Saya sering perlu mendapatkan kata sandi dari klien untuk FTP, SSH, MySQL, Authorize.net, dll.
Apa cara mudah bagi mereka untuk mengirim saya kata sandi dengan aman? Mungkin bahkan tanpa mereka memerlukan login / kata sandi?
Sesi IM terenkripsi sulit untuk diatur dengan non-techies. Panggilan telepon memecah konsentrasi saya dan membutuhkan pengaturan. (Apakah panggilan VOIP aman?)
Ideal: Cara mudah bagi orang yang tidak paham teknologi untuk mengirim email terenkripsi. PGP / GPG tidak memotongnya , kecuali Outlook memiliki beberapa panduan bawaan yang super mudah. (Kau tak pernah tahu...?)
Bagus: Sistem pesan aman berbasis web (mudah-mudahan dalam PHP) yang dapat saya host dan jalankan melalui SSL. Saya belum dapat menemukan yang seperti ini.
Mungkin saya menanyakan hal yang salah atau cara yang salah. Ada saran yang dihargai!
sumber
Jawaban:
Gagasan Anda tentang sistem pesan berbasis web dapat diimplementasikan dalam beberapa lusin baris HTML dan PHP (kebanyakan html) pada sistem apa pun yang memasang server web SSL dan GPG. Ini benar-benar hanya program jenis formmail yang sangat sederhana tetapi khusus. Anda bahkan dapat meretas skrip CGI formmail yang ada untuk menyisipkan panggilan ke GPG (dengan asumsi tidak ada, coba Googling untuk formmail + GPG)
Btw, thunderbird memiliki plugin Enigmail yang membuatnya menggunakan enkripsi GPG sangat mudah. Tapi itu mungkin masih terlalu banyak masalah bagi pengguna biasa.
sumber
PGP populer.
Anda juga dapat mencoba metode rapat yang sudah dicoba dan benar, terutama jika Anda berdua mengenakan mantel parit.
sumber
Ini adalah kombinasi antara file teks dan panggilan telepon:
Mintalah klien Anda memasukkan kata sandi dalam file teks biasa, dan kemudian masukkan file teks ke file zip yang dilindungi kata sandi. (7zip gratis dan open-source). Mintalah mereka mengirim email file .zip / .rar / .7z terenkripsi kepada Anda dan kemudian menelepon dengan nama pengguna dan kata sandi untuk file zip.
Ini mencegah siapa pun membuka file zip, dan bahkan jika mereka melakukannya, itu hanya kata sandi, yang tidak memberi Anda apa pun tanpa informasi lain, seperti nama pengguna dan di mana menggunakannya.
Selain itu, ini adalah cara untuk mengirim email jenis file "terlarang", seperti .exe, ke klien email yang memindai lampiran dan di dalam ritsleting. Dalam kasus itu, saya biasanya hanya memasukkan kata sandi untuk file zip dalam email, dan biasanya "kata sandi". Ini cukup untuk menghentikan perangkat lunak email dari memeriksa konten.
sumber
Jangan terlalu rumit masalah ini, dan jangan melebih-lebihkan pentingnya apa yang dikirim klien Anda kepada Anda.
Jika salah satu komputer memiliki logger kunci berjalan, tidak ada jumlah enkripsi yang akan melindungi kata sandi berharga tersebut.
Saya tidak akan mengirim kata sandi yang BENAR-BENAR sensitif di internet (seperti kata sandi administrator) tetapi untuk aplikasi yang Anda sebutkan? Ini tidak sepadan dengan upaya untuk mengamankan mereka jika ada orang yang mungkin menyadap email Anda.
Jika klien Anda prihatin, mereka memiliki beberapa opsi:
sumber
mengatur file Password Aman di Dropbox beling , sehingga klien dapat menambahkan kata sandi sesuai kebutuhan.
Joel menjelaskan tekniknya di sini
sumber
Bagaimana dengan Cryptocat ? Aman, mudah digunakan, dan hanya browser yang Anda butuhkan. Untuk detailnya lihat halaman Tentang .
Seperti yang ditunjukkan oleh Ian Dunn, sistem memiliki kelemahan yang bisa dianggap penyerang sebagai klien Anda. Satu-satunya keamanan dalam hal ini adalah nama ruang obrolan yang kemudian akan menjadi kata sandi . Masalah bergeser, tetapi tidak diselesaikan.
Namun, saya sering perlu mengirim klien 30+ salad char (kami menyebutnya kata sandi) dan saya kebanyakan saya menggunakan crypto.cat untuk bertukar kredensial sambil berbicara dengan mereka di telepon. Ini tampaknya sangat aman bagi saya dan klien dapat menggunakannya
CTRL+C
.sumber
Anda mungkin ingin mencoba NoteShred. Ini alat yang dibuat cukup banyak untuk kebutuhan Anda. Anda dapat membuat catatan yang aman, mengirimkan tautan dan kata sandi kepada seseorang dan membuatnya "rusak" sendiri setelah mereka membacanya. Catatan hilang dan Anda menerima pemberitahuan melalui email untuk memberi tahu Anda bahwa info Anda dihancurkan.
Gratis, dan tidak perlu mendaftar.
https://www.noteshred.com
sumber
Pesan Instan Skype dienkripsi .
Sekarang, inilah peringatan yang diperlukan: Skype bukan open source sehingga Anda tidak tahu apakah mereka melakukan pekerjaan yang buruk atau menginstal pintu belakang pemerintah atau menyalin semua pesan ke Bob di TI, tetapi bukti terbaik yang tersedia menunjukkan bahwa itu adalah aman.
sumber
Bagaimana dengan file teks pada kunci USB terenkripsi yang dikirim melalui surat siput
sumber
Proses ini tidak berfungsi di semua situasi, tapi saya pikir ini bagus untuk sistem multi-pengguna (seperti CMS atau panel kontrol hosting):
Keuntungan dari pendekatan ini adalah:
Frasa sandi awal adalah tautan terlemah dalam rantai karena entropi yang relatif rendah, dan transmisi tidak aman melalui telepon. Ini masih memiliki ~ 100 bit entropi, dan hanya hidup selama 15-90 detik. Menurut pendapat saya itu cukup bagus kecuali jika Anda mengerjakan sesuatu yang sangat sensitif, atau Anda tahu bahwa Anda saat ini sedang ditargetkan secara pribadi oleh peretas yang baik.
sumber
Beberapa orang di utas ini menyarankan untuk membuat aplikasi web untuk melakukan hal itu. Bahkan beberapa bahkan membuat sendiri. Terus terang saya pikir itu bukan ide yang baik untuk bergantung pada orang asing untuk layanan seperti itu. Saya menerapkan aplikasi web dasar yang memungkinkan pengguna untuk bertukar kata sandi melalui antarmuka web yang sederhana dan membuatnya tersedia secara bebas di bawah lisensi MIT.
Lihat disini: https://github.com/MichaelThessel/pwx
Butuh beberapa menit untuk mengatur dalam infrastruktur Anda sendiri dan Anda dapat memeriksa kode sumber. Saya telah menggunakan instalasi saya sendiri dengan klien saya selama berbulan-bulan dan bahkan orang-orang non-techy mengambilnya dalam waktu singkat.
Jika Anda ingin menguji aplikasi tanpa menginstalnya terlebih dahulu, Anda dapat melihatnya di sini:
https://pwx.michaelthessel.com
sumber
Bagaimana dengan mengirim kata sandi melalui SMS lama yang bagus ? Ini sangat sederhana dan, selama Anda tidak memberikan informasi lain dalam teks, akan sangat sulit untuk mengetahui ke mana perginya.
sumber
Yang ini sedikit lebih usaha tetapi menghemat waktu klien juga:
Atur mereka dengan sesuatu seperti Roboform tetapi simpan data di web sehingga Anda dapat mengaksesnya. Ketika mereka masuk ke suatu tempat, RF akan menyimpan kata sandi dan itu tersedia untuk Anda.
Kelemahan:
* Tidak yakin seberapa aman penyimpanan online Roboform * Anda kemudian memiliki akses ke semua kata sandi klien dan mereka mungkin tidak menyukai gagasan itu.
sumber
Menggunakan outlook atau thunderbird dengan S / MIME itu mudah, tetapi lebih baik adalah meminta mereka memanggil Anda dan membacakan kata sandi Anda - jika Anda ingin menjadi sangat hebat, minta mereka membacakan sebagian untuk Anda dan kemudian kirimkan teks kepada Anda bagian dari itu dan kirimkan email kepada Anda bagian lain darinya.
sumber
Jika penggunaannya sangat sementara, seperti pemecahan masalah satu kali atau transfer file, tingkat keamanan ini mungkin tidak diperlukan. Mintalah klien untuk sementara mengubah kata sandi menjadi sesuatu yang Anda tahu, lakukan pekerjaan Anda, lalu minta klien mengubahnya lagi. Bahkan jika kata sandi sementara ditemukan, itu akan menjadi usang sebelum dapat digunakan untuk tujuan jahat.
sumber
Seorang teman saya membuat situs web ini khusus untuk alasan ini: https://pwshare.com
Bagi saya dan teman-teman di dunia hosting, alat luar biasa untuk mengirim kata sandi dengan cepat ke klien.
Dari halaman tentang: https://pwshare.com/about PWShare menggunakan spesifikasi enkripsi kunci publik / pribadi yang dikenal sebagai RSA. Ketika klien ingin mengirim kata sandi, kunci publik diminta dari server.
Klien kemudian mengenkripsi kata sandi sebelum mengirim kata sandi ke server. Karena itu, server tidak tahu atau menyimpan kata sandi yang didekripsi.
Hanya menggunakan tautan, yang berisi pengidentifikasi dan kata sandi kunci Privat, kata sandi dapat didekripsi.
sumber
Saya akan merekomendasikan menggunakan sesuatu seperti axcrypt. Ini sangat intuitif sehingga bahkan orang yang secara teknis dapat membuatnya berfungsi.
Unduh AxCrypt di sini
Ketika Anda menggunakan AxCrypt, Anda atau siapa pun yang berurusan dengan Anda dapat membuat file dengan semua kata sandi / info sensitif dan kemudian mengenkripsi file tersebut dengan frasa sandi. Saya selalu merekomendasikan minimal bertukar frasa sandi melalui telepon atau secara langsung (Ini adalah pilihan terbaik). AxCrypt menggunakan beberapa enkripsi yang layak, sehingga Anda dapat yakin itu akan membuat semua kecuali musuh yang paling bertekad keluar. Bagian terbaik dengan AxCrypt adalah bahwa ia berintegrasi ke windows sebagai ekstensi explorer. Di windows explorer semua yang perlu Anda lakukan adalah klik kanan pada file untuk mengenkripsi / mendekripsi /
Selamat berburu!
sumber