Làm thế nào khách hàng có thể dễ dàng và an toàn gửi cho tôi mật khẩu? [đóng cửa]

Tôi thường cần lấy mật khẩu từ máy khách cho FTP, SSH, MySQL, Authorize.net, v.v.

Cách dễ dàng để họ gửi mật khẩu cho tôi an toàn là gì? Có lẽ thậm chí không có họ cần đăng nhập / mật khẩu?

Các phiên IM được mã hóa là một rắc rối để thiết lập với những người không chuyên về công nghệ. Các cuộc gọi điện thoại phá vỡ sự tập trung của tôi và yêu cầu sắp xếp. (Dù sao các cuộc gọi VOIP có an toàn không?)

Lý tưởng: Một cách dễ dàng cho những người không am hiểu về công nghệ gửi email được mã hóa. PGP / GPG không cắt nó , trừ khi Outlook có một số trình hướng dẫn tích hợp siêu dễ. (Bạn không bao giờ biết...?)

Tốt: Một hệ thống tin nhắn bảo mật dựa trên web (hy vọng là trong PHP) mà tôi có thể lưu trữ và chạy qua SSL. Tôi đã không thể tìm thấy bất cứ điều gì như thế này.

Có lẽ tôi đang hỏi sai hoặc sai cách. Mọi góp ý đều được đánh giá cao!

Ý tưởng của bạn về một hệ thống nhắn tin dựa trên web có thể được triển khai trong vài chục dòng HTML và PHP (chủ yếu là html) trên bất kỳ hệ thống nào có cài đặt máy chủ web SSL và GPG. Nó thực sự chỉ là một chương trình loại formmail rất đơn giản nhưng chuyên biệt. Bạn thậm chí có thể hack một tập lệnh CGI formmail hiện có để chèn một cuộc gọi đến GPG (giả sử một tập lệnh không tồn tại, hãy thử Googling cho formmail + GPG)

• Nếu bạn chưa làm như vậy, hãy cài đặt gpg trên máy trạm của bạn và tạo khóa chung & riêng
• Tạo một trang php hiển thị một biểu mẫu để chấp nhận một tin nhắn (trường văn bản), mã hóa nó bằng gpg bằng khóa chung của bạn và gửi email cho bạn. Mã cứng địa chỉ email của bạn trong tập lệnh (iE không cho phép người gửi chỉ định người gửi đến)
• Cài đặt trang php trên máy chủ ssl hiện có hoặc tạo một trang chỉ cho tác vụ. Một chứng chỉ tự ký là đủ tốt cho công việc này.
• Nói với khách hàng của bạn url khi bạn cần họ gửi cho bạn thông tin đăng nhập và mật khẩu.

Btw, thunderbird có plugin Enigmail giúp sử dụng mã hóa GPG rất dễ dàng. Nhưng nó vẫn có thể là quá nhiều rắc rối cho người dùng thông thường.

PGP là phổ biến.

Bạn cũng có thể thử phương pháp thử và thực sự của một cuộc họp tại ao, tốt nhất là với cả hai bạn mặc áo khoác trench.

Đây là sự kết hợp giữa một tệp văn bản và một cuộc gọi điện thoại:

Yêu cầu khách hàng của bạn đặt mật khẩu vào một tệp văn bản đơn giản, sau đó thả tệp văn bản vào tệp zip được bảo vệ bằng mật khẩu. (7zip là miễn phí và mã nguồn mở). Yêu cầu họ gửi email tệp .zip / .rar / .7z được mã hóa cho bạn và sau đó gọi bằng tên người dùng và mật khẩu cho tệp zip.

Điều này ngăn bất kỳ ai mở tệp zip và ngay cả khi họ đã làm, đó chỉ là mật khẩu, không cung cấp cho bạn bất cứ thứ gì mà không có bất kỳ thông tin nào khác, như tên người dùng và nơi sử dụng.

Ngoài ra, đây là cách gửi email loại tệp "bị cấm", như .exe, đến ứng dụng email quét tệp đính kèm và bên trong khóa. Trong những trường hợp đó, tôi thường chỉ bao gồm mật khẩu cho tệp được nén trong email và thường là "mật khẩu". Mặc dù vậy, nó đủ để ngăn phần mềm email kiểm tra nội dung.

Đừng quá phức tạp hóa vấn đề và đừng đánh giá quá cao tầm quan trọng của những gì khách hàng đang gửi cho bạn.

Nếu một trong hai máy tính có bộ ghi nhật ký khóa đang chạy, sẽ không có lượng mã hóa nào bảo vệ các mật khẩu quý giá đó.

Tôi sẽ không gửi THỰC SỰ mật khẩu nhạy cảm trên internet (chẳng hạn như mật khẩu của quản trị viên) nhưng cho các ứng dụng bạn đã đề cập? Sẽ không đáng để nỗ lực bảo mật chúng trong trường hợp có ai đó có thể chặn email của bạn.

Nếu khách hàng của bạn quan tâm, họ có một số tùy chọn:

1. Tìm hiểu làm thế nào để gửi email được mã hóa.
2. Gửi fax, nếu có thể.
3. Ốc sên? (haha)
4. Nói rõ ràng qua điện thoại bằng Bảng chữ cái ngữ âm

thiết lập tệp Mật khẩu an toàn trong Dropbox shard để khách hàng có thể thêm mật khẩu khi cần.

Joel mô tả kỹ thuật ở đây

Những gì về cryptocat ? An toàn, dễ sử dụng và trình duyệt là tất cả những gì bạn cần. Để biết chi tiết, xem trang Giới thiệu .

Như Ian Dunn đã chỉ ra, hệ thống có lỗ hổng mà kẻ tấn công có thể giả làm khách hàng của bạn. Bảo mật duy nhất trong trường hợp này là tên của phòng trò chuyện sau đó sẽ trở thành mật khẩu . Vấn đề thay đổi, nhưng không được giải quyết.

Tuy nhiên, tôi thường cần gửi cho khách hàng hơn 30 món salad char (chúng tôi gọi họ là mật khẩu) và tôi chủ yếu sử dụng crypto.cat để trao đổi thông tin đăng nhập trong khi nói chuyện với họ trên điện thoại. Điều này dường như rất an toàn cho tôi và khách hàng có thể sử dụng CTRL+C.

Bạn có thể muốn thử NoteShred. Đây là một công cụ được thực hiện khá nhiều cho nhu cầu chính xác của bạn. Bạn có thể tạo một ghi chú an toàn, gửi cho ai đó liên kết và mật khẩu và tự "băm" nó sau khi họ đọc nó. Ghi chú đã biến mất và bạn nhận được email thông báo để cho bạn biết thông tin của bạn bị hủy.

Nó miễn phí, và không yêu cầu đăng ký.

https://www.noteshred.com

Tin nhắn tức thời của Skype được mã hóa .

Bây giờ, đây là một sự cảnh báo cần thiết: Skype không phải là nguồn mở nên bạn không biết liệu họ có làm một công việc tồi tệ hay cài đặt một cửa hậu của chính phủ hoặc sao chép tất cả các tin nhắn cho Bob trong CNTT hay không, nhưng bằng chứng tốt nhất cho thấy rằng đó là đảm bảo.

Làm thế nào về một tệp văn bản trên một khóa USB được mã hóa được gửi qua thư con ốc

Quá trình này không hoạt động trong mọi tình huống, nhưng tôi nghĩ nó tốt cho các hệ thống nhiều người dùng (như CMS hoặc bảng điều khiển lưu trữ):

1. Khách hàng gọi cho bạn qua điện thoại.
2. Trong khi bạn đang sử dụng điện thoại, khách hàng đăng nhập vào hệ thống và tạo một tài khoản quản trị viên mới dành riêng cho bạn, thay vì cấp cho bạn quyền truy cập vào tài khoản hiện có của họ.
3. Họ chọn một cụm mật khẩu tương đối đơn giản, ngẫu nhiên (nhưng hơn 15 ký tự) cho mật khẩu ban đầu (ví dụ: lái xe đến portland vào cuối tuần này hoặc tai nghe của tôi ở đâu )
4. Họ cho bạn biết mật khẩu qua điện thoại.
5. Bạn ngay lập tức đăng nhập vào hệ thống và đặt lại mật khẩu thành thứ gì đó thực sự mạnh , ví dụ: #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Bạn lưu trữ mật khẩu cuối cùng trong trình quản lý mật khẩu của bạn.

Ưu điểm của phương pháp này là:

1. Nó tương đối đơn giản cho khách hàng. Họ chỉ phải biết cách tạo một tài khoản trên hệ thống. Bạn có thể dẫn họ đi qua đó trong khi bạn đang nghe điện thoại nếu họ gặp sự cố.
2. Nó cũng tương đối đơn giản cho bạn. Bạn không phải đối phó với việc thiết lập và chia sẻ các tệp được mã hóa, lưu trữ một ứng dụng biểu mẫu tùy chỉnh, v.v.
3. Nó sử dụng cụm mật khẩu (trái ngược với mật khẩu) để mật khẩu tạm thời dễ dàng giao tiếp qua điện thoại, nhưng cũng tương đối an toàn.
4. Mật khẩu cuối cùng không bao giờ được truyền (tất nhiên ngoại trừ mẫu mật khẩu đặt lại, nhưng điều đó nên được hệ thống mã hóa).
5. Mật khẩu cuối cùng không bao giờ được khách hàng biết đến, vì vậy họ không thể vô tình để lộ mật khẩu cho kẻ tấn công. Tất nhiên, họ vẫn có thể tiết lộ mật khẩu của tài khoản của mình, nhưng một cuộc điều tra sau khi chết về một sự cố sẽ theo dõi sự xâm nhập vào tài khoản của họ chứ không phải của bạn;)

Cụm mật khẩu ban đầu là liên kết yếu nhất trong chuỗi vì entropy tương đối thấp và truyền không an toàn qua điện thoại. Tuy nhiên, nó vẫn có ~ 100 bit entropy và nó chỉ tồn tại trong 15-90 giây. Theo ý kiến ​​của tôi, điều đó đủ tốt trừ khi bạn đang làm việc với một thứ gì đó rất nhạy cảm, hoặc bạn biết rằng bạn hiện đang bị một hacker giỏi nhắm đến.

Một số người trong chủ đề này đã đề xuất tạo một ứng dụng web để làm việc đó. Trong thực tế, một số thậm chí tạo ra của riêng họ. Nói thật, tôi không nghĩ nên dựa vào người lạ cho một dịch vụ như thế. Tôi đã triển khai một ứng dụng web cơ bản cho phép người dùng trao đổi mật khẩu thông qua giao diện web đơn giản và cung cấp nó miễn phí theo giấy phép MIT.

Kiểm tra nó ở đây: https://github.com/MichaelThessel/pwx

Phải mất vài phút để thiết lập trong cơ sở hạ tầng của riêng bạn và bạn có thể xem xét kỹ mã nguồn. Tôi đã sử dụng cài đặt của riêng mình với khách hàng của mình trong nhiều tháng và ngay cả những người không chuyên về công nghệ cũng nhặt nó ngay lập tức.

Trong trường hợp bạn muốn kiểm tra ứng dụng mà không cần cài đặt ứng dụng trước, bạn có thể xem tại đây:

https://pwx.michaelthessel.com

Làm thế nào về việc gửi mật khẩu qua tin nhắn SMS cũ tốt ? Điều đó rất đơn giản và, miễn là bạn không cung cấp bất kỳ thông tin nào khác trong văn bản, sẽ rất khó để tìm ra nơi nó đi.

Đây là một nỗ lực hơn một chút nhưng cũng tiết kiệm thời gian của khách hàng:

Thiết lập chúng với một cái gì đó như Roboform nhưng lưu trữ dữ liệu trên web để bạn có thể truy cập nó. Khi họ đăng nhập ở đâu đó, RF sẽ lưu mật khẩu và nó có sẵn cho bạn.

Nhược điểm:
* Không chắc cách lưu trữ Roboform trực tuyến an toàn * Sau đó, bạn có quyền truy cập vào tất cả mật khẩu của khách hàng và họ có thể không thích ý tưởng đó.

Sử dụng triển vọng hoặc thunderbird với S / MIME rất dễ dàng nhưng thậm chí tốt hơn là yêu cầu họ gọi cho bạn và đọc mật khẩu của họ - nếu bạn muốn trở nên siêu tuyệt vời, hãy để họ đọc một phần của nó và gửi cho bạn một phần của nó và gửi email cho bạn một phần khác của nó.

Nếu việc sử dụng là rất tạm thời, như xử lý sự cố một lần hoặc chuyển tệp, mức bảo mật này có thể không cần thiết. Yêu cầu khách hàng tạm thời thay đổi mật khẩu thành một cái gì đó bạn biết, thực hiện công việc của bạn, sau đó yêu cầu khách hàng thay đổi lại mật khẩu. Ngay cả khi mật khẩu tạm thời được phát hiện, nó sẽ bị lỗi thời trước khi nó có thể được sử dụng cho mục đích bất chính.

Một người bạn của tôi đã tạo ra trang web này đặc biệt vì lý do này: https://pwshare.com

Đối với tôi và bạn bè của tôi trong thế giới lưu trữ, một công cụ tuyệt vời để nhanh chóng gửi mật khẩu cho khách hàng.

Từ trang giới thiệu: https://pwshare.com/about PWShare sử dụng thông số mã hóa khóa chung / riêng được gọi là RSA. Khi khách hàng muốn gửi mật khẩu, khóa công khai được yêu cầu từ máy chủ.

Sau đó, khách hàng mã hóa mật khẩu trước khi gửi mật khẩu đến máy chủ. Do đó, máy chủ không biết hoặc lưu trữ mật khẩu được giải mã.

Chỉ sử dụng liên kết chứa mã định danh và mật khẩu khóa riêng, mật khẩu mới có thể được giải mã.

Tôi sẽ giới thiệu bằng cách sử dụng một cái gì đó như axcrypt. Nó rất trực quan nên ngay cả những người thách thức về mặt kỹ thuật cũng có thể làm cho nó hoạt động.

Tải xuống AxCrypt tại đây

Khi bạn sử dụng AxCrypt, bạn hoặc bất cứ ai bạn đang giao dịch đều có thể tạo một tệp có tất cả mật khẩu / thông tin nhạy cảm và sau đó mã hóa nó bằng cụm mật khẩu. Tôi luôn đề nghị tối thiểu trao đổi cụm từ qua điện thoại hoặc gặp trực tiếp (Đây là tùy chọn tốt nhất). AxCrypt sử dụng một số mã hóa hợp lý, vì vậy bạn có thể chắc chắn rằng nó sẽ loại bỏ tất cả trừ đối thủ kiên quyết nhất. Phần tốt nhất với AxCrypt là nó tích hợp vào các cửa sổ như một phần mở rộng explorer. Trong windows explorer, tất cả những gì bạn cần làm là nhấp chuột phải vào tệp để mã hóa / giải mã nó /

Đi săn vui nhé!