Qual é a maneira segura de enviar senhas pela Internet?

12

Estou procurando a melhor maneira de enviar senhas pela Internet com segurança. As opções que eu analisei são PGP e arquivos RAR criptografados. Não há parâmetros reais além do ponto a ao ponto b sobre as internets sem muito risco.

security password

— Jim B
fonte

4

Isso pode parecer estranho, mas por que, como alguém recomendou o Skype e ligou para ele, por que não enviar a senha por SMS? (assumindo que o outro lado tem um telefone celular, mas hey, que não tem um telefone celular hoje em dia?)

— Darius

25

PGP ou outro método de criptografia assimétrico soaria como o caminho a seguir.

ambos os lados devem publicar sua chave pública
assine sua mensagem com sua própria chave privada
criptografar com a chave pública do outro
transmitir o arquivo
somente a chave privada do outro pode descriptografar a mensagem
sua chave pública pode ser usada para validar a mensagem

=> seguro e privado

— Lexu
fonte

+1 boa explicação.

— 31909 msanford

+1. Gosto disso ainda melhor do que minha própria resposta, porque fornece os detalhes de como deve ser feito.

— Milan Babuškov 14/07/2009

Esta é provavelmente a melhor maneira de ir - eu esperava algo que o cliente não tivesse que instalar, mas esta é a melhor resposta.

— Jim B

+1 para GPG / PGP. A criptografia assimétrica é realmente a melhor opção aqui.

— Bran, o Abençoado

9

Qualquer mecanismo que use chaves assimétricas (como SSL ou PGP) é bom. Basicamente, isso significa que você criptografa os dados (senha no seu caso) com a chave pública de outra pessoa, e a única maneira de descriptografá-la é ter acesso à chave privada (que somente o destinatário faz).

A única coisa com que se preocupar com o PGP é em quem você confia, porque a falsificação pode acontecer facilmente quando as pessoas assinam suas próprias chaves.

Leia a seção Web of Trust na entrada da Wikipedia para PGP para obter mais informações sobre isso.

— Milan Babuškov
fonte

2

Apenas para ajudar aqueles que não sabem o que é isso e estão pesquisando no Google, o termo é chave "assimétrica" (não assíncrona), o que significa que as duas partes da chave não são iguais. :)

— msanford

+1 porque a criptografia de chave assimétrica é a melhor solução, e também fornece uma maneira de verificar a identidade do destinatário (ao passo que uma RAR criptografado não faz, realmente.)

— msanford

1

+1 para menção de chave assimétrica. Também editei sua postagem para corrigir o erro de digitação.

— 22710 KPWINC

8

Que tal ligar para o destinatário com o Skype ?

— ceejayoz
fonte

2

+1 porque na verdade não é uma má ideia e é subutilizada. Claro, se você tem um monte de chaves para dar não vai funcionar muito bem, mas para um ou dois ...

— msanford

1

O Skype funciona bem desde que a receita esteja em algum lugar próximo ao mesmo fuso horário. Normalmente, eu telefonaria usando POTS, mas essas opções simplesmente não estão disponíveis.

— Jim B

Você está falando sério? Certeza "melhor" do que o texto liso, mas ninguém deve recomendar uma coisa dessas ...

— lajarre

@lajarre Gostaria de explicar? Para a maioria das pessoas, o Skype será um método perfeitamente aceitável.

— precisa

@ceejayoz Se eu entendi bem, esta resposta recomenda que o OP informe ao outro destinatário uma senha usando sua voz através do Skype. Acho que minha reação (que acredito ser a correta quando você deve ser paranóico com suas senhas) deriva do fato de o Skype ser proprietário. Você é um hacker bom o suficiente para saber se é seguro? Ou você acredita em caras do Skype? O software baseado em ZRTP seria uma resposta segura. Não estou certo o que "aceitáveis [para a maioria das pessoas]" significa ...

— lajarre

2

Você também deve certificar-se de que o destinatário precise alterar a senha antes de poder usar qualquer serviço para o qual se destina - autenticando a alteração com a senha de uso único enviada. Isso fornecerá proteção adicional contra roubo - e / ou chances ligeiramente melhores de descobrir uma, caso seja necessário que o ladrão a troque, deixando ao usuário verdadeiro um prompt de acesso negado ^^

— Oskar Duveborn
fonte

1

Envie um link de uso único, que é vinculado a uma página (usando SSL) onde a senha pode ser criada. Se alguém descobrir o link, provavelmente será tarde demais para usá-lo. Você precisará de algum tipo de capacidade de redefinição, caso o link seja interceptado e usado antes do destinatário pretendido.

— Wayne Sheppard
fonte

1

Se você estiver no Windows, poderá ouvir Security Now 201: SecureZip

O AFAIK SecureZip implementa / automatiza a abordagem de criptografia assimétrica descrita acima .

— Lexu
fonte

1

Você pode tentar o NoteShred. É uma ferramenta feita basicamente para a sua necessidade exata. Você pode criar uma nota segura, enviar a alguém o link e a senha e fazer com que ela se "destrua" depois que eles a lerem. A nota foi removida e você recebe uma notificação por e-mail informando que suas informações foram destruídas.

É grátis e não requer inscrição.

https://www.noteshred.com

— Cheyne
fonte

1

Se for algo único, você pode usar minha ferramenta: http://tanin.nanakorn.com/labs/secureMessage

Ele usa Javascript para fazer criptografia RSA. Portanto, sua senha nunca sai da sua máquina ou do seu amigo. Consulte as Perguntas frequentes na página acima para obter mais informações.

Para fazer isso regularmente, seria melhor usar as chaves PGP ou SSH, para não precisar gerar um novo par de chaves todas as vezes.

— Tanin
fonte

0

Eu costumo usar métodos síncronos para transmissão de senha. Frequentemente, apenas envio mensagens instantâneas a alguém e digo que a senha que eles estão esperando é xxxxxx. Dessa forma, não há identificação do servidor em que a senha funciona e posso enviá-la quando souber que a pessoa está sentada lá para alterar a senha imediatamente.

— Catherine MacInnes
fonte

Além disso, usando IM, você pode usar um cliente compatível com protocolo OTR, como Pidgin ou Adium, ou usar o Skype, que criptografa IMs (embora eu não tenha certeza do nível).

— 31909 msanford

0

Você não fornece muitos detalhes sobre o que é necessário, mas mantenho minhas senhas em um arquivo Keepass armazenado em um Dropbox.

— Greeblesnort
fonte

0

Acabamos de lançar um aplicativo Web e móvel para fazer isso. Ele cria URLs aleatórios para credenciais, como um encurtador de URL, usando HTTPS e um método de criptografia hash / AES para armazenamento. Existe uma API simples para desenvolvedores, aqui está nossa descrição, talvez seja a solução mais simples que você precisa .. http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it

-2

Um formulário da Web criptografado HTTPS pode funcionar bem. Eu me preocuparia com o arquivo RAR, porque se alguém capturasse o arquivo inteiro, ele poderia forçar a senha até que ela quebrasse. Capturar e montar um fluxo HTTPS não é muito fácil, especialmente com um tamanho de chave grande. Eles poderiam então ser armazenados em um banco de dados criptografado ou algo assim, possivelmente apenas recuperado através de um formulário da Web seguro.

O PGP também funcionaria se você tivesse alguma maneira de trocar as chaves privadas com segurança e pudesse confiar que elas não seriam comprometidas do outro lado.

— Matt
fonte

Alguma idéia de como saber quem está solicitando esse formulário / página da web? Se o usuário ainda não souber a senha, também não poderá se autenticar.

— Arjan #

3

Esquemas de criptografia de chave assimétrica como PGP / GPG são projetados especificamente para que você NÃO precise trocar suas chaves privadas. Você troca chaves públicas, chamadas de públicas, porque deveriam ser exatamente isso, públicas. Não há necessidade de ocultar suas chaves públicas, apenas as privadas.

— Mikael Auno

1

Desculpe, eu não entendi a pergunta original. Presumi que isso fosse uma coisa interna e não para novos usuários ou algo assim. A criptografia de chave pública seria o caminho a seguir para o que você deseja, eu acho.

— Matt