко та надійно надсилати мені паролі? [зачинено]

Мені часто потрібно отримувати паролі від клієнтів для FTP, SSH, MySQL, Authorize.net тощо.

Який простий спосіб для них надійно надсилати мені паролі? Можливо, навіть без них потрібні логін / пароль?

Зашифровані сеанси чату - це клопот, який потрібно налаштувати з нетехнологіями. Телефонні дзвінки розбивають мою концентрацію і вимагають домовитись. (У будь-якому разі безпечні дзвінки VOIP?)

Ідеально: простий спосіб для людей, які не знають технологій, надсилати зашифрований електронний лист. PGP / GPG не відключає її , якщо тільки в Outlook не знайдеться суперпростий вбудований майстер. (Ти ніколи не дізнаєшся...?)

Добре: Веб-система захищених повідомлень (сподіваємось на PHP), що я можу розмістити і перейти через SSL. Я не зміг знайти щось подібне.

Можливо, я запитую неправильну річ чи неправильний шлях. Будь-які пропозиції вдячні!

Ваша ідея веб-системи обміну повідомленнями може бути реалізована в декількох десятках рядків HTML і PHP (переважно html) в будь-якій системі, на якій був встановлений веб-сервер SSL та GPG. Це справді просто дуже проста, але спеціалізована програма для формального формату. Ви навіть можете зламати існуючий скрипт формату CGI формату, щоб вставити виклик до GPG (припустимо, що його ще не існує, спробуйте Googling для formmail + GPG)

• Якщо ви ще цього не зробили, встановіть gpg на свою робочу станцію та створіть ваші відкриті та приватні ключі
• Створіть сторінку php, яка відображає форму для прийняття повідомлення (текстове поле), шифрує його gpg за допомогою вашого відкритого ключа та надсилає вам електронну пошту. Жорсткий код вашої електронної адреси в сценарії (iE не дозволяє відправнику вказувати, кому надсилати)
• Встановіть сторінку php на існуючий сервер ssl або створіть її просто для виконання завдання. Підписаний сертифікат є досить хорошим для цієї роботи.
• Скажіть своєму клієнту URL, коли він вам потрібен, щоб надіслати вам логін та пароль.

Btw, thunderbird має плагін Enigmail, що робить використання шифрування GPG дуже простим. Але це, мабуть, занадто багато проблем для випадкових користувачів.

PGP популярний.

Ви також можете спробувати перевірений і справжній метод зустрічі біля ставка, бажано, щоб ви обоє носили тренчкоти.

Це поєднання між текстовим файлом та телефонним дзвінком:

Попросіть свого клієнта ввести пароль у звичайний текстовий файл, а потім перекиньте текстовий файл у захищений паролем zip-файл. (7zip безкоштовний і з відкритим кодом). Запропонуйте їм надіслати вам зашифрований файл .zip / .rar / .7z, а потім зателефонуйте зі своїм ім'ям користувача та паролем для zip-файлу.

Це не дозволяє комусь відкривати zip-файл, і навіть якщо вони це зробили, це лише пароль, який нічого не дає без будь-якої іншої інформації, наприклад, імені користувача та місця його використання.

Крім того, це спосіб надіслати електронною поштою "заборонений" тип файлу, як-от .exe, клієнтові електронної пошти, який сканує вкладені файли та внутрішні папки. У тих випадках я зазвичай просто включаю в електронну пошту пароль для заархівованого файлу, і зазвичай це "пароль". Досить зупинити програмне забезпечення електронної пошти від перевірки вмісту.

Не надто ускладнюйте справу і не переоцінюйте важливість того, що надсилає вам ваш клієнт.

Якщо на будь-якому комп’ютері працює автореєстратор, жодна кількість шифрування не захистить ці дорогоцінні паролі.

Я б не надсилав дійсно чутливі паролі через Інтернет (наприклад, пароль адміністратора), але для згаданих вами програм? Не варто докладати зусиль, щоб убезпечити їх, коли хтось може перехопити вашу електронну пошту.

Якщо ваш клієнт стурбований, у них є кілька варіантів:

1. Дізнайтеся, як надсилати зашифровані електронні листи.
2. Якщо можливо, надішліть факс.
3. Звичайною поштою? (Лол)
4. Промовте це чітко по телефону, використовуючи фонетичний алфавіт

встановіть файл Password Safe у дропбоксі Shard , щоб клієнти могли додавати паролі за потреби.

Джоел описує техніку тут

Що з Cryptocat ? Безпечний, простий у користуванні та браузер - все, що вам потрібно. Детальніше див. На сторінці About .

Як зауважив Іен Данн, у системи є вада, за яку зловмисник може прикинутися вашим клієнтом. Єдиним захистом у цьому випадку буде назва чатової кімнати, яка потім стане паролем . Проблема зрушена, але не вирішена.

Однак мені часто потрібно надсилати клієнтам 30+ чарівних салатів (ми їх називаємо паролями), і я, як правило, використовую crypto.cat для обміну обліковими записами під час розмови з ними по телефону. Це здається мені дуже безпечним і клієнт може використовувати CTRL+C.

Ви можете спробувати NoteShred. Це інструмент, зроблений майже для вашої точної потреби. Ви можете створити захищену примітку, надіслати кому-небудь посилання та пароль, а також "пошкодити" її після того, як вони її прочитають. Примітка відсутня, і ви отримуєте повідомлення електронною поштою, щоб повідомити, що ваша інформація знищена.

Це безкоштовно, і не вимагає ніякої реєстрації.

https://www.noteshred.com

Миттєві повідомлення Skype зашифровані .

Тепер ось необхідні застереження: Skype не є відкритим кодом, тому ви не знаєте, чи зробили вони страшну роботу чи встановили урядовий бекдор або скопіювали всі повідомлення до Боба в IT, але найкращі наявні докази свідчать про те, що це захищений.

Як щодо текстового файлу на зашифрованому USB-ключі, надісланому по пошті равлика

Цей процес працює не у всіх ситуаціях, але я думаю, що це добре для багатокористувацьких систем (наприклад, CMS або панелі управління хостингом):

1. Клієнт телефонує вам по телефону.
2. Поки ви телефонуєте, клієнт входить у систему та створює новий адміністративний обліковий запис спеціально для вас, а не надає вам доступ до свого наявного.
3. Вони вибирають відносно просту, випадкову (але 15+ символів) парольну фразу для початкового пароля (наприклад, їзди до Портленда в ці вихідні або де мої навушники )
4. Вони повідомляють вам пароль через телефон.
5. Ви негайно увійдете в систему і скиньте пароль на щось справді міцне , наприклад, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Ви зберігаєте остаточний пароль у своєму менеджері паролів.

Переваги цього підходу полягають у тому, що:

1. Для клієнта це досить просто. Вони лише повинні знати, як створити обліковий запис у системі. Ви можете пройти через це, поки ви телефонуєте, якщо у них виникнуть проблеми.
2. Це також відносно просто. Вам не доведеться мати справу зі створенням та спільним доступом зашифрованих файлів, розміщенням спеціальної програми та ін
3. Він використовує парольну фразу (на відміну від пароля), щоб тимчасовий пароль легко спілкувався по телефону, але також був відносно безпечним.
4. Остаточний пароль ніколи не передається (крім звичайно форми пароля для скидання, але це має бути зашифровано системою).
5. Клієнт ніколи не знає остаточного пароля, тому він не може випадково викрити його зловмисникам. Звичайно, вони все ще можуть викрити пароль власного облікового запису, але після смертельного розслідування інциденту було б простежено проникнення на їхній рахунок, а не ваш;)

Початкова парольна фраза є найслабшою ланкою ланцюга через її відносно низьку ентропію та незахищену передачу по телефону. Однак у нього ще є ~ 100 біт ентропії, і він живе лише 15-90 секунд. На мою думку, це досить добре, якщо ви не працюєте над чимось надзвичайно чутливим, або не знаєте, що на даний момент особисто націлений хороший хакер.

Деякі люди з цієї теми пропонували створити веб-додаток, щоб зробити саме це. Насправді деякі навіть створили своє. Відверто кажучи, я не вважаю, що покладатися на незнайомців за таку послугу - це не гарна ідея. Я реалізував базовий веб-додаток, який дозволяє користувачам обмінюватися паролями через простий веб-інтерфейс і надав вільний доступ під ліцензією MIT.

Перевірте це тут: https://github.com/MichaelThessel/pwx

Для налаштування у вашій власній інфраструктурі потрібні кілька хвилин, і ви можете ретельно вивчити вихідний код. Я використовую власну установку разом зі своїми клієнтами місяцями, і навіть непрофесійні люди взагалі забрали її.

Якщо ви хочете протестувати програму, не встановлюючи її спочатку, ви можете подивитися тут:

https://pwx.michaelthessel.com

Як щодо надсилання паролів через добрий старий SMS ? Це дуже просто, і поки ви не надасте будь-якої іншої інформації в тексті, буде дуже важко зрозуміти, куди вона йде.

Це трохи більше зусиль, але економить і час клієнта:

Налаштуйте їх на зразок Roboform, але зберігайте дані в Інтернеті, щоб ви мали доступ до них. Коли вони ввійдуть десь, РФ збереже пароль і він вам доступний.

Недоліки:
* Не впевнені, наскільки безпечне зберігання Roboform в Інтернеті * Потім у вас є доступ до всіх паролів клієнта, і ця ідея їм може не сподобатися.

Використовувати Outlook або Thunderbird за допомогою S / MIME легко, але ще краще - змусити вас зателефонувати вам та прочитати вам свій пароль - якщо ви хочете бути надзвичайно чудовими, попросіть їх прочитати вам частину, а потім надішліть вам текст та надішліть вам електронний лист. інша його частина.

Якщо використання дуже тимчасове, як одноразове усунення несправностей або передача файлів, цей рівень безпеки може виявитися непотрібним. Попросіть клієнта тимчасово змінити пароль на те, що ви знаєте, виконайте свою роботу, а потім дозволіть клієнту його знову змінити. Навіть якщо тимчасовий пароль був виявлений, він буде застарілим, перш ніж його можна буде використовувати для нечесних цілей.

Мій друг створив цей веб-сайт спеціально з цієї причини: https://pwshare.com

Для мене та моїх друзів у світі хостингу - чудовий інструмент для швидкого надсилання паролів клієнтам.

На сторінці about: https://pwshare.com/about PWShare використовує специфікацію шифрування відкритого / приватного ключа, відому як RSA. Коли клієнт хоче надіслати пароль, від сервера запитується відкритий ключ.

Потім клієнт шифрує пароль перед відправкою пароля на сервер. Через це сервер не знає і не зберігає розшифрований пароль.

Розшифрувати пароль можна лише за допомогою посилання, яке містить ідентифікатор приватного ключа та пароль.

Я б рекомендував використовувати щось на зразок axcrypt. Це дуже інтуїтивно, тому навіть технічно складні люди можуть змусити його працювати.

Завантажте AxCrypt тут

Коли ви використовуєте AxCrypt, ви або хтось, з ким ви маєте справу, можете створити файл із усіма паролями / конфіденційною інформацією, а потім зашифрувати його парольною фразою. Я завжди рекомендую, як мінімум, обмінюватися прохідною фразою по телефону або особисто (Це найкращий варіант). AxCrypt використовує деяке пристойне шифрування, тож ви можете бути впевнені, що це дозволить уникнути всіх, крім найбільш рішучого противника. Найкраща частина AxCrypt - це те, що він інтегрується у Windows як розширення Explorer. У Windows Explorer все, що вам потрібно зробити, - це клацнути правою кнопкою миші файл, щоб зашифрувати його / розшифрувати /

Щасливого полювання!