Como os clientes podem me enviar senhas de maneira fácil e segura? [fechadas]

Geralmente, preciso obter senhas de clientes para FTP, SSH, MySQL, Authorize.net, etc.

Qual é a maneira mais fácil para eles me enviarem senhas com segurança? Talvez mesmo sem eles precisando de um login / senha?

Sessões de mensagens instantâneas criptografadas são um aborrecimento para configurar com não-técnicos. Telefonemas interrompem minha concentração e exigem arranjos. (As chamadas VOIP são seguras, afinal?)

Ideal: uma maneira fácil para pessoas que não conhecem a tecnologia enviar e-mail criptografado. O PGP / GPG não funciona , a menos que o Outlook tenha algum assistente interno super fácil. (Nunca se sabe...?)

Bom: um sistema de mensagens seguras com base na Web (espero que em PHP) que eu pudesse hospedar e executar sobre SSL. Não consegui encontrar nada assim.

Talvez eu esteja perguntando a coisa errada ou o caminho errado. Todas as sugestões são apreciadas!

Sua idéia de um sistema de mensagens baseado na Web pode ser implementada em algumas dezenas de linhas de HTML e PHP (principalmente html) em qualquer sistema que tenha um servidor da Web SSL e GPG instalado. É realmente apenas um programa de formulários muito simples, mas especializado. Você pode até invadir um script CGI do formmail existente para inserir uma chamada ao GPG (supondo que ainda não exista, tente pesquisar no formmail + GPG no Google)

• Se você ainda não o fez, instale o gpg em sua estação de trabalho e crie suas chaves pública e privada
• Crie uma página php que exiba um formulário para aceitar uma mensagem (campo de texto), criptografe-a com gpg usando sua chave pública e envie-a por e-mail. Codifique seu endereço de email no script (o iE não permite que o remetente especifique para quem enviar)
• Instale a página php em um servidor ssl existente ou crie uma apenas para a tarefa. Um certificado autoassinado é bom o suficiente para este trabalho.
• Informe o URL do seu cliente quando precisar dele para enviar um login e uma senha.

Aliás, o Thunderbird possui o plug-in Enigmail, que facilita o uso da criptografia GPG. Mas ainda é provavelmente demais para usuários casuais.

PGP é popular.

Você também pode tentar o método experimentado e verdadeiro de uma reunião em uma lagoa, de preferência com os dois vestindo casacos de trincheira.

Esta é uma combinação entre um arquivo de texto e uma chamada telefônica:

Peça ao seu cliente para colocar a senha em um arquivo de texto sem formatação e solte o arquivo de texto em um arquivo zip protegido por senha. (7zip é gratuito e de código aberto). Peça que enviem por e-mail o arquivo .zip / .rar / .7z criptografado para você e depois ligue com o nome de usuário e a senha do arquivo zip.

Isso impede que alguém abra o arquivo zip e, mesmo que o tenha feito, é apenas uma senha, que não fornece nada sem outras informações, como nome de usuário e onde usá-lo.

Além disso, é uma maneira de enviar por email um tipo de arquivo "proibido", como um .exe, para um cliente de email que verifica anexos e zips internos. Nesses casos, geralmente apenas incluo a senha do arquivo compactado no email, e geralmente é "senha". É o suficiente para impedir que o software de email verifique o conteúdo.

Não complique demais o assunto e não superestime a importância do que seu cliente está lhe enviando.

Se um dos computadores tiver um registrador de chaves em execução, nenhuma quantidade de criptografia protegerá essas senhas preciosas.

Eu não enviaria senhas REALMENTE confidenciais pela Internet (como a senha de um administrador), mas para os aplicativos que você mencionou? Não vale a pena o esforço para garantir a possibilidade de alguém interceptar seus e-mails.

Se seu cliente estiver preocupado, ele tem várias opções:

1. Aprenda a enviar e-mails criptografados.
2. Envie um fax, se possível.
3. Correio normal? (ri muito)
4. Fale claramente por telefone usando um alfabeto fonético

configure um arquivo de senha segura em um Dropbox fragmentado , para que os clientes possam adicionar senhas conforme necessário.

Joel descreve a técnica aqui

E o Cryptocat ? Seguro, fácil de usar e um navegador é tudo que você precisa. Para detalhes, consulte a página Sobre .

Como Ian Dunn apontou, o sistema tem a falha de que um invasor pode fingir ser seu cliente. A única segurança nesse caso seria o nome da sala de bate-papo que se tornaria a senha . Problema alterado, mas não resolvido.

No entanto, muitas vezes eu preciso enviar aos clientes mais de 30 salada de char (nós os chamamos de senhas) e, principalmente, uso o crypto.cat para trocar as credenciais enquanto converso com eles por telefone. Isso parece ser muito seguro para mim e o cliente pode usar CTRL+C.

Você pode tentar o NoteShred. É uma ferramenta feita basicamente para a sua necessidade exata. Você pode criar uma nota segura, enviar a alguém o link e a senha e fazer com que ela "se desfaça" depois que eles a lerem. A nota foi removida e você recebe uma notificação por e-mail informando que suas informações foram destruídas.

É grátis e não requer inscrição.

https://www.noteshred.com

As mensagens instantâneas do Skype são criptografadas .

Agora, aqui estão as advertências necessárias: o Skype não é de código aberto, então você não sabe se eles fizeram um trabalho terrível ou se instalaram um backdoor do governo ou copiaram todas as mensagens para Bob em TI, mas a melhor evidência disponível sugere que ele é seguro.

Que tal em um arquivo de texto em uma chave USB criptografada enviada via correio tradicional

Esse processo não funciona em todas as situações, mas acho que é bom para sistemas multiusuário (como um CMS ou um painel de controle de hospedagem):

1. O cliente liga para você no telefone.
2. Enquanto você está ao telefone, o cliente efetua login no sistema e cria uma nova conta de administrador especificamente para você, em vez de fornecer acesso à conta existente.
3. Eles escolhem uma senha simples e aleatória (mas com mais de 15 caracteres) para a senha inicial (por exemplo, dirigir para portland neste fim de semana ou onde estão meus fones de ouvido )
4. Eles dizem a senha por telefone.
5. Você entra imediatamente no sistema e redefine a senha para algo realmente forte , por exemplo, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Você armazena a senha final no seu gerenciador de senhas.

As vantagens dessa abordagem são as seguintes:

1. É relativamente simples para o cliente. Eles só precisam saber como criar uma conta no sistema. Você pode orientá-los enquanto estiver ao telefone, se tiverem problemas.
2. É relativamente simples para você também. Você não precisa configurar e compartilhar arquivos criptografados, hospedar um aplicativo de formulário personalizado etc.
3. Ele usa uma senha (ao contrário de uma senha) para facilitar a comunicação por senha temporária por telefone, mas também é relativamente segura.
4. A senha final nunca é transmitida (exceto pelo formulário de redefinição de senha, é claro, mas isso deve ser criptografado pelo sistema).
5. A senha final nunca é conhecida pelo cliente, portanto, não é possível expô-la acidentalmente aos invasores. Obviamente, eles ainda podem expor a senha da própria conta, mas uma investigação post mortem de um incidente rastreará a penetração na conta deles, não na sua;)

A senha inicial é o elo mais fraco da cadeia devido à sua entropia relativamente baixa e transmissão insegura por telefone. No entanto, ele ainda possui ~ 100 bits de entropia e dura apenas 15 a 90 segundos. Na minha opinião, isso é bom o suficiente, a menos que você esteja trabalhando em algo altamente sensível ou saiba que atualmente está sendo alvo de um bom hacker.

Algumas pessoas neste segmento estavam sugerindo a criação de um aplicativo da web para fazer exatamente isso. De fato, alguns criaram seus próprios. Francamente falando, não acho que seja uma boa ideia confiar em estranhos para um serviço como esse. Eu implementei um aplicativo web básico que permite aos usuários trocar senhas por meio de uma interface web simples e disponibilizá-lo gratuitamente sob a licença MIT.

Confira aqui: https://github.com/MichaelThessel/pwx

Demora alguns minutos para configurar em sua própria infraestrutura e você pode examinar o código-fonte. Eu tenho usado minha própria instalação com meus clientes há meses e até mesmo as pessoas não-techy a entenderam em pouco tempo.

Caso deseje testar o aplicativo sem instalá-lo primeiro, você pode dar uma olhada aqui:

https://pwx.michaelthessel.com

Que tal enviar as senhas via SMS antigo e bom ? É muito simples e, desde que você não forneça outras informações no texto, será muito difícil descobrir para onde vai.

Este é um pouco mais de esforço, mas economiza também o tempo do cliente:

Configure-os com algo como Roboform, mas armazene os dados na Web para que você possa acessá-los. Quando eles se conectam em algum lugar, o RF salvará a senha e ela estará disponível para você.

Desvantagens:
* Não tenho certeza da segurança do armazenamento on-line do Roboform * Você tem acesso a todas as senhas do cliente e elas podem não gostar dessa idéia.

Usar o outlook ou thunderbird com S / MIME é fácil, mas o melhor é que eles liguem para você e leiam sua senha - se você quiser ser incrível, peça que eles leiam parte dela e depois enviem um texto para você e enviem um e-mail para você outra parte disso.

Se o uso for muito temporário, como solução única de problemas ou transferência de arquivos, esse nível de segurança pode ser desnecessário. Faça com que o cliente altere temporariamente a senha para algo que você conhece, faça seu trabalho e faça com que o cliente mude novamente. Mesmo que a senha temporária tenha sido descoberta, ela ficará obsoleta antes de poder ser usada para fins nefastos.

Um amigo meu criou este site especificamente por esse motivo: https://pwshare.com

Para mim e meus amigos no mundo da hospedagem, uma ótima ferramenta para enviar rapidamente senhas aos clientes.

Na página about: https://pwshare.com/about O PWShare usa uma especificação de criptografia de chave pública / privada conhecida como RSA. Quando o cliente deseja enviar uma senha, uma chave pública é solicitada ao servidor.

O cliente então criptografa a senha antes de enviá-la ao servidor. Por esse motivo, o servidor não sabe ou armazena a senha descriptografada.

Somente usando o link, que contém o identificador de chave privada e a senha, a senha pode ser descriptografada.

Eu recomendaria usar algo como axcrypt. É muito intuitivo para que mesmo pessoas com problemas técnicos possam fazê-lo funcionar.

Faça o download do AxCrypt aqui

Quando você usa o AxCrypt, você ou quem quer que esteja lidando pode criar um arquivo com todas as senhas / informações confidenciais e, em seguida, criptografá-lo com uma senha. Eu sempre recomendo, no mínimo, trocar a frase secreta por telefone ou pessoalmente (essa é a melhor opção). O AxCrypt usa uma criptografia decente, para ter certeza de que manterá todos, exceto o adversário mais determinado, fora. A melhor parte do AxCrypt é que ele se integra ao Windows como uma extensão do Explorer. No Windows Explorer, basta clicar com o botão direito do mouse no arquivo para criptografá-lo / descriptografá-lo /

Caçada feliz!