it-swarm.dev

¿Cómo pueden los clientes enviarme contraseñas de forma fácil y segura?

A menudo necesito obtener contraseñas de clientes para FTP, SSH, MySQL, Authorize.net, etc.

¿Cuál es una forma fácil para que me envíen las contraseñas de forma segura? Tal vez incluso sin ellos necesitan un nombre de usuario/contraseña?

Las sesiones de mensajería instantánea cifradas son una molestia para configurar con no técnicos. Las llamadas telefónicas rompen mi concentración y requieren arreglos. (¿Son seguras las llamadas VOIP, de todos modos?)

Ideal: Una forma fácil para personas sin conocimientos tecnológicos personas a enviar Correo electrónico cifrado. PGP/GPG no lo corta , a menos que Outlook tenga un asistente integrado súper fácil. (Nunca sabes...?)

Bien: Un sistema de mensaje seguro basado en la web (con suerte en PHP) que podría alojar y ejecutar sobre SSL. No he podido encontrar nada como esto.

Tal vez estoy preguntando lo incorrecto o el camino equivocado. Cualquier sugerencia es apreciada!

39
Adam DiCarlo

Su idea de un sistema de mensajería basado en la web podría implementarse en unas pocas docenas de líneas de HTML y PHP (en su mayoría html) en cualquier sistema que tuviera un servidor web SSL y GPG instalado. Es realmente solo un programa tipo formmail muy simple pero especializado. Incluso podría piratear un script CGI de formmail existente para insertar una llamada a GPG (suponiendo que no existe ya, intente buscar en Google para formmail + GPG)

  • Si aún no lo ha hecho, instale gpg en su estación de trabajo y cree sus claves públicas y privadas
  • Cree una página php que muestre un formulario para aceptar un mensaje (campo de texto), lo cifre con gpg usando su clave pública y se lo envíe por correo electrónico. Codifique su dirección de correo electrónico en el script (i.E no permita que el remitente especifique a quién enviar)
  • Instale la página php en un servidor ssl existente o cree uno solo para la tarea. Un certificado autofirmado es lo suficientemente bueno para este trabajo.
  • Dígale a su cliente la url cuando necesite que le envíe un nombre de usuario y contraseña.

Por cierto, Thunderbird tiene el complemento Enigmail que facilita el uso del cifrado GPG. Pero es probable que todavía sea demasiado problema para los usuarios ocasionales.

13
cas

PGP es popular.

También puede probar el método probado y verdadero de una reunión en un estanque, preferiblemente con ustedes dos usando gabardinas.

23
Paxxi

Esta es una combinación entre un archivo de texto y una llamada telefónica:

Pídale a su cliente que coloque la contraseña en un archivo de texto plano, y luego suelte el archivo de texto en un archivo Zip protegido por contraseña. (7Zip es gratuito y de código abierto). Pídales que le envíen por correo electrónico el archivo .Zip/.rar/.7z cifrado y luego llamen con su nombre de usuario y la contraseña para el archivo Zip.

Esto evita que alguien abra el archivo Zip, e incluso si lo hicieran, es solo una contraseña, que no le proporciona nada sin otra información, como el nombre de usuario y dónde usarlo.

Además, esta es una forma de enviar por correo electrónico un tipo de archivo "prohibido", como un archivo .exe, a un cliente de correo electrónico que analiza los archivos adjuntos y las cremalleras internas. En esos casos, generalmente solo incluyo la contraseña para el archivo comprimido en el correo electrónico, y usualmente es "contraseña". Sin embargo, es suficiente para que el software de correo electrónico no compruebe los contenidos.

7
Jared Harley

No complique demasiado el asunto ni sobreestime la importancia de lo que su cliente le está enviando.

Si cualquiera de las computadoras tiene un registrador de claves en ejecución, ninguna cantidad de cifrado protegerá esas valiosas contraseñas.

¿No enviaría contraseñas REALMENTE confidenciales a través de Internet (como la contraseña de un administrador) pero para las aplicaciones que mencionó? No vale la pena esforzarse por asegurarles la posibilidad de que alguien esté interceptando sus correos electrónicos.

Si su cliente está preocupado, tienen varias opciones:

  1. Aprenda cómo enviar correos electrónicos encriptados.
  2. Enviar un fax, si es posible.
  3. ¿Correo postal? (lol)
  4. Háblalo claramente por teléfono usando un alfabeto fonético
4
EvilChookie

Es posible que desee probar NoteShred. Es una herramienta hecha para su necesidad exacta. Puede crear una nota segura, enviar a alguien el enlace y la contraseña y hacer que se "triture" una vez que la hayan leído. La nota se fue y usted recibe una notificación por correo electrónico para informarle que se destruyó su información.

Es gratis, y no requiere ningún registro.

https://www.noteshred.com

3
Cheyne

configurar un archivo seguro para contraseñas en un fragmento Dropbox , para que los clientes puedan agregar contraseñas según sea necesario.

Joel describe la técnica aquí

3
Ryan

¿Qué hay de Cryptocat ? Seguro, fácil de usar y un navegador es todo lo que necesita. Para obtener más información, consulte la página Acerca de .

Como Ian Dunn ha señalado, el sistema tiene la falla de que un atacante podría pretender ser su cliente. La única seguridad en este caso sería el nombre de la sala de chat que luego se convertiría en la contraseña . Problema cambiado, pero no resuelto.

Sin embargo, a menudo necesito enviar clientes 30+ char salad (los llamamos contraseñas) y principalmente uso crypto.cat para intercambiar las credenciales mientras les hablo por teléfono. Esto parece ser muy seguro para mí y el cliente puede usar CTRL+C.

3
Tex Hex

Algunas personas en este hilo sugerían crear una aplicación web para hacer precisamente eso. De hecho, algunos incluso crearon los suyos. Hablando francamente, no creo que sea una buena idea confiar en extraños para un servicio como ese. Implementé una aplicación web básica que permite a los usuarios intercambiar contraseñas a través de una interfaz web simple y la puse a disposición de manera gratuita bajo la licencia MIT.

Compruébelo aquí: https://github.com/MichaelThessel/pwx

Tarda unos minutos en configurarlo dentro de su propia infraestructura y puede analizar el código fuente. He estado usando mi propia instalación con mis clientes durante meses e incluso la gente que no tiene experiencia técnica la recogió en poco tiempo.

En caso de que quiera probar la aplicación sin instalarla primero, puede echar un vistazo aquí:

https://pwx.michaelthessel.com

2
Michael Thessel

Este proceso no funciona en todas las situaciones, pero creo que es bueno para sistemas multiusuario (como un CMS o un panel de control de alojamiento):

  1. El cliente te llama por teléfono.
  2. Mientras habla por teléfono, el cliente inicia sesión en el sistema y crea una nueva cuenta de administrador específicamente para usted, en lugar de darle acceso a su cuenta existente.
  3. Escogen una frase de contraseña relativamente simple, aleatoria (pero con más de 15 caracteres) para la contraseña inicial (por ejemplo, que conduce a Portland este fin de semana o donde están mis auriculares )
  4. Te dicen la contraseña en el teléfono.
  5. Inicia sesión inmediatamente en el sistema y restableces la contraseña a algo verdaderamente fuerte , por ejemplo, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B/cmjV .
  6. Almacenas la contraseña final en tu administrador de contraseñas.

Las ventajas de este enfoque son que:

  1. Es relativamente simple para el cliente. Solo tienen que saber cómo crear una cuenta en el sistema. Puede explicárselo mientras habla por teléfono si tienen problemas.
  2. Es relativamente simple para ti también. No tiene que lidiar con la configuración y el intercambio de archivos cifrados, el alojamiento de una aplicación de formulario personalizado, etc.
  3. Utiliza una frase de contraseña (a diferencia de una contraseña) para que la contraseña temporal sea fácil de comunicarse por teléfono, pero también es relativamente segura.
  4. La contraseña final nunca se transmite (excepto el formulario de restablecimiento de la contraseña, por supuesto, pero el sistema debe cifrarlo).
  5. El cliente nunca conoce la contraseña final, por lo que no pueden exponerla accidentalmente a los atacantes. Por supuesto, todavía pueden exponer la contraseña de su propia cuenta, pero una investigación post mortem de un incidente rastrearía la penetración en su cuenta, no en la suya;)

La frase de contraseña inicial es el eslabón más débil de la cadena debido a su entropía relativamente baja y la transmisión insegura por teléfono. Sin embargo, todavía tiene ~ 100 bits de entropía, y solo vive por 15-90 segundos. En mi opinión, eso es lo suficientemente bueno a menos que estés trabajando en algo altamente sensible, o si sabes que actualmente te está atacando personalmente un buen hacker.

2
Ian Dunn

La mensajería instantánea de Skype está encriptada .

Ahora, vienen las advertencias necesarias: Skype no es de código abierto, por lo que no sabes si hicieron un trabajo terrible o si instalaron una puerta trasera del gobierno o si copiaron todos los mensajes a Bob en TI, pero la mejor evidencia disponible sugiere que es seguro.

2
Ryan

¿Qué tal en un archivo de texto en una clave USB encriptada enviada por correo postal?

2
Rob Allen

¿Qué hay de enviar las contraseñas a través de good old SMS ? Es muy simple y, mientras no proporcione ninguna otra información en el texto, será muy difícil averiguar a dónde va.

1
Leif

Este es un poco más de esfuerzo pero también ahorra tiempo al cliente:

Configúralos con algo como Roboform, pero almacena los datos en la web para que puedas acceder a ellos. Cuando inicien sesión en algún lugar RF guardará la contraseña y estará disponible para usted.

Desventajas:
* No estoy seguro de cuán seguro es el almacenamiento en línea de Roboform * Luego, tendrá acceso a todas las contraseñas del cliente y es posible que no les guste esa idea.

0
Clay Nichols

Un amigo mío creó este sitio web específicamente por este motivo: https://pwshare.com

Para mí y mis amigos en el mundo del alojamiento, una gran herramienta para enviar contraseñas a los clientes rápidamente.

En la página sobre: ​​ https://pwshare.com/about PWShare utiliza una especificación de cifrado de clave pública/privada conocida como RSA. Cuando el cliente desea enviar una contraseña, se solicita una clave pública del servidor.

El cliente luego encripta la contraseña antes de enviar la contraseña al servidor. Debido a esto, el servidor no sabe ni almacena la contraseña descifrada.

Solo utilizando el enlace, que contiene el identificador de clave privada y la contraseña, se puede descifrar la contraseña.

0
Mark Kraakman

Si el uso es muy temporal, como la resolución única de problemas o la transferencia de archivos, este nivel de seguridad puede ser innecesario. Haga que el cliente cambie temporalmente la contraseña a algo que sabe, haga su trabajo, luego haga que el cliente la vuelva a cambiar. Incluso si se descubrió la contraseña temporal, será obsoleta antes de que se pueda utilizar para propósitos nefarios.

0
fixer1234

Usar Outlook o Thunderbird con S/MIME es fácil, pero aún mejor es que te llamen y te lean su contraseña. Si quieres ser súper impresionante, pídeles que te lean una parte y luego te envíen un mensaje de texto y te envíen un correo electrónico. otra parte de ello.

0
Ram