Cách bảo mật mật khẩu FTP

Những người khác làm gì để bảo mật mật khẩu FTP? Kịch bản của tôi dường như không quá độc đáo đối với các nhà phát triển web và các công ty thiết kế / tiếp thị web, nhưng gặp khó khăn khi tìm bất kỳ câu trả lời nào tôi thích trực tuyến.

Kịch bản:

Tôi có quyền truy cập vào nhiều trang FTP, trên các máy chủ khác nhau và không có máy chủ nào tôi sở hữu hoặc kiểm soát. Hầu hết những người cung cấp cho tôi những thông tin này có kỹ năng kỹ thuật rất hạn chế và một số người không biết cách thay đổi mật khẩu hoặc thiết lập một tài khoản riêng cho tôi. Chưa đến 1% sử dụng SFTP hoặc SSL qua FTP, do đó, mật khẩu chủ yếu là "văn bản thuần túy" đi qua mạng.

Nếu các mật khẩu này rơi vào tay kẻ xấu, nó sẽ trở thành một mớ hỗn độn thực sự, một phần vì có thể mất nhiều ngày để thay đổi mật khẩu hoặc vô hiệu hóa tài khoản / v.v. Vì vậy, tôi có thể dành nhiều thời gian để dọn dẹp trang web bị hỏng / bị nhiễm, chỉ để nó bị nhiễm lại và một lần nữa, cho đến khi cuối cùng họ tìm ra cách thay đổi mật khẩu.

Ý tưởng tôi đã có cho đến nay:

1. Chỉ cần sử dụng KeePass để lưu trữ mật khẩu được mã hóa và cảm thấy "đủ an toàn". Tôi không thích ý tưởng này, bởi vì bất kỳ vi-rút nào theo dõi lưu lượng truy cập mạng vẫn có thể thấy tất cả mật khẩu FTP của tôi. Một vi-rút có thể có trên hệ thống của tôi trong nhiều tuần hoặc nhiều tháng và nhận được rất nhiều mật khẩu.

2. Có một PC riêng tôi chỉ sử dụng cho FTP và lưu trữ mật khẩu trên đó với KeePass. Vấn đề chính ở đây là tôi cần có khả năng làm việc ở bất cứ đâu, nhà / từ xa / v.v. và tôi không muốn mang theo 2 máy tính xách tay bên mình. Tôi có thể cần truy cập máy tính từ xa, nhưng sau đó, một hacker có thể lấy mật khẩu RDP bằng keylogger / v.v. và từ xa cho chính PC đó. Họ cũng có thể lấy mật khẩu KeePass và tệp (một khi họ có mật khẩu RDP).

3. Một PC với VMware. Không bao giờ làm bất cứ điều gì trong "máy chủ" (không phải VM) để nó "không bao giờ" bị nhiễm vi-rút và có một máy ảo mà tôi làm việc và một máy ảo khác chỉ dùng FTP (cũng không bao giờ bị nhiễm vi-rút). Âm thanh giống như tuyến đường tốt nhất cho đến nay, nhưng phần cứng cần thiết để chạy một máy ảo như thế này, và vẫn có được tốc độ khá, có vẻ đắt tiền. Chỉ cho tôi (không tính các nhân viên khác) Tôi cần 3 hộp này, vì tôi thích có một máy tính để bàn ở nơi làm việc, ở nhà và cabin của tôi.

4. Một PC có tất cả thông tin FTP được lưu trữ trên đó, VÀ KHÔNG CÓ TIẾP CẬN với nó, ngoại trừ thông qua FTP / SFTP hoặc một số giao thức / chương trình độc quyền. "Máy chủ" này sẽ giống như một proxy FTP hoặc một cái gì đó, ngoại trừ nó cũng sẽ tiêm thông tin đăng nhập trước khi gửi đến máy chủ FTP thực. Vì vậy, ứng dụng khách FTP trên PC của tôi sẽ chỉ gửi máy chủ / URL và tên người dùng, nhưng sau đó chỉ luôn gửi "mật khẩu" hoặc "trống" làm mật khẩu và "proxy" FTP sẽ tìm mật khẩu thật trong cơ sở dữ liệu và sửa đổi luồng trước khi gửi đến máy chủ thực. Tôi chỉ có thể cập nhật cơ sở dữ liệu mật khẩu từ máy chủ (bảng điều khiển) và tôi sẽ không bao giờ chạy bất kỳ ứng dụng nào / v.v. trên máy chủ.

5. Một máy khách FTP cho phép điều khiển từ xa. Vì vậy, tôi có thể cài đặt nó trên một số hộp rất an toàn, và sau đó điều khiển từ xa từ một hộp khác. Ít nhất sau đó, nếu một người khác có quyền truy cập vào điều khiển từ xa, họ vẫn không thể lấy được mật khẩu từ đó, vì vậy họ chỉ có thể xóa các trang web, nhưng không tiếp tục làm điều đó nhiều lần.

Kết luận (cho đến nay):

4 và 5 là những người duy nhất bắt đầu nghe có vẻ an toàn với tôi (miễn là proxy hoặc máy khách được điều khiển từ xa không có lỗ hổng), nhưng tôi không nghĩ một trong hai tồn tại. Tôi đoán 5 có thể giống như một trang web lưu trữ ứng dụng khách FTP cho bạn, vì vậy bạn đăng nhập và quản lý tài khoản FTP của mình (nhưng không bao giờ có cách lấy lại mật khẩu, sau khi bạn nhập nó) và thực hiện tất cả FTP của bạn thứ thông qua họ. Vì vậy, miễn là máy chủ của họ được bảo mật, thông tin tài khoản và lưu lượng truy cập của bạn cũng vậy. Có lẽ là nhà cung cấp "Web to FTP"? Tôi muốn giao diện thực sự dễ dàng, như hỗ trợ sao chép / dán, giống như tôi có thể làm với hầu hết các máy khách FTP - đó có thể là một công cụ giải quyết thỏa thuận mà tôi đoán. Một hacker có thể lấy thông tin đăng nhập của tôi cho dịch vụ này và sử dụng nó vào các trang web rác, nhưng ít nhất không thể có được thông tin đăng nhập FTP.

Trước khi bạn nói "chỉ sử dụng phần mềm chống vi-rút" ... chúng tôi đã có các phiên bản Avast và MS Security Essentials mới nhất trên hai PC khác nhau và cả hai vẫn bị nhiễm thứ gì đó đã gửi một số mật khẩu FTP tới Ukraine. Chúng tôi rất lúng túng, phải yêu cầu khách hàng thay đổi mật khẩu FTP và phải chờ vài ngày để một số người trong số họ tìm ra cách (gửi email đến các công ty lưu trữ của họ, vì họ không có hỗ trợ qua điện thoại ).

p.s.-Chúng tôi là một văn phòng dựa trên Windows, vì vậy tìm kiếm các giải pháp dựa trên Windows ... hoặc ít nhất các máy khách chạy trên Windows có thể truy cập (nếu là máy chủ Unix).

Đây không phải là vấn đề của bạn. Nếu bên thứ 3 chọn chỉ cung cấp các phương thức không bảo mật để bạn sử dụng thì đó không phải là lỗi của bạn nếu máy chủ bị xâm phạm.

Giải pháp tốt nhất: huấn luyện họ về lý do tại sao nó không an toàn và khiến họ thuê bên thứ 3 để giải quyết vấn đề. Nếu bạn đã đưa ra cảnh báo công bằng cho sự không an toàn của giao thức FTP và họ vẫn chọn sử dụng FTP thì đó là lựa chọn của họ và bạn phải tôn trọng nó.

Khi bạn nêu câu hỏi của mình, FTP không an toàn. Mật khẩu Cleartext là một thảm họa đang chờ để xảy ra. Điều tốt nhất bạn có thể làm là đảm bảo bạn chỉ kết nối với máy chủ FTP trên các mạng mà bạn tin tưởng, ví dụ: không wifi công cộng. Nếu bạn cần kết nối với máy chủ FTP và không thể tin tưởng vào mạng, hãy chuyển tiếp kết nối FTP của bạn qua một cái gì đó an toàn, như kết nối VPN hoặc đường hầm SSH, đến máy chủ mà bạn kiểm soát. Lý tưởng nhất là máy này gần với máy chủ FTP như bạn có thể lấy nó. Tìm kiếm "Chuyển tiếp cổng SSH bằng PuTTY", sử dụng PuTTY để chuyển tiếp tới VPS Linux giá rẻ có thể là giải pháp đơn giản nhất.