it-swarm-pt.tech

Como os clientes podem me enviar senhas com facilidade e segurança?

Geralmente, preciso obter senhas de clientes para FTP, SSH, MySQL, Authorize.net, etc.

Qual é a maneira mais fácil para eles me enviarem senhas com segurança? Talvez mesmo sem eles precisando de um login/senha?

Sessões de mensagens instantâneas criptografadas são um aborrecimento para configurar com não-técnicos. Telefonemas interrompem minha concentração e exigem arranjos. (As chamadas VOIP são seguras, afinal?)

Ideal: Uma maneira fácil para sem conhecimento técnico pessoas enviarem email criptografado. PGP/GPG não resolve, a menos que o Outlook tenha algum assistente interno super fácil. (Nunca se sabe...?)

Bom: Um sistema de mensagens seguras baseado na Web (espero que em PHP) que eu pudesse hospedar e executar sobre SSL. Não consegui encontrar nada assim.

Talvez eu esteja perguntando a coisa errada ou o caminho errado. Todas as sugestões são apreciadas!

39
Adam DiCarlo

Sua idéia de um sistema de mensagens baseado na Web pode ser implementada em algumas dezenas de linhas de HTML e PHP (principalmente html) em qualquer sistema que tenha um servidor da Web SSL e GPG instalado. É realmente apenas um programa de formulários muito simples, mas especializado. Você pode até hackear um script CGI do formmail existente para inserir uma chamada ao GPG (supondo que ele ainda não exista, tente pesquisar no formmail + GPG no Google)

  • Se você ainda não fez isso, instale o gpg em sua estação de trabalho e crie suas chaves pública e privada
  • Crie uma página php que exiba um formulário para aceitar uma mensagem (campo de texto), criptografe-a com gpg usando sua chave pública e envie-a por e-mail. Codifique seu endereço de e-mail no script (ou seja, não permita que o remetente especifique para quem enviar)
  • Instale a página php em um servidor ssl existente ou crie uma apenas para a tarefa. Um certificado autoassinado é bom o suficiente para este trabalho.
  • Informe o URL do seu cliente quando precisar dele para enviar um login e uma senha.

Aliás, o Thunderbird possui o plug-in Enigmail , que facilita o uso da criptografia GPG. Mas ainda é provavelmente demais para usuários casuais.

13
cas

PGP é popular.

Você também pode tentar o método testado e comprovado de uma reunião em um lago, de preferência com os dois vestindo casacos de trincheira.

23
Paxxi

Esta é uma combinação entre um arquivo de texto e uma chamada telefônica:

Peça ao seu cliente para colocar a senha em um arquivo de texto sem formatação e solte o arquivo de texto em um arquivo Zip protegido por senha. (7Zip é gratuito e de código aberto). Peça que enviem por e-mail o arquivo .Zip/.rar/.7z criptografado para você e depois ligue com o nome de usuário e a senha do arquivo Zip.

Isso impede que qualquer pessoa abra o arquivo Zip, e mesmo se o fizer, é apenas uma senha, que não lhe dá nada sem qualquer outra informação, como nome de usuário e onde usá-lo.

Além disso, essa é uma forma de enviar por e-mail um tipo de arquivo "proibido", como um .exe, para um cliente de e-mail que verifica anexos e dentro de zips. Nesses casos, geralmente apenas incluo a senha do arquivo compactado no email, e geralmente é "senha". É o suficiente para impedir que o software de email verifique o conteúdo.

7
Jared Harley

Não complique o assunto e não superestime a importância do que seu cliente está lhe enviando.

Se um dos computadores tiver um registrador chave em execução, nenhuma quantidade de criptografia protegerá essas senhas preciosas.

Eu não enviaria senhas REALMENTE sensíveis através da Internet (como a senha de um administrador), mas para os aplicativos que você mencionou? Não vale a pena o esforço para garantir a chance de que alguém possa estar interceptando seus e-mails.

Se o seu cliente está preocupado, eles têm várias opções:

  1. Aprenda como enviar e-mails criptografados.
  2. Envie um fax, se possível.
  3. Correio normal? (ri muito)
  4. Fale claramente pelo telefone usando um Alfabeto Fonético
4
EvilChookie

Você pode querer experimentar o NoteShred. É uma ferramenta feita praticamente para sua necessidade exata. Você pode criar uma anotação segura, enviar para alguém o link e a senha e fazer com que ela seja "destruída" depois de ler. A nota desapareceu e você receberá uma notificação por e-mail para informar que suas informações foram destruídas.

É grátis e não requer cadastro.

https://www.noteshred.com

3
Cheyne

configure um arquivo Password Safe em um shard Dropbox , para que os clientes possam adicionar senhas conforme necessário.

Joel descreve a técnica aqui

3
Ryan

Que tal Cryptocat ? Seguro, fácil de usar e um navegador é tudo que você precisa. Para detalhes, veja o Sobre a página .

Como Ian Dunn apontou, o sistema tem a falha que um invasor pode fingir ser seu cliente. A única segurança nesse caso seria o nome da sala de bate-papo que se tornaria a senha . Problema deslocado, mas não resolvido.

No entanto, muitas vezes preciso enviar clientes 30 + char salada (nós os chamamos de senhas) e eu principalmente uso crypto.cat para trocar as credenciais ao falar para eles no telefone. Isso parece ser muito seguro para mim e o cliente pode usar CTRL+C.

3
Tex Hex

Algumas pessoas neste segmento estavam sugerindo a criação de um aplicativo da Web para fazer exatamente isso. Na verdade, alguns até criaram seus próprios. Francamente falando, não acho que seja uma boa ideia confiar em estranhos para um serviço como esse. Implementei uma aplicação web básica que permite aos usuários trocar senhas através de uma interface web simples e disponibilizá-la livremente sob a licença MIT.

Confira aqui: https://github.com/MichaelThessel/pwx

Leva alguns minutos para configurar em sua própria infraestrutura e você pode examinar o código-fonte. Eu tenho usado a minha própria instalação com meus clientes há meses e até mesmo o pessoal não techy pegou em nenhum momento a todos.

Caso você queira testar o aplicativo sem instalá-lo primeiro, você pode dar uma olhada aqui:

https://pwx.michaelthessel.com

2
Michael Thessel

Esse processo não funciona em todas as situações, mas acho que é bom para sistemas multiusuários (como um CMS ou um painel de controle de hospedagem):

  1. O cliente liga para você no telefone.
  2. Enquanto você está no telefone, o cliente efetua login no sistema e cria uma nova conta de administrador especificamente para você, em vez de lhe dar acesso ao existente.
  3. Eles escolhem um caractere relativamente simples, aleatório (mas com mais de 15 caracteres) senha para a senha inicial (por exemplo, dirigindo para portland neste fim de semana ou onde estão meus fones de ouvido )
  4. Eles dizem a senha pelo telefone.
  5. Você imediatamente acessa o sistema e redefine a senha para algo realmente forte , por exemplo, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @y> a26pR "B/cmjV .
  6. Você armazena a senha final no seu gerenciador de senhas.

As vantagens desta abordagem são:

  1. É relativamente simples para o cliente. Eles só precisam saber como criar uma conta no sistema. Você pode percorrê-los enquanto estiver no telefone, se tiverem problemas.
  2. É relativamente simples para você também. Você não precisa lidar com a configuração e o compartilhamento de arquivos criptografados, hospedando um aplicativo de formulário personalizado etc.
  3. Ele usa uma senha (em oposição a uma senha) para que a senha temporária seja fácil de se comunicar pelo telefone, mas também é relativamente segura.
  4. A senha final nunca é transmitida (exceto para o formulário de redefinição de senha, é claro, mas isso deve ser criptografado pelo sistema).
  5. A senha final nunca é conhecida pelo cliente, portanto eles não podem expô-la acidentalmente a invasores. É claro que eles ainda podem expor a senha de sua própria conta, mas uma investigação post mortem de um incidente rastreará a penetração em sua conta, não a sua;)

A senha inicial é o elo mais fraco da cadeia devido à sua entropia relativamente baixa e à transmissão insegura por telefone. Ainda tem ~ 100 bits de entropia, e só vive por 15-90 segundos. Na minha opinião, isso é bom a menos que você esteja trabalhando em algo altamente sensível, ou você sabe que está sendo alvo de um bom hacker.

2
Ian Dunn

As Mensagens Instantâneas do Skype são criptografadas .

Agora, aqui estão as advertências necessárias: o Skype não é de código aberto, então você não sabe se eles fizeram um trabalho terrível ou se instalaram um backdoor do governo ou copiaram todas as mensagens para Bob em TI, mas a melhor evidência disponível sugere que ele é seguro.

2
Ryan

Que tal em um arquivo de texto em um chave USB criptografada enviado via snail mail

2
Rob Allen

Que tal enviar as senhas através do bom e velho SMS ? É muito simples e, desde que você não forneça nenhuma outra informação no texto, será muito difícil descobrir para onde vai.

1
Leif

Este é um pouco mais de esforço, mas também economiza o tempo do cliente:

Configure-os com algo parecido com o Roboform, mas armazene os dados na web para que você possa acessá-los. Quando eles fizerem login em algum lugar, RF salvará a senha e ficará disponível para você.

Desvantagens:
* Não tenho certeza de como o armazenamento on-line seguro do Roboform é * Você tem acesso a todas as senhas do cliente e elas podem não gostar dessa ideia.

0
Clay Nichols

Um amigo meu criou este site especificamente por esse motivo: https://pwshare.com

Para mim e meus amigos no mundo da hospedagem, uma ótima ferramenta para enviar rapidamente senhas aos clientes.

Na página about: https://pwshare.com/about O PWShare usa uma especificação de criptografia de chave pública/privada conhecida como RSA. Quando o cliente deseja enviar uma senha, uma chave pública é solicitada ao servidor.

O cliente então criptografa a senha antes de enviá-la ao servidor. Por esse motivo, o servidor não sabe ou armazena a senha descriptografada.

Somente usando o link, que contém o identificador de chave privada e a senha, a senha pode ser descriptografada.

0
Mark Kraakman

Se o uso for muito temporário, como solução de problemas única ou transferência de arquivos, esse nível de segurança poderá ser desnecessário. Peça ao cliente que altere temporariamente a senha para algo que você sabe, faça o seu trabalho e faça com que o cliente mude novamente. Mesmo se a senha temporária for descoberta, ela ficará obsoleta antes de poder ser usada para fins nefastos.

0
fixer1234

Usar o Outlook ou o Thunderbird com S/MIME é fácil, mas é ainda melhor chamá-lo e ler sua senha - se você quer ser super incrível, faça com que ele leia parte dele e envie uma cópia do texto para você. outra parte disso.

0
Ram