Bagaimana klien dapat dengan mudah dan aman mengirim saya kata sandi? [Tutup]

Saya sering perlu mendapatkan kata sandi dari klien untuk FTP, SSH, MySQL, Authorize.net, dll.

Apa cara mudah bagi mereka untuk mengirim saya kata sandi dengan aman? Mungkin bahkan tanpa mereka memerlukan login / kata sandi?

Sesi IM terenkripsi sulit untuk diatur dengan non-techies. Panggilan telepon memecah konsentrasi saya dan membutuhkan pengaturan. (Apakah panggilan VOIP aman?)

Ideal: Cara mudah bagi orang yang tidak paham teknologi untuk mengirim email terenkripsi. PGP / GPG tidak memotongnya , kecuali Outlook memiliki beberapa panduan bawaan yang super mudah. (Kau tak pernah tahu...?)

Bagus: Sistem pesan aman berbasis web (mudah-mudahan dalam PHP) yang dapat saya host dan jalankan melalui SSL. Saya belum dapat menemukan yang seperti ini.

Mungkin saya menanyakan hal yang salah atau cara yang salah. Ada saran yang dihargai!

Gagasan Anda tentang sistem pesan berbasis web dapat diimplementasikan dalam beberapa lusin baris HTML dan PHP (kebanyakan html) pada sistem apa pun yang memasang server web SSL dan GPG. Ini benar-benar hanya program jenis formmail yang sangat sederhana tetapi khusus. Anda bahkan dapat meretas skrip CGI formmail yang ada untuk menyisipkan panggilan ke GPG (dengan asumsi tidak ada, coba Googling untuk formmail + GPG)

• Jika Anda belum melakukannya, instal gpg di workstation Anda dan buat kunci publik & pribadi Anda
• Buat halaman php yang menampilkan formulir untuk menerima pesan (bidang teks), mengenkripsinya dengan gpg menggunakan kunci publik Anda, dan mengirimkannya melalui email kepada Anda. Hard-code alamat email Anda dalam skrip (iE tidak mengizinkan pengirim untuk menentukan siapa yang akan dikirimi)
• Instal halaman php pada server ssl yang ada atau buat satu hanya untuk tugas. Sertifikat yang ditandatangani sendiri cukup baik untuk pekerjaan ini.
• Beri tahu klien Anda url ketika Anda membutuhkannya untuk mengirimkan login dan kata sandi kepada Anda.

Btw, thunderbird memiliki plugin Enigmail yang membuatnya menggunakan enkripsi GPG sangat mudah. Tapi itu mungkin masih terlalu banyak masalah bagi pengguna biasa.

PGP populer.

Anda juga dapat mencoba metode rapat yang sudah dicoba dan benar, terutama jika Anda berdua mengenakan mantel parit.

Ini adalah kombinasi antara file teks dan panggilan telepon:

Mintalah klien Anda memasukkan kata sandi dalam file teks biasa, dan kemudian masukkan file teks ke file zip yang dilindungi kata sandi. (7zip gratis dan open-source). Mintalah mereka mengirim email file .zip / .rar / .7z terenkripsi kepada Anda dan kemudian menelepon dengan nama pengguna dan kata sandi untuk file zip.

Ini mencegah siapa pun membuka file zip, dan bahkan jika mereka melakukannya, itu hanya kata sandi, yang tidak memberi Anda apa pun tanpa informasi lain, seperti nama pengguna dan di mana menggunakannya.

Selain itu, ini adalah cara untuk mengirim email jenis file "terlarang", seperti .exe, ke klien email yang memindai lampiran dan di dalam ritsleting. Dalam kasus itu, saya biasanya hanya memasukkan kata sandi untuk file zip dalam email, dan biasanya "kata sandi". Ini cukup untuk menghentikan perangkat lunak email dari memeriksa konten.

Jangan terlalu rumit masalah ini, dan jangan melebih-lebihkan pentingnya apa yang dikirim klien Anda kepada Anda.

Jika salah satu komputer memiliki logger kunci berjalan, tidak ada jumlah enkripsi yang akan melindungi kata sandi berharga tersebut.

Saya tidak akan mengirim kata sandi yang BENAR-BENAR sensitif di internet (seperti kata sandi administrator) tetapi untuk aplikasi yang Anda sebutkan? Ini tidak sepadan dengan upaya untuk mengamankan mereka jika ada orang yang mungkin menyadap email Anda.

Jika klien Anda prihatin, mereka memiliki beberapa opsi:

1. Pelajari cara mengirim email terenkripsi.
2. Kirim faks, jika mungkin.
3. Surat siput? (lol)
4. Bicaralah dengan jelas melalui telepon menggunakan Alfabet Fonetik

mengatur file Password Aman di Dropbox beling , sehingga klien dapat menambahkan kata sandi sesuai kebutuhan.

Joel menjelaskan tekniknya di sini

Bagaimana dengan Cryptocat ? Aman, mudah digunakan, dan hanya browser yang Anda butuhkan. Untuk detailnya lihat halaman Tentang .

Seperti yang ditunjukkan oleh Ian Dunn, sistem memiliki kelemahan yang bisa dianggap penyerang sebagai klien Anda. Satu-satunya keamanan dalam hal ini adalah nama ruang obrolan yang kemudian akan menjadi kata sandi . Masalah bergeser, tetapi tidak diselesaikan.

Namun, saya sering perlu mengirim klien 30+ salad char (kami menyebutnya kata sandi) dan saya kebanyakan saya menggunakan crypto.cat untuk bertukar kredensial sambil berbicara dengan mereka di telepon. Ini tampaknya sangat aman bagi saya dan klien dapat menggunakannya CTRL+C.

Anda mungkin ingin mencoba NoteShred. Ini alat yang dibuat cukup banyak untuk kebutuhan Anda. Anda dapat membuat catatan yang aman, mengirimkan tautan dan kata sandi kepada seseorang dan membuatnya "rusak" sendiri setelah mereka membacanya. Catatan hilang dan Anda menerima pemberitahuan melalui email untuk memberi tahu Anda bahwa info Anda dihancurkan.

Gratis, dan tidak perlu mendaftar.

https://www.noteshred.com

Pesan Instan Skype dienkripsi .

Sekarang, inilah peringatan yang diperlukan: Skype bukan open source sehingga Anda tidak tahu apakah mereka melakukan pekerjaan yang buruk atau menginstal pintu belakang pemerintah atau menyalin semua pesan ke Bob di TI, tetapi bukti terbaik yang tersedia menunjukkan bahwa itu adalah aman.

Bagaimana dengan file teks pada kunci USB terenkripsi yang dikirim melalui surat siput

Proses ini tidak berfungsi di semua situasi, tapi saya pikir ini bagus untuk sistem multi-pengguna (seperti CMS atau panel kontrol hosting):

1. Klien memanggil Anda di telepon.
2. Saat Anda menggunakan telepon, klien masuk ke sistem dan membuat akun admin baru khusus untuk Anda, daripada memberi Anda akses ke yang sudah ada.
3. Mereka memilih frasa sandi yang relatif sederhana, acak (tapi 15 karakter) untuk kata sandi awal (mis., Mengemudi ke portland akhir pekan ini atau di mana headphone saya )
4. Mereka memberi tahu Anda frasa sandi melalui telepon.
5. Anda segera masuk ke sistem dan mengatur ulang kata sandi ke sesuatu yang benar-benar kuat , misalnya, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Anda menyimpan kata sandi terakhir di pengelola kata sandi Anda.

Keuntungan dari pendekatan ini adalah:

1. Ini relatif sederhana untuk klien. Mereka hanya perlu tahu cara membuat akun di sistem. Anda dapat memandu mereka melalui itu saat Anda sedang berbicara di telepon jika mereka memiliki masalah.
2. Ini relatif sederhana untuk Anda juga. Anda tidak harus berurusan dengan pengaturan dan berbagi file terenkripsi, hosting aplikasi formulir kustom, dll.
3. Ini menggunakan kata sandi (bukan kata sandi) sehingga kata sandi sementara mudah untuk berkomunikasi melalui telepon, tetapi juga relatif aman.
4. Kata sandi terakhir tidak pernah dikirimkan (kecuali untuk bentuk kata sandi reset, tentu saja, tetapi itu harus dienkripsi oleh sistem).
5. Kata sandi terakhir tidak pernah diketahui oleh klien, sehingga mereka tidak dapat secara tidak sengaja mengungkapkannya kepada penyerang. Tentu saja, mereka masih bisa mengekspos kata sandi akun mereka sendiri, tetapi investigasi mayat akan menyelidiki penetrasi ke akun mereka, bukan milikmu;)

Frasa sandi awal adalah tautan terlemah dalam rantai karena entropi yang relatif rendah, dan transmisi tidak aman melalui telepon. Ini masih memiliki ~ 100 bit entropi, dan hanya hidup selama 15-90 detik. Menurut pendapat saya itu cukup bagus kecuali jika Anda mengerjakan sesuatu yang sangat sensitif, atau Anda tahu bahwa Anda saat ini sedang ditargetkan secara pribadi oleh peretas yang baik.

Beberapa orang di utas ini menyarankan untuk membuat aplikasi web untuk melakukan hal itu. Bahkan beberapa bahkan membuat sendiri. Terus terang saya pikir itu bukan ide yang baik untuk bergantung pada orang asing untuk layanan seperti itu. Saya menerapkan aplikasi web dasar yang memungkinkan pengguna untuk bertukar kata sandi melalui antarmuka web yang sederhana dan membuatnya tersedia secara bebas di bawah lisensi MIT.

Lihat disini: https://github.com/MichaelThessel/pwx

Butuh beberapa menit untuk mengatur dalam infrastruktur Anda sendiri dan Anda dapat memeriksa kode sumber. Saya telah menggunakan instalasi saya sendiri dengan klien saya selama berbulan-bulan dan bahkan orang-orang non-techy mengambilnya dalam waktu singkat.

Jika Anda ingin menguji aplikasi tanpa menginstalnya terlebih dahulu, Anda dapat melihatnya di sini:

https://pwx.michaelthessel.com

Bagaimana dengan mengirim kata sandi melalui SMS lama yang bagus ? Ini sangat sederhana dan, selama Anda tidak memberikan informasi lain dalam teks, akan sangat sulit untuk mengetahui ke mana perginya.

Yang ini sedikit lebih usaha tetapi menghemat waktu klien juga:

Atur mereka dengan sesuatu seperti Roboform tetapi simpan data di web sehingga Anda dapat mengaksesnya. Ketika mereka masuk ke suatu tempat, RF akan menyimpan kata sandi dan itu tersedia untuk Anda.

Kelemahan:
* Tidak yakin seberapa aman penyimpanan online Roboform * Anda kemudian memiliki akses ke semua kata sandi klien dan mereka mungkin tidak menyukai gagasan itu.

Menggunakan outlook atau thunderbird dengan S / MIME itu mudah, tetapi lebih baik adalah meminta mereka memanggil Anda dan membacakan kata sandi Anda - jika Anda ingin menjadi sangat hebat, minta mereka membacakan sebagian untuk Anda dan kemudian kirimkan teks kepada Anda bagian dari itu dan kirimkan email kepada Anda bagian lain darinya.

Jika penggunaannya sangat sementara, seperti pemecahan masalah satu kali atau transfer file, tingkat keamanan ini mungkin tidak diperlukan. Mintalah klien untuk sementara mengubah kata sandi menjadi sesuatu yang Anda tahu, lakukan pekerjaan Anda, lalu minta klien mengubahnya lagi. Bahkan jika kata sandi sementara ditemukan, itu akan menjadi usang sebelum dapat digunakan untuk tujuan jahat.

Seorang teman saya membuat situs web ini khusus untuk alasan ini: https://pwshare.com

Bagi saya dan teman-teman di dunia hosting, alat luar biasa untuk mengirim kata sandi dengan cepat ke klien.

Dari halaman tentang: https://pwshare.com/about PWShare menggunakan spesifikasi enkripsi kunci publik / pribadi yang dikenal sebagai RSA. Ketika klien ingin mengirim kata sandi, kunci publik diminta dari server.

Klien kemudian mengenkripsi kata sandi sebelum mengirim kata sandi ke server. Karena itu, server tidak tahu atau menyimpan kata sandi yang didekripsi.

Hanya menggunakan tautan, yang berisi pengidentifikasi dan kata sandi kunci Privat, kata sandi dapat didekripsi.

Saya akan merekomendasikan menggunakan sesuatu seperti axcrypt. Ini sangat intuitif sehingga bahkan orang yang secara teknis dapat membuatnya berfungsi.

Unduh AxCrypt di sini

Ketika Anda menggunakan AxCrypt, Anda atau siapa pun yang berurusan dengan Anda dapat membuat file dengan semua kata sandi / info sensitif dan kemudian mengenkripsi file tersebut dengan frasa sandi. Saya selalu merekomendasikan minimal bertukar frasa sandi melalui telepon atau secara langsung (Ini adalah pilihan terbaik). AxCrypt menggunakan beberapa enkripsi yang layak, sehingga Anda dapat yakin itu akan membuat semua kecuali musuh yang paling bertekad keluar. Bagian terbaik dengan AxCrypt adalah bahwa ia berintegrasi ke windows sebagai ekstensi explorer. Di windows explorer semua yang perlu Anda lakukan adalah klik kanan pada file untuk mengenkripsi / mendekripsi /

Selamat berburu!