qual è un modo sicuro per inviare password su Internet?

12

Sto cercando il modo migliore per inviare password su Internet in modo sicuro. Le opzioni che ho visto sono PGP e file RAR crittografati. Non ci sono parametri reali oltre a passare dal punto a al punto b sugli internet senza troppi rischi.

security  password 
Jim B
fonte
4
Questo potrebbe sembrare strano, ma perché da quando qualcuno ha consigliato Skype e chiamandoli, perché non inviare SMS con la password? (supponendo che l'altra parte abbia un telefono cellulare, ma ehi chi non ha un telefono cellulare al giorno d'oggi?)
Darius,

Risposte:

25

PGP o un altro metodo di crittografia asimmetrica sembrerebbe la strada da percorrere.

  1. entrambe le parti devono pubblicare la propria chiave pubblica
  2. firma il tuo messaggio con la tua chiave privata
  3. crittografare con la chiave pubblica dell'altro
  4. trasmettere il file
  5. solo la chiave privata dell'altro può decodificare il messaggio
  6. la chiave pubblica può essere utilizzata per convalidare il messaggio

=> sicuro e privato

lexu
fonte
+1 buona spiegazione.
msanford,
+1. Mi piace anche meglio della mia risposta, perché fornisce i dettagli su come dovrebbe essere fatto.
Milano Babuškov,
Questo è probabilmente il modo migliore per andare- Speravo in qualcosa che il client non avrebbe dovuto installare, ma questa è la risposta migliore.
Jim B,
+1 per GPG / PGP. La crittografia asimmetrica è davvero l'opzione migliore qui.
Bran the Blessed
9

Qualsiasi meccanismo che utilizza chiavi asimmetriche (come SSL o PGP) è buono. Fondamentalmente, significa che devi crittografare i dati (password nel tuo caso) con la chiave pubblica di un'altra persona e l'unico modo per decrittografare è avere accesso alla chiave privata (cosa che solo il destinatario fa).

L'unica cosa di cui preoccuparsi di PGP è chi ti fidi, perché lo spoofing può facilmente accadere quando le persone firmano le proprie chiavi.

Leggi la sezione web of trust nella voce wikipedia di PGP per maggiori informazioni a riguardo.

Milan Babuškov
fonte
2
Solo per aiutare coloro che non sanno di cosa si tratta e lo stanno cercando su Google, il termine è chiave "asimmetrica" ​​(non asincrona), il che significa che entrambe le metà della chiave non sembrano uguali. :)
msanford,
+1 perché la crittografia a chiave asimmetrica è la soluzione migliore, e fornisce anche un modo per verificare l'identità del destinatario (mentre un RAR cifrato non lo fa, in realtà.)
msanford
1
+1 per la menzione della chiave asimmetrica. Ho anche modificato il tuo post per correggere l'errore di battitura.
KPWINC,
8

Che ne dici di chiamare il destinatario con Skype ?

ceejayoz
fonte
2
+1 perché questa non è in realtà una cattiva idea ed è sottoutilizzata. Certo, se hai un sacco di chiavi da distribuire non funzionerà molto bene, ma per uno o due ...
msanford,
1
Skype funziona bene fino a quando la ricetta è da qualche parte vicino allo stesso fuso orario. Normalmente chiamerei semplicemente usando POTS ma quelle opzioni non sono disponibili.
Jim B,
Sei serio? Sicuro "meglio" del semplice testo, ma nessuno dovrebbe raccomandare una cosa del genere ...
lajarre
@lajarre Ti interessa spiegare? Per la maggior parte delle persone Skype sarà un metodo perfettamente accettabile.
Ceejayoz,
@ceejayoz se ho capito bene, questa risposta raccomanda all'OP di comunicare all'altro destinatario una password usando la sua voce tramite Skype. Immagino che la mia reazione (che credo sia quella giusta quando dovresti essere paranoico con le tue password) deriva dal fatto che Skype è proprietario. Sei un hacker abbastanza bravo da sapere se è sicuro? O fai affidamento sul credere ai ragazzi di Skype? Il software basato su ZRTP sarebbe una risposta sicura. Non sono sicuro di cosa significhi "accettabile [per la maggior parte delle persone]" ...
lajarre,
2

Dovresti anche assicurarti che il destinatario debba cambiare la password prima di poter usare qualunque servizio sia - autenticare la modifica con la password di una volta inviata. Ciò fornirà ulteriore protezione contro il furto - e / o possibilità leggermente migliori di scoprirne uno se richiedesse al ladro di cambiarlo, lasciando all'utente vero un prompt di accesso negato ^^

Oskar Duveborn
fonte
1

Invia un collegamento usa e getta, che collega a una pagina (utilizzando SSL) in cui è possibile creare la password. Se qualcun altro scopre il collegamento, è probabile che sia troppo tardi per utilizzare il collegamento. Avrai bisogno di una sorta di capacità di ripristino, nel caso in cui il collegamento venga intercettato e utilizzato prima del destinatario previsto.

Wayne Sheppard
fonte
1

Potresti provare NoteShred. È uno strumento creato praticamente per le tue esigenze. Puoi creare una nota sicura, inviare a qualcuno il link e la password e farlo "distruggere" da solo dopo averlo letto. La nota è sparita e ti viene inviata una notifica via e-mail per informarti che le tue informazioni vengono distrutte.

È gratuito e non richiede alcuna registrazione.

https://www.noteshred.com

Cheyne
fonte
1

Se è una cosa una tantum, puoi usare il mio strumento: http://tanin.nanakorn.com/labs/secureMessage

Utilizza Javascript per eseguire la crittografia RSA. Pertanto, la password non lascia mai la macchina tua o dei tuoi amici. Si prega di consultare le FAQ nella pagina sopra per maggiori informazioni.

Per farlo regolarmente, sarebbe meglio usare le chiavi PGP o SSH, in modo da non dover generare una nuova coppia di chiavi ogni volta.

Tanin
fonte
0

Tendo a utilizzare metodi sincroni per la trasmissione delle password. Spesso mando qualcuno in chat e dico loro che la password che stanno aspettando è xxxxxx. In questo modo non esiste alcuna identificazione del server su cui funziona la password e posso inviarla quando so che la persona è seduta lì per cambiare immediatamente la password.

Catherine MacInnes
fonte
Inoltre, usando la messaggistica istantanea puoi usare un client abilitato al protocollo OTR come Pidgin o Adium, oppure usare Skype che crittografa i messaggi istantanei (anche se non sono sicuro del livello).
msanford,
0

Non fornisci molti dettagli su ciò che è necessario, ma conservo le mie password in un file Keepass memorizzato in un Dropbox.

Greeblesnort
fonte
-2

Un modulo Web crittografato HTTPS potrebbe funzionare bene. Mi preoccuperei del file RAR, perché se qualcuno acquisisse l'intero file potrebbe forzare la password fino a quando non si spezzasse. Catturare e mettere insieme un flusso HTTPS non è troppo facile, specialmente con una dimensione di grandi dimensioni. Potrebbero quindi essere archiviati in un database crittografato o qualcosa del genere, eventualmente recuperato solo tramite un modulo Web sicuro.

PGP funzionerebbe anche se avessi il modo di scambiare le chiavi private in modo sicuro e ti fidi che non sarebbero state compromesse dall'altra parte.

opaco
fonte
Qualche idea su come sapere chi richiede quel modulo / pagina Web? Se l'utente non conosce ancora la password, l'utente non può eseguire l'autenticazione.
Arjan,
3
Gli schemi di crittografia a chiave asimmetrica come PGP / GPG sono progettati specificamente in modo da NON dover scambiare le chiavi private. Scambiate le vostre chiavi pubbliche, che sono chiamate pubbliche perché dovrebbero essere proprio queste, pubbliche. Non è necessario nascondere le tue chiavi pubbliche, solo quelle private.
Mikael Auno,
1
Mi dispiace, ho frainteso la domanda originale. Ho pensato che fosse per una cosa interna e non per nuovi utenti o qualcosa del genere. La crittografia a chiave pubblica sarebbe la strada da percorrere per quello che vuoi, penso.
Matt,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.