cách an toàn để gửi mật khẩu qua internet là gì?

12

Tôi đang tìm cách tốt nhất để gửi mật khẩu qua internet một cách an toàn. Các tùy chọn tôi đã xem là PGP và các tệp RAR được mã hóa. Không có thông số thực nào ngoài việc đi từ điểm a đến điểm b qua các mạng nội bộ mà không có quá nhiều rủi ro.

security  password 
Jim B
nguồn
4
Điều này nghe có vẻ kỳ quặc, nhưng tại sao vì ai đó khuyên dùng Skype và gọi cho họ, tại sao không SMS mật khẩu? (giả sử phía bên kia có điện thoại di động, nhưng ngày nay ai không có điện thoại di động?)
Darius

Câu trả lời:

25

PGP hoặc một phương thức mã hóa bất đối xứng khác có vẻ giống như cách để đi ..

  1. cả hai bên phải công bố khóa công khai của mình
  2. ký tin nhắn của bạn với khóa riêng của bạn
  3. mã hóa bằng khóa chung của người khác
  4. truyền tập tin
  5. chỉ khóa riêng của người khác mới có thể giải mã tin nhắn
  6. khóa công khai của bạn có thể được sử dụng để xác thực tin nhắn

=> an toàn và riêng tư

lexu
nguồn
+1 giải thích tốt.
msanford
+1. Tôi thích điều này thậm chí tốt hơn câu trả lời của riêng tôi, bởi vì nó cung cấp các chi tiết về cách nó nên được thực hiện.
Milan Babuškov
Đây có lẽ là cách tốt nhất để đi - Tôi đã hy vọng thứ gì đó mà khách hàng sẽ không phải cài đặt nhưng đây là câu trả lời tốt nhất.
Jim B
+1 cho GPG / PGP. Mã hóa bất đối xứng thực sự là lựa chọn tốt nhất ở đây.
Bran the Bless
9

Bất kỳ cơ chế sử dụng các khóa bất đối xứng (như SSL hoặc PGP) đều tốt. Về cơ bản, điều đó có nghĩa là bạn mã hóa dữ liệu (mật khẩu trong trường hợp của bạn) bằng khóa chung của người khác và cách duy nhất để giải mã nó là có quyền truy cập vào khóa riêng (chỉ người nhận mới thực hiện).

Điều duy nhất cần lo lắng về PGP là bạn tin tưởng ai, bởi vì việc giả mạo có thể dễ dàng xảy ra khi mọi người ký vào chìa khóa của chính họ.

Đọc trang web của phần tin cậy trong mục wikipedia cho PGP để biết thêm thông tin về điều đó.

Milan Babuškov
nguồn
2
Chỉ để giúp những người không biết đây là gì và đang làm phiền nó, thuật ngữ này là khóa "không đối xứng" (không đồng bộ), có nghĩa là cả hai nửa của khóa không giống nhau. :)
msanford
+1 vì mã hóa khóa bất đối xứng là giải pháp tốt nhất và cũng cung cấp cách xác minh danh tính của người nhận (trong khi RAR được mã hóa thì không, thực sự.)
msanford
1
+1 để đề cập đến khóa bất đối xứng. Tôi cũng chỉnh sửa bài viết của bạn để sửa lỗi chính tả.
KPWINC
8

Còn việc gọi người nhận bằng Skype thì sao?

ceejayoz
nguồn
2
+1 vì đây thực sự không phải là một ý tưởng tồi và bị lạm dụng. Chắc chắn, nếu bạn có nhiều chìa khóa để đưa ra thì nó sẽ không hoạt động tốt, nhưng trong một hoặc hai ...
msanford
1
Skype hoạt động tốt miễn là công thức ở đâu đó gần cùng múi giờ. Tôi thường chỉ gọi bằng POTS nhưng các tùy chọn đó không khả dụng.
Jim B
Bạn nghiêm túc chứ? Chắc chắn "tốt" hơn văn bản thuần túy, nhưng không ai nên đề xuất một điều như vậy ...
lajarre
@lajarre Chăm sóc để giải thích? Đối với hầu hết mọi người, Skype sẽ là một phương pháp hoàn toàn chấp nhận được.
ceejayoz
@ceejayoz nếu tôi hiểu rõ, câu trả lời này khuyên OP nên thông báo cho người nhận khác mật khẩu bằng giọng nói của anh ấy thông qua Skype. Tôi đoán phản ứng của tôi (mà tôi tin là đúng khi bạn phải hoang tưởng với mật khẩu của mình) xuất phát từ thực tế rằng Skype là độc quyền. Bạn có phải là một hacker đủ tốt để biết nó có an toàn không? Hay bạn dựa vào niềm tin của những người Skype? Phần mềm dựa trên ZRTP sẽ là một câu trả lời an toàn. Tôi không chắc "chấp nhận được [đối với hầu hết mọi người]" nghĩa là gì ...
lajarre
2

Bạn cũng nên đảm bảo rằng người nhận phải thay đổi mật khẩu trước khi có thể sử dụng bất kỳ dịch vụ nào - xác thực thay đổi bằng mật khẩu đã gửi một lần. Điều này sẽ cung cấp bảo vệ chống trộm hơn nữa - và / hoặc cơ hội tốt hơn một chút khi phát hiện ra nếu nó yêu cầu kẻ trộm thay đổi nó, khiến người dùng thực sự có dấu nhắc truy cập bị từ chối ^^

Oskar Duveborn
nguồn
1

Gửi liên kết sử dụng một lần, liên kết đến một trang (sử dụng SSL) nơi mật khẩu có thể được tạo. Nếu bất cứ ai khác phát hiện ra liên kết, có lẽ đã quá muộn để họ sử dụng liên kết. Bạn sẽ cần một số loại khả năng thiết lập lại, chỉ trong trường hợp liên kết bị chặn và sử dụng trước người nhận dự định.

Wayne Sheppard
nguồn
1

Bạn có thể muốn thử NoteShred. Đây là một công cụ được thực hiện khá nhiều cho nhu cầu chính xác của bạn. Bạn có thể tạo một ghi chú an toàn, gửi cho ai đó liên kết và mật khẩu và tự "băm nhỏ" nó sau khi họ đọc nó. Ghi chú đã biến mất và bạn nhận được email thông báo để cho bạn biết thông tin của bạn bị hủy.

Nó miễn phí và không yêu cầu đăng ký.

https://www.noteshred.com

Cheyne
nguồn
1

Nếu đó là một lần, bạn có thể sử dụng công cụ của tôi: http://tanin.nanakorn.com/labs/secureMessage

Nó sử dụng Javascript để thực hiện mã hóa RSA. Do đó, mật khẩu của bạn không bao giờ rời khỏi máy của bạn hoặc bạn của bạn. Vui lòng xem FAQ ở trang trên để biết thêm.

Để làm điều đó thường xuyên, tốt hơn hết bạn nên sử dụng các khóa PGP hoặc SSH, để bạn không phải tạo một cặp khóa mới mỗi lần.

Tanin
nguồn
0

Tôi có xu hướng sử dụng các phương pháp đồng bộ để truyền mật khẩu. Thường thì tôi chỉ nhắn tin cho ai đó và nói với họ rằng mật khẩu họ đang chờ là xxxxxx. Bằng cách đó, không có nhận dạng của máy chủ mà mật khẩu hoạt động và tôi có thể gửi nó khi tôi biết người đang ngồi đó để thay đổi mật khẩu ngay lập tức.

Catherine MacInnes
nguồn
Ngoài ra, sử dụng IM, bạn có thể sử dụng ứng dụng khách có khả năng giao thức OTR như Pidgin hoặc Adium hoặc sử dụng Skype mã hóa IM (mặc dù tôi không chắc về mức độ).
msanford
0

Bạn không cung cấp nhiều chi tiết liên quan đến những gì cần thiết, nhưng tôi giữ mật khẩu của mình trong tệp Keepass được lưu trữ trong Dropbox.

Greeblednort
nguồn
0

Chúng tôi chỉ đưa ra một ứng dụng web và di động để thực hiện một số điều này. Nó tạo các URL ngẫu nhiên cho loại thông tin giống như trình rút ngắn URL, sử dụng HTTPS và phương thức mã hóa băm / AES để lưu trữ. Có một API đơn giản cho các nhà phát triển, đây là bài viết của chúng tôi, có thể đó là giải pháp đơn giản mà bạn cần .. http://blog.primestudiosllc.com/security/send-time-lrict-secure-logins-with-timebomb-it

-2

Một mẫu web được mã hóa HTTPS có thể hoạt động tốt. Tôi sẽ lo lắng về tệp RAR, bởi vì nếu ai đó chiếm được toàn bộ tệp, họ có thể ép buộc mật khẩu cho đến khi nó bị hỏng. Nắm bắt và kết hợp một luồng HTTPS không quá dễ dàng, đặc biệt là với kích thước phím lớn. Sau đó, chúng có thể được lưu trữ trong cơ sở dữ liệu được mã hóa hoặc một cái gì đó, có thể chỉ được truy xuất thông qua một hình thức web an toàn.

PGP cũng sẽ hoạt động, nếu bạn có cách nào đó để trao đổi khóa riêng một cách an toàn và có thể tin tưởng rằng những khóa đó sẽ không bị xâm phạm ở đầu bên kia.

Matt
nguồn
Bạn có suy nghĩ gì về việc làm thế nào để biết ai đang yêu cầu mẫu / trang web đó không? Nếu người dùng chưa biết mật khẩu, thì người dùng cũng không thể xác thực.
Arjan
3
Các lược đồ mã hóa khóa bất đối xứng như PGP / GPG được thiết kế riêng để bạn KHÔNG phải trao đổi khóa riêng của mình. Bạn trao đổi cho bạn các khóa công khai, được gọi là công khai vì chúng chỉ là như vậy, công khai. Không cần phải ẩn các khóa công khai của bạn, chỉ những khóa riêng tư của bạn.
Mikael Auno
1
Xin lỗi, tôi đã hiểu nhầm câu hỏi ban đầu. Tôi cho rằng điều này là cho một thứ nội bộ và không phải cho người dùng mới hoặc một cái gì đó. Mã hóa khóa công khai sẽ là cách để đi cho những gì bạn muốn tôi nghĩ.
Matt
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.