Как клиенты могут легко и безопасно отправлять мне пароли? [закрыто]

Мне часто нужно получать пароли от клиентов для FTP, SSH, MySQL, Authorize.net и т. д.

Каким образом можно безопасно отправлять пароли? Может быть, даже без них нужен логин /пароль?

Зашифрованные сеансы обмена мгновенными сообщениями - это проблема, связанная с нетехническими технологиями. Телефонные звонки разрушают мою концентрацию и требуют организации. (В любом случае, безопасны ли VoIP-вызовы?)

Идеально: Легкий способ для нетехнических людей отправлять зашифрованные письма. PGP /GPG не сокращает его , если только у Outlook нет супер-простого встроенного мастера. (Вы никогда не знаете ...?)

Хорошо: Веб-защищенная система сообщений (надеюсь, на PHP), которую я мог бы разместить и запускать через SSL. Я не смог найти ничего подобного.

Возможно, я спрашиваю не то, что неправильно или неправильно. Любые предложения приветствуются!

38 голосов | спросил 2 revs
Adam DiCarlo
1 Jam1000000amThu, 01 Jan 1970 03:00:00 +030070 1970, 03:00:00

17 ответов


13

Ваша идея веб-системы обмена сообщениями может быть реализована в нескольких десятках строк HTML и PHP (в основном html) в любой системе, на которой установлен веб-сервер SSL и GPG. Это действительно просто простая, но специализированная программа типа formmail. Вы даже можете взломать существующий скрипт CGI Formmail, чтобы вставить вызов в GPG (если он еще не существует, попробуйте Googling для formmail + GPG)

  • Если вы еще этого не сделали, установите gpg на свою рабочую станцию ​​и создайте свой общедоступный & закрытые ключи
  • Создайте страницу php, которая отображает форму для приема сообщения (текстовое поле), шифрует его с помощью gpg с помощью открытого ключа и отправляет его вам. Устраните свой адрес электронной почты в скрипте (i.E не разрешает отправителю указывать, кому отправить)
  • Установите php-страницу на существующем сервере ssl или создайте ее только для задачи. Самозаверяющий сертификат достаточно хорош для этой работы.
  • Сообщите своему клиенту URL-адрес, когда вам нужно, чтобы отправить вам логин и пароль.

Btw, у thunderbird есть плагин Enigmail , который очень упрощает использование шифрования GPG. Но это, вероятно, слишком много неприятностей для обычных пользователей.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
21

PGP является популярным.

Вы также можете попробовать испытанный метод встречи в пруду, желательно, чтобы вы оба носили плащ.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
7

Это комбинация между текстовым файлом и телефонным звонком:

Попросите вашего клиента поместить пароль в текстовый файл, а затем удалите текстовый файл в защищенный паролем ZIP-файл. (7zip является бесплатным и открытым исходным кодом). Попросите их отправить вам зашифрованный файл .zip /.rar /.7z, а затем позвонить со своим именем пользователя и паролем для zip-файла.

Это препятствует открытию zip-файла любому человеку, и даже если это так, это только пароль, который не дает вам ничего, кроме любой другой информации, такой как имя пользователя и где ее использовать.

Кроме того, это способ отправить «запрещенный» тип файла, например .exe, почтовому клиенту, который сканирует вложения и внутренние почтовые индексы. В таких случаях я обычно включаю пароль для заархивированного файла в электронном письме, и обычно это «пароль». Однако достаточно проверить программное обеспечение электронной почты от проверки содержимого.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
4

Мгновенный обмен мгновенными сообщениями Skype - зашифровано .

Теперь приходят необходимые предостережения: Skype не является открытым исходным кодом, поэтому вы не знаете, выполняли ли они ужасную работу или устанавливали правительственный бэкдор или копировали все сообщения Бобу в ИТ, но лучшие имеющиеся данные свидетельствуют что он безопасен.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
4

Не переуплощайте этот вопрос и не переоценивайте важность того, что ваш клиент отправляет вам.

Если на каком-либо компьютере работает ключевой журнал, никакое шифрование не защитит эти драгоценные пароли.

Я бы не посылал ДЕЙСТВИТЕЛЬНО чувствительные пароли через Интернет (например, пароль администратора), но для приложений, которые вы упомянули? Не стоит прилагать усилий для обеспечения их безопасности, если кто-то может перехватить ваши электронные письма.

Если ваш клиент обеспокоен, у них есть несколько вариантов:

  1. Узнайте, как отправлять зашифрованные письма.
  2. Отправьте факс, если это возможно.
  3. Уличная почта? (Смеется)
  4. Говорите четко по телефону, используя Фонетический алфавит
ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
3

настройте файл Password Safe в осколке Dropbox , поэтому клиенты могут добавлять пароли по мере необходимости.

Джоэл описывает технику здесь

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
3

Как насчет Cryptocat ? Безопасный, простой в использовании и браузер - это все, что вам нужно. Подробнее см. О странице .

Как отметил Ян Данн, система имеет недостаток, который злоумышленник может притвориться вашим клиентом. Единственной безопасностью в этом случае будет имя комнаты для беседы, которая затем станет паролем . Проблема смещена, но не решена.

Однако мне часто нужно отправлять клиентам 30+ char salad (мы называем их паролями), и я в основном использую crypto.cat для обмена учетными данными во время разговора с ними по телефону. Для меня это очень безопасно, и клиент может использовать CTRL+C.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
3

Возможно, вы захотите попробовать NoteShred. Это инструмент, сделанный в значительной степени для вашей конкретной потребности. Вы можете создать безопасную заметку, отправить кому-то ссылку и пароль и заставить ее «обрезать» ее самостоятельно после ее чтения. Примечание не прошло, и вы получите по электронной почте уведомление, чтобы сообщить, что ваша информация уничтожена.

Бесплатно, и не требует регистрации.

https://www.noteshred.com

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
2

Как в текстовом файле на зашифрованный USB-ключ , отправленный через уличную почту

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
2

Этот процесс не работает во всех ситуациях, но я думаю, что это хорошо для многопользовательских систем (например, CMS или панель управления хостингом):

  1. Клиент вызывает вас по телефону.
  2. Пока вы находитесь на телефоне, клиент входит в систему и создает для вас новую учетную запись администратора, а не предоставляет вам доступ к ее существующему.
  3. Они выбирают относительно простой, случайный (но более 15 символов) passphrase для начального пароля (например, для выхода в портленд в эти выходные или , где находятся мои наушники )
  4. Они рассказывают вам парольную фразу по телефону.
  5. Вы немедленно входите в систему и сбрасываете пароль на что-то по-настоящему сильное , например, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B /cmjV .
  6. Вы сохраняете окончательный пароль в своем менеджере паролей.

Преимущества этого подхода заключаются в следующем:

  1. Это относительно просто для клиента. Им нужно только знать, как создать учетную запись в системе. Вы можете пройти через них, пока вы находитесь на телефоне, если у них есть проблемы.
  2. Это относительно просто для вас. Вам не нужно иметь дело с настройкой и распространением зашифрованных файлов, размещением пользовательского приложения формы и т. Д.
  3. Он использует кодовую фразу (в отличие от пароля), так что временный пароль легко связывается по телефону, но также относительно безопасен.
  4. Последний пароль никогда не передается (за исключением формы пароля сброса, конечно, но это должно быть зашифровано системой).
  5. Последний пароль никогда не известен клиенту, поэтому они не могут случайно разоблачить его злоумышленникам. Конечно, они все равно могут выставлять пароль своей собственной учетной записи, но посмертное расследование инцидента будет отслеживать проникновение на их счет, а не ваш;)

Исходная кодовая фраза является самым слабым звеном в цепочке из-за ее относительно низкой энтропии и небезопасной передачи по телефону. Тем не менее, он все еще имеет ~ 100 бит энтропии, и он живет только 15-90 секунд. На мой взгляд, это достаточно хорошо, если вы не работаете над чем-то очень чувствительным, или вы знаете, что в настоящее время вы подвергаетесь личному нападению с помощью хорошего хакера.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
2

Некоторые люди в этом потоке предлагали создать веб-приложение, чтобы сделать именно это. На самом деле некоторые даже создали свои собственные. Честно говоря, я не думаю, что это хорошая идея полагаться на незнакомцев для такой службы. Я внедрил базовое веб-приложение, которое позволяет пользователям обмениваться паролями через простой веб-интерфейс и предоставлять его бесплатно по лицензии MIT.

Посмотрите здесь: https://github.com/MichaelThessel/pwx

Для настройки внутри вашей собственной инфраструктуры требуется несколько минут, и вы можете тщательно изучить исходный код. Я использую свою собственную установку с моими клиентами в течение нескольких месяцев, и даже нетехнические люди сразу ее подхватили.

Если вы хотите протестировать приложение без его первой установки, вы можете посмотреть здесь:

https://pwx.io

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
1

Как насчет отправки паролей через старый добрый SMS ? Это очень просто и, пока вы не предоставляете никакой другой информации в тексте, будет очень сложно выяснить, куда она идет.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
0

Это немного больше усилий, но также сохраняет время клиента:

Настройте их с помощью Roboform, но сохраните данные в Интернете, чтобы вы могли получить к нему доступ. Когда они войдут в систему где-нибудь, RF сохранит пароль, и он будет доступен вам.

Downsides:
* Не уверен, как безопасное онлайн-хранилище Roboform * Затем у вас есть доступ ко всем паролям клиента, и им может не понравиться эта идея.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
0

Использование outlook или thunderbird с S /MIME легко, но еще лучше - заставить их позвонить вам и прочитать вам свой пароль - если вы хотите быть супер удивительным, прочитайте ли вы его часть, а затем внесите текст, который вы его часть и напишите вам еще одну его часть.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
0

Если использование очень временное, например, однократное устранение неполадок или передача файлов, этот уровень безопасности может быть ненужным. Попросите клиента временно изменить пароль на то, что вы знаете, выполните свою работу, а затем попросите клиента изменить его снова. Даже если временный пароль был обнаружен, он будет устаревшим, прежде чем его можно будет использовать в гнусных целях.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
0

Мой друг создал этот сайт специально по этой причине: https://pwshare.com

Для меня и моих друзей в мире хостинга отличный инструмент для быстрой отправки паролей клиентам.

На странице about: https://pwshare.com/about PWShare использует спецификацию шифрования открытого /закрытого ключа, известную как RSA. Когда клиент хочет отправить пароль, с сервера запрашивается открытый ключ.

Затем клиент шифрует пароль перед отправкой пароля на сервер. Из-за этого сервер не знает или не хранит дешифрованный пароль.

Только используя ссылку, содержащую идентификатор и пароль приватного ключа, можно дешифровать пароль.

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17
-1

Я бы рекомендовал использовать что-то вроде axcrypt. Это очень интуитивно, так что даже технически оспариваемые люди могут заставить его работать.

Скачать AxCrypt здесь

Когда вы используете AxCrypt, вы или кто бы вы ни занимались, можете создать файл со всеми паролями /конфиденциальной информацией, а затем зашифровать его парольной фразой. Я всегда рекомендую как минимум обменяться фразой по телефону или лично (это лучший вариант). AxCrypt использует приличное шифрование, поэтому вы можете быть уверены, что он будет поддерживать всех, кроме самого решительного противника. Самая лучшая часть с AxCrypt - это то, что она интегрируется в Windows как расширение проводника. В проводнике Windows все, что вам нужно сделать, это щелкнуть правой кнопкой мыши по файлу, чтобы зашифровать его /расшифровать /

Счастливая охота!

ответил javamonkey79 17 +04002008-10-17T04:12:17+04:00312008bEurope/MoscowFri, 17 Oct 2008 04:12:17 +0400 2008, 04:12:17

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132