it-swarm.asia

Bagaimana klien dapat dengan mudah dan aman mengirim saya kata sandi?

Saya sering perlu mendapatkan kata sandi dari klien untuk FTP, SSH, MySQL, Authorize.net, dll.

Apa cara mudah bagi mereka untuk mengirim saya kata sandi dengan aman? Mungkin bahkan tanpa mereka memerlukan login/kata sandi?

Sesi IM terenkripsi sulit untuk diatur dengan non-techies. Panggilan telepon memecah konsentrasi saya dan membutuhkan pengaturan. (Apakah panggilan VOIP aman?)

Ideal: Cara mudah untuk non-tech-savvy orang untuk mengirim email terenkripsi. PGP/GPG tidak memotongnya, kecuali Outlook memiliki beberapa panduan bawaan yang super mudah. (Kau tak pernah tahu...?)

Bagus: Sistem pesan aman berbasis web (semoga dalam PHP) yang dapat saya Host dan jalankan melalui SSL. Saya belum dapat menemukan yang seperti ini.

Mungkin saya menanyakan hal yang salah atau cara yang salah. Ada saran yang dihargai!

39
Adam DiCarlo

Gagasan Anda tentang sistem pesan berbasis web dapat diimplementasikan dalam beberapa lusin baris HTML dan PHP (kebanyakan html) pada sistem apa pun yang memiliki server web SSL dan GPG diinstal. Ini benar-benar hanya program tipe formmail yang sangat sederhana tetapi khusus. Anda bahkan dapat meretas skrip CGI formmail yang ada untuk menyisipkan panggilan ke GPG (dengan asumsi tidak ada, coba Googling untuk formmail + GPG)

  • Jika Anda belum melakukannya, instal gpg di workstation Anda dan buat kunci publik & pribadi Anda
  • Buat halaman php yang menampilkan formulir untuk menerima pesan (bidang teks), mengenkripsinya dengan gpg menggunakan kunci publik Anda, dan mengirimkannya melalui email kepada Anda. Kode keras alamat email Anda dalam skrip (i.Et tidak mengizinkan pengirim untuk menentukan siapa yang akan dikirim ke)
  • Instal halaman php pada server ssl yang ada atau buat satu hanya untuk tugas. Sertifikat yang ditandatangani sendiri cukup baik untuk pekerjaan ini.
  • Beri tahu klien Anda url ketika Anda membutuhkannya untuk mengirimkan login dan kata sandi kepada Anda.

Btw, Thunderbird memiliki plugin Enigmail yang menjadikan penggunaan enkripsi GPG sangat mudah. Tapi itu mungkin masih terlalu banyak masalah bagi pengguna biasa.

13
cas

PGP populer.

Anda juga dapat mencoba metode rapat yang sudah dicoba dan benar, terutama jika Anda berdua mengenakan mantel parit.

23
Paxxi

Ini adalah kombinasi antara file teks dan panggilan telepon:

Mintalah klien Anda memasukkan kata sandi dalam file teks biasa, dan kemudian masukkan file teks ke file Zip yang dilindungi kata sandi. (7Zip gratis dan open-source). Mintalah mereka mengirim email file .Zip/.rar/.7z terenkripsi kepada Anda dan kemudian menelepon dengan nama pengguna dan kata sandi untuk file Zip.

Ini mencegah siapa pun membuka file Zip, dan bahkan jika mereka melakukannya, itu hanya kata sandi, yang tidak memberi Anda apa pun tanpa informasi lain, seperti nama pengguna dan ke mana menggunakannya.

Selain itu, ini adalah cara untuk mengirim email jenis file "terlarang", seperti .exe, ke klien email yang memindai lampiran dan di dalam ritsleting. Dalam kasus itu, saya biasanya hanya memasukkan kata sandi untuk file zip dalam email, dan biasanya "kata sandi". Ini cukup untuk menghentikan peranti lunak email mengecek isinya.

7
Jared Harley

Jangan terlalu rumit masalah ini, dan jangan melebih-lebihkan pentingnya apa yang dikirim klien Anda kepada Anda.

Jika salah satu komputer memiliki logger kunci berjalan, tidak ada jumlah enkripsi yang akan melindungi kata sandi berharga tersebut.

Saya tidak akan mengirim kata sandi yang BENAR-BENAR sensitif di internet (seperti kata sandi administrator) tetapi untuk aplikasi yang Anda sebutkan? Ini tidak sepadan dengan upaya untuk mengamankan mereka jika ada orang yang mungkin menyadap email Anda.

Jika klien Anda prihatin, mereka memiliki beberapa opsi:

  1. Pelajari cara mengirim email terenkripsi.
  2. Kirim faks, jika mungkin.
  3. Surat siput? (lol)
  4. Bicaralah dengan jelas melalui telepon menggunakan Alfabet Fonetik
4
EvilChookie

Anda mungkin ingin mencoba NoteShred. Ini alat yang dibuat cukup banyak untuk kebutuhan Anda. Anda dapat membuat catatan yang aman, mengirimkan tautan dan kata sandi kepada seseorang dan membuatnya "rusak" sendiri setelah mereka membacanya. Catatan hilang dan Anda menerima pemberitahuan melalui email untuk memberi tahu Anda bahwa info Anda dihancurkan.

Gratis, dan tidak perlu mendaftar.

https://www.noteshred.com

3
Cheyne

mengatur Safe Password file dalam beling Dropbox , sehingga klien dapat menambahkan kata sandi sesuai kebutuhan.

Joel menjelaskan teknik di sini

3
Ryan

Bagaimana dengan Cryptocat ? Aman, mudah digunakan, dan hanya browser yang Anda butuhkan. Untuk detail lihat Tentang halaman .

Seperti yang ditunjukkan oleh Ian Dunn, sistem memiliki kelemahan yang bisa dianggap penyerang sebagai klien Anda. Satu-satunya keamanan dalam hal ini adalah nama ruang obrolan yang kemudian akan menjadi kata sandi . Masalah bergeser, tetapi tidak diselesaikan.

Namun, saya sering perlu mengirim klien 30+ char salad (kami menyebutnya kata sandi) dan saya kebanyakan saya menggunakan crypto.cat untuk bertukar kredensial sambil berbicara kepada mereka di telepon. Ini tampaknya sangat aman bagi saya dan klien dapat menggunakan CTRL+C.

3
Tex Hex

Beberapa orang di utas ini menyarankan untuk membuat aplikasi web untuk melakukan hal itu. Bahkan beberapa bahkan membuat sendiri. Terus terang saya pikir itu bukan ide yang baik untuk bergantung pada orang asing untuk layanan seperti itu. Saya menerapkan aplikasi web dasar yang memungkinkan pengguna untuk bertukar kata sandi melalui antarmuka web sederhana dan membuatnya tersedia secara bebas di bawah lisensi MIT.

Lihat di sini: https://github.com/MichaelThessel/pwx

Butuh beberapa menit untuk mengatur dalam infrastruktur Anda sendiri dan Anda dapat memeriksa kode sumber. Saya telah menggunakan instalasi saya sendiri dengan klien saya selama berbulan-bulan dan bahkan orang-orang non-techy mengambilnya dalam waktu singkat.

Jika Anda ingin menguji aplikasi tanpa menginstalnya terlebih dahulu, Anda dapat melihatnya di sini:

https://pwx.michaelthessel.com

2
Michael Thessel

Proses ini tidak berfungsi di semua situasi, tapi saya pikir ini bagus untuk sistem multi-pengguna (seperti CMS atau panel kontrol hosting):

  1. Klien memanggil Anda di telepon.
  2. Saat Anda menggunakan telepon, klien masuk ke sistem dan membuat akun admin baru khusus untuk Anda, daripada memberi Anda akses ke yang sudah ada.
  3. Mereka memilih yang relatif sederhana, acak (tapi 15+ karakter) frasa sandi untuk kata sandi awal (misalnya, mengemudi ke portland akhir pekan ini atau di mana headphone saya )
  4. Mereka memberi tahu Anda frasa sandi melalui telepon.
  5. Anda segera masuk ke sistem dan mengatur ulang kata sandi ke sesuatu sangat kuat , misalnya, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @y> a26pR "B/cmjV .
  6. Anda menyimpan kata sandi terakhir di pengelola kata sandi Anda.

Keuntungan dari pendekatan ini adalah:

  1. Ini relatif sederhana untuk klien. Mereka hanya perlu tahu cara membuat akun di sistem. Anda dapat memandu mereka melalui itu saat Anda sedang berbicara di telepon jika mereka memiliki masalah.
  2. Ini relatif sederhana untuk Anda juga. Anda tidak harus berurusan dengan pengaturan dan berbagi file terenkripsi, hosting aplikasi formulir kustom, dll.
  3. Ini menggunakan kata sandi (bukan kata sandi) sehingga kata sandi sementara mudah untuk berkomunikasi melalui telepon, tetapi juga relatif aman.
  4. Kata sandi terakhir tidak pernah dikirimkan (kecuali untuk bentuk kata sandi reset, tentu saja, tetapi itu harus dienkripsi oleh sistem).
  5. Kata sandi terakhir tidak pernah diketahui oleh klien, sehingga mereka tidak dapat secara tidak sengaja mengungkapkannya kepada penyerang. Tentu saja, mereka masih dapat mengekspos kata sandi akun mereka sendiri, tetapi investigasi mayat akan menyelidiki penetrasi ke akun mereka, bukan milik Anda;)

Frasa sandi awal adalah tautan terlemah dalam rantai karena entropi yang relatif rendah, dan transmisi tidak aman melalui telepon. Ini masih memiliki ~ 100 bit entropi, dan hanya hidup selama 15-90 detik. Menurut pendapat saya itu cukup bagus kecuali jika Anda mengerjakan sesuatu yang sangat sensitif, atau Anda tahu bahwa Anda saat ini sedang ditargetkan secara pribadi oleh peretas yang baik.

2
Ian Dunn

Pesan Instan Skype --- dienkripsi .

Sekarang, inilah peringatan yang diperlukan: Skype bukan open source sehingga Anda tidak tahu apakah mereka melakukan pekerjaan yang buruk atau menginstal pintu belakang pemerintah atau menyalin semua pesan ke Bob di IT, tetapi bukti terbaik yang tersedia menunjukkan bahwa itu adalah aman.

2
Ryan

Bagaimana dengan file teks pada kunci USB terenkripsi dikirim melalui surat siput

2
Rob Allen

Bagaimana dengan mengirim kata sandi via good old SMS ? Ini sangat sederhana dan, selama Anda tidak memberikan informasi lain dalam teks, akan sangat sulit untuk mengetahui ke mana perginya.

1
Leif

Yang ini sedikit lebih usaha tetapi menghemat waktu klien juga:

Atur mereka dengan sesuatu seperti Roboform tetapi simpan data di web sehingga Anda dapat mengaksesnya. Ketika mereka masuk ke suatu tempat RF akan menyimpan kata sandi dan itu tersedia untuk Anda.

Kerugian:
* Tidak yakin seberapa aman penyimpanan online Roboform * Anda kemudian memiliki akses ke semua kata sandi klien dan mereka mungkin tidak menyukai gagasan itu.

0
Clay Nichols

Seorang teman saya membuat situs web ini khusus untuk alasan ini: https://pwshare.com

Bagi saya dan teman-teman di dunia hosting, alat luar biasa untuk mengirim kata sandi dengan cepat kepada klien.

Dari halaman tentang: https://pwshare.com/about PWShare menggunakan spesifikasi enkripsi kunci publik/pribadi yang dikenal sebagai RSA. Ketika klien ingin mengirim kata sandi, kunci publik diminta dari server.

Klien kemudian mengenkripsi kata sandi sebelum mengirim kata sandi ke server. Karena itu, server tidak tahu atau menyimpan kata sandi yang didekripsi.

Hanya menggunakan tautan, yang berisi pengidentifikasi dan kata sandi kunci Privat, kata sandi dapat didekripsi.

0
Mark Kraakman

Jika penggunaannya sangat sementara, seperti pemecahan masalah satu kali atau transfer file, tingkat keamanan ini mungkin tidak diperlukan. Mintalah klien untuk sementara mengubah kata sandi menjadi sesuatu yang Anda tahu, lakukan pekerjaan Anda, lalu minta klien mengubahnya lagi. Bahkan jika kata sandi sementara ditemukan, itu akan menjadi usang sebelum dapat digunakan untuk tujuan jahat.

0
fixer1234

Menggunakan Outlook atau Thunderbird dengan S/MIME itu mudah, tetapi lebih baik adalah meminta mereka memanggil Anda dan membacakan kata sandi Anda - jika Anda ingin menjadi sangat hebat, minta mereka membacakan sebagian untuk Anda dan kemudian teks bagian Anda dan kirimi Anda email bagian lain darinya.

0
Ram