In che modo i client possono inviarmi password in modo facile e sicuro? [chiuso]

Ho spesso bisogno di ottenere password dai client per FTP, SSH, MySQL, Authorize.net, ecc.

Qual è un modo semplice per inviarmi password in modo sicuro? Forse anche senza di loro è necessario un login / password?

Le sessioni di messaggistica istantanea crittografate sono una seccatura da configurare con utenti non esperti. Le telefonate interrompono la mia concentrazione e richiedono l'organizzazione. (Le chiamate VOIP sono sicure, comunque?)

Ideale: un modo semplice per le persone non esperte di tecnologia di inviare e-mail crittografate. PGP / GPG non lo taglia , a meno che Outlook non abbia una procedura guidata integrata semplicissima. (Non si sa mai...?)

Buono: un sistema di messaggi sicuro basato sul web (si spera in PHP) che potrei ospitare ed eseguire su SSL. Non sono riuscito a trovare niente del genere.

Forse sto chiedendo la cosa sbagliata o la strada sbagliata. Tutti i suggerimenti sono apprezzati!

La tua idea di un sistema di messaggistica basato sul web potrebbe essere implementata in poche decine di righe di HTML e PHP (principalmente html) su qualsiasi sistema su cui erano installati un server web SSL e GPG. È davvero solo un programma di tipo formmail molto semplice ma specializzato. Potresti persino hackerare uno script CGI formmail esistente per inserire una chiamata a GPG (supponendo che non ne sia già esistente uno, prova a cercare su Google per formmail + GPG)

• Se non l'hai ancora fatto, installa gpg sulla tua workstation e crea le tue chiavi pubbliche e private
• Crea una pagina php che visualizza un modulo per accettare un messaggio (campo di testo), lo crittografa con gpg usando la tua chiave pubblica e te lo invia per email. Inserisci il tuo indirizzo e-mail nello script (iE non consente al mittente di specificare a chi inviare)
• Installa la pagina php su un server ssl esistente o creane uno solo per l'attività. Un certificato autofirmato è abbastanza buono per questo lavoro.
• Informa l'URL del tuo cliente quando ti serve per inviarti un login e una password.

A proposito, thunderbird ha il plugin Enigmail che rende molto semplice l'uso della crittografia GPG. Ma probabilmente è ancora troppo disturbo per gli utenti occasionali.

PGP è popolare.

Puoi anche provare il metodo provato e vero di un incontro in uno stagno, preferibilmente con entrambi indossi trench.

Questa è una combinazione tra un file di testo e una telefonata:

Chiedi al tuo client di inserire la password in un file di testo semplice, quindi rilascia il file di testo in un file zip protetto da password. (7zip è gratuito e open-source). Inviateli via e-mail il file .zip / .rar / .7z crittografato e poi chiamate con il loro nome utente e la password per il file zip.

Questo impedisce a chiunque di aprire il file zip e, anche se lo facesse, è solo una password, che non ti dà nulla senza altre informazioni, come nome utente e dove usarlo.

Inoltre, questo è un modo per inviare per e-mail un tipo di file "proibito", come un .exe, a un client di posta elettronica che analizza gli allegati e le zip interne. In questi casi, di solito includo solo la password per il file zippato nell'e-mail, e di solito è "password". Tuttavia, è sufficiente per impedire al software di posta elettronica di controllare i contenuti.

Non complicare eccessivamente la questione e non sopravvalutare l'importanza di ciò che il tuo cliente ti sta inviando.

Se su entrambi i computer è in esecuzione un registratore di chiavi, nessuna quantità di crittografia proteggerà queste preziose password.

Non invierei password DAVVERO sensibili su Internet (come la password di un amministratore) ma per le applicazioni che hai citato? Non vale la pena di assicurarli con la possibilità che qualcuno possa intercettare le tue e-mail.

Se il tuo cliente è preoccupato, ha diverse opzioni:

1. Scopri come inviare e-mail crittografate.
2. Invia un fax, se possibile.
3. Posta ordinaria? (Lol)
4. Parla chiaramente al telefono usando un alfabeto fonetico

impostare un file Password Safe in un Dropbox shard , in modo che i client possano aggiungere password secondo necessità.

Joel descrive la tecnica qui

Che dire di Cryptocat ? Sicuro, facile da usare e un browser è tutto ciò che serve. Per i dettagli, consultare la pagina Informazioni .

Come ha sottolineato Ian Dunn, il sistema ha il difetto che un utente malintenzionato potrebbe fingere di essere il tuo cliente. L'unica sicurezza in questo caso sarebbe il nome della chat room che diventerebbe quindi la password . Problema spostato, ma non risolto.

Tuttavia, ho spesso bisogno di inviare ai clienti oltre 30 insalata di caratteri (li chiamiamo password) e utilizzo principalmente crypto.cat per scambiare le credenziali mentre parlo al telefono. Questo sembra essere molto sicuro per me e il client può usare CTRL+C.

Potresti provare NoteShred. È uno strumento creato praticamente per le tue esigenze. Puoi creare una nota sicura, inviare a qualcuno il link e la password e farlo "distruggere" da solo dopo averlo letto. La nota è sparita e ti viene inviata una notifica via e-mail per informarti che le tue informazioni sono state distrutte.

È gratuito e non richiede alcuna registrazione.

https://www.noteshred.com

La messaggistica istantanea di Skype è crittografata .

Ora, ecco le avvertenze necessarie: Skype non è open source, quindi non sai se hanno fatto un lavoro terribile o hanno installato una backdoor del governo o copiano tutti i messaggi su Bob in IT, ma le migliori prove disponibili suggeriscono che è sicuro.

Che ne dite di un file di testo su una chiave USB crittografata inviata tramite posta ordinaria

Questo processo non funziona in tutte le situazioni, ma penso che sia buono per i sistemi multiutente (come un CMS o un pannello di controllo di hosting):

1. Il cliente ti chiama al telefono.
2. Mentre sei al telefono, il client accede al sistema e crea un nuovo account amministratore specifico per te, piuttosto che darti accesso a quello esistente.
3. Scelgono una passphrase relativamente semplice, casuale (ma di oltre 15 caratteri) per la password iniziale (ad esempio, guida a Portland questo fine settimana o dove sono le mie cuffie )
4. Ti dicono la passphrase al telefono.
5. Accedete immediatamente al sistema e reimpostate la password su qualcosa di veramente forte , ad es. #] T'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Memorizzi la password finale nel tuo gestore delle password.

I vantaggi di questo approccio sono che:

1. È relativamente semplice per il cliente. Devono solo sapere come creare un account sul sistema. Puoi affrontarli mentre sei al telefono se hanno problemi.
2. È relativamente semplice anche per te. Non devi occuparti di impostare e condividere file crittografati, ospitare un'applicazione per moduli personalizzati, ecc.
3. Utilizza una passphrase (anziché una password) in modo che la password temporanea sia facile da comunicare al telefono, ma sia anche relativamente sicura.
4. La password finale non viene mai trasmessa (ad eccezione del modulo di reimpostazione della password, ovviamente, ma dovrebbe essere crittografato dal sistema).
5. La password finale non è mai conosciuta dal client, quindi non possono esporla accidentalmente agli aggressori. Certo, possono ancora esporre la password del proprio account, ma un'indagine post mortem di un incidente traccia la penetrazione nel proprio account, non nella propria;)

La passphrase iniziale è l'anello più debole della catena a causa della sua entropia relativamente bassa e della trasmissione non sicura al telefono. Tuttavia ha ancora ~ 100 bit di entropia e vive solo per 15-90 secondi. Secondo me è abbastanza buono, a meno che tu non stia lavorando su qualcosa di altamente sensibile, o sai di essere attualmente preso di mira personalmente da un buon hacker.

Alcune persone in questo thread hanno suggerito di creare un'applicazione Web per fare proprio questo. In effetti alcuni hanno persino creato il proprio. Francamente, non penso sia una buona idea fare affidamento su estranei per un servizio del genere. Ho implementato un'applicazione Web di base che consente agli utenti di scambiare password tramite una semplice interfaccia Web e l'ho resa disponibile gratuitamente con la licenza MIT.

Dai un'occhiata qui: https://github.com/MichaelThessel/pwx

Ci vogliono pochi minuti per l'installazione all'interno della propria infrastruttura e si può controllare il codice sorgente. Ho usato la mia installazione con i miei clienti per mesi e anche i non esperti la hanno presa in pochissimo tempo.

Nel caso in cui desideri testare l'applicazione senza installarla prima, puoi dare un'occhiata qui:

https://pwx.michaelthessel.com

Che ne dici di inviare le password tramite un buon vecchio SMS ? È molto semplice e, fintanto che non fornisci altre informazioni nel testo, sarà molto difficile capire dove va.

Questo è un po 'più di sforzo, ma consente anche di risparmiare tempo al cliente:

Configurali con qualcosa di simile a Roboform ma memorizza i dati sul Web in modo che tu possa accedervi. Quando accedono da qualche parte RF salverà la password ed è disponibile per te.

Lati negativi:
* Non sei sicuro di quanto sia sicuro l'archiviazione online di Roboform * Puoi quindi accedere a tutte le password del client e questa idea potrebbe non piacerti.

Usare Outlook o Thunderbird con S / MIME è facile, ma ancora meglio è che ti chiamino e ti leggano la loro password - se vuoi essere super fantastico, leggine una parte e poi ti mandi un messaggio e ti mandi un'email un'altra parte di esso.

Se l'utilizzo è molto temporaneo, come la risoluzione dei problemi una tantum o il trasferimento di file, questo livello di sicurezza potrebbe non essere necessario. Chiedi al client di modificare temporaneamente la password in qualcosa che conosci, fai il tuo lavoro, quindi fai in modo che il client la cambi nuovamente. Anche se la password temporanea è stata scoperta, sarà obsoleta prima che possa essere utilizzata per scopi nefasti.

Un mio amico ha creato questo sito web appositamente per questo motivo: https://pwshare.com

Per me e i miei amici nel mondo dell'hosting, un ottimo strumento per inviare rapidamente password ai clienti.

Dalla pagina about: https://pwshare.com/about PWShare utilizza una specifica di crittografia della chiave pubblica / privata nota come RSA. Quando il client desidera inviare una password, viene richiesta una chiave pubblica dal server.

Il client quindi crittografa la password prima di inviarla al server. Per questo motivo, il server non conosce o memorizza la password decodificata.

Solo usando il collegamento, che contiene l'identificatore della chiave privata e la password, è possibile decrittografare la password.

Consiglierei usando qualcosa come axcrypt. È molto intuitivo, quindi anche le persone tecnicamente sfidate possono farlo funzionare.

Scarica AxCrypt qui

Quando usi AxCrypt tu o chiunque abbia a che fare con te puoi creare un file con tutte le password / informazioni sensibili e poi crittografarlo con una passphrase. Raccomando sempre almeno di scambiare la passphrase al telefono o di persona (questa è l'opzione migliore). AxCrypt utilizza una crittografia decente, quindi puoi essere sicuro che manterrà tutti tranne l'avversario più determinato. La parte migliore di AxCrypt è che si integra in Windows come estensione di Explorer. In Windows Explorer non devi fare altro che fare clic con il pulsante destro del mouse sul file per crittografarlo / decrittografarlo /

Buona caccia!