Comment les clients peuvent-ils m'envoyer facilement et en toute sécurité des mots de passe? [fermé]

39

J'ai souvent besoin d'obtenir les mots de passe des clients pour FTP, SSH, MySQL, Authorize.net, etc.

Quel est un moyen facile pour eux de m'envoyer des mots de passe en toute sécurité? Peut-être même sans avoir besoin d'un identifiant / mot de passe?

Les sessions de messagerie instantanée chiffrées sont une tâche ardue à configurer avec des non-techniciens. Les appels téléphoniques brisent ma concentration et nécessitent une prise en charge. (Les appels VOIP sont-ils sécurisés?)

Idéal: un moyen facile pour les personnes non férues de technologie d'envoyer des courriels cryptés. PGP / GPG ne le coupe pas , à moins que Outlook ait un assistant très facile à utiliser. (On ne sait jamais...?)

Bon: Un système de messagerie sécurisé basé sur le Web (espérons-le en PHP) que je pourrais héberger et exécuter via SSL. Je n'ai pas été capable de trouver quelque chose comme ça.

Peut-être que je demande la mauvaise chose ou la mauvaise façon. Toutes les suggestions sont appréciées!

Adam DiCarlo
la source
2
Connaître votre mot de passe en premier lieu est un très gros problème de sécurité
Ciaran
1
Remarque - Cette question est une copie de stackoverflow.com/questions/1262424/… (Adam ne connaissait apparemment pas la fonctionnalité de migration de la question). Si la question est migrée ici vers le superutilisateur, l'une ou l'autre doit être fermée sous forme de copie. .
Bdonlan
4
Ils ne connaissent jamais mes mots de passe, mais je dois connaître des tonnes de leurs, étant leur développeur web.
Adam DiCarlo
1
Question associée sur ServerFault: serverfault.com/questions/61402/…
Tim Lytle
1
Il y a aussi onetimesecret.com, il est open source et supprime le mot de passe après sa visualisation. Donc, si vous pouvez le voir, personne d'autre ne l'a fait.
PiTheNumber

Réponses:

13

Votre idée d'un système de messagerie Web pourrait être implémentée en quelques dizaines de lignes HTML et PHP (principalement html) sur tout système disposant d'un serveur Web SSL et de GPG. C'est vraiment juste un programme de type formmail très simple mais spécialisé. Vous pouvez même pirater un script CGI formmail existant pour insérer un appel à GPG (en supposant qu'il n'en existe pas déjà, essayez Google pour formmail + GPG)

  • Si vous ne l'avez pas déjà fait, installez gpg sur votre poste de travail et créez vos clés publique et privée.
  • Créez une page php qui affiche un formulaire acceptant un message (champ de texte), le chiffre avec gpg avec votre clé publique et vous l'envoie par courrier électronique. Codez en dur votre adresse email dans le script (iE n'autorise pas l'expéditeur à spécifier à qui envoyer)
  • Installez la page php sur un serveur ssl existant ou créez-en un juste pour la tâche. Un cert auto-signé est suffisant pour ce travail.
  • Indiquez à votre client l'URL lorsque vous avez besoin d'eux pour vous envoyer un identifiant et un mot de passe.

Btw, thunderbird a le plugin Enigmail qui rend l'utilisation du cryptage GPG très facile. Mais c'est probablement encore trop de problèmes pour les utilisateurs occasionnels.

cas
la source
Je pensais que je devrais probablement faire quelque chose comme ça. Si je le fais, je vais en faire un projet open source si je peux penser à un bon nom.
Adam DiCarlo
7
Pensez à tous les projets open source qui n'ont jamais été open source car quelqu'un ne pouvait penser à un bon nom!
Robert
1
il existe maintenant crypto.cat, une suite / site Web de cryptage de chat open source.
Esperluette
23

PGP est populaire.

Vous pouvez également essayer la méthode éprouvée d'une réunion au bord d'un étang, de préférence avec des trenchs.

Paxxi
la source
6
+1 pour le PGP et la "connexion française" ;-)
Tour du
1
Pour ceux d'entre vous qui utilisaient une version FOSS, GPG fait de même.
Dentrasi
7
J'essayais d'éviter PGP / GPG - ceci est destiné aux personnes non férues de technologie qui n'ont pas nécessairement beaucoup de temps (ou de patience) pour faire quelque chose.
Adam DiCarlo
@AdamDiCarlo donc je suppose que vous allez à l'étang
ironicaldiction
7

Ceci est une combinaison entre un fichier texte et un appel téléphonique:

Demandez à votre client de mettre le mot de passe dans un fichier texte brut, puis déposez le fichier texte dans un fichier zip protégé par mot de passe. (7zip est gratuit et open-source). Demandez-leur de vous envoyer par courrier électronique le fichier crypté .zip / .rar / .7z, puis appelez-le avec leur nom d'utilisateur et le mot de passe du fichier zip.

Cela empêche tout le monde d'ouvrir le fichier zip, et même s'ils le faisaient, il ne s'agit que d'un mot de passe, qui ne vous fournit rien sans aucune autre information, telle que le nom d'utilisateur et l'emplacement d'utilisation.

En outre, il s'agit d'un moyen d'envoyer par courrier électronique un type de fichier "interdit", tel qu'un fichier .exe, à un client de messagerie qui analyse les pièces jointes et à l'intérieur des zips. Dans ces cas, d'habitude, je n'inclus que le mot de passe du fichier compressé dans le courrier électronique, généralement "mot de passe". Il suffit cependant d'empêcher le logiciel de messagerie de vérifier le contenu.

Jared Harley
la source
1
Bien que cela augmente la sécurité en ajoutant plus de couches, cela ne simplifie pas le processus. Vous devez toujours avoir un appel téléphonique.
spuder
Par contre, j'aime bien l'idée d'un deuxième canal de communication pour transmettre un minimum d'informations de type PIN. Je ne présumerais pas qu'un non-technophile sait comment créer un fichier zip - je n'utiliserais donc pas cette réponse tel quel. Cependant, nous pouvons supposer que pratiquement tous les professionnels disposent d’un téléphone portable auquel un code PIN peut être envoyé, ce qui peut constituer une vérification de sécurité utile dans le cadre d’une authentification initiale sécurisée basée sur le Web.
ToolmakerSteve
4

Ne compliquez pas l'affaire et ne surestimez pas l'importance de ce que votre client vous envoie.

Si un enregistreur de clés est en cours d'exécution sur l'un ou l'autre ordinateur, aucun chiffrement ne protégera ces précieux mots de passe.

Je n'enverrais pas de mots de passe VRAIMENT sensibles sur Internet (comme un mot de passe d'administrateur), mais pour les applications que vous avez mentionnées? Cela ne vaut pas la peine de les sécuriser au cas où quelqu'un intercepterait vos courriels.

Si votre client est concerné, ils ont plusieurs options:

  1. Apprenez à envoyer des emails cryptés.
  2. Envoyez un fax, si possible.
  3. Courrier postal? (lol)
  4. Parlez clairement au téléphone en utilisant un alphabet phonétique
EvilChookie
la source
3
Les applications que j'ai mentionnées incluent Authorize.net. Je considère que VRAIMENT sensible comme (oublié de mentionner) je parle la clé de transaction . Cette clé permet non seulement d'accepter des paiements, mais également d'effectuer des paiements (le but est de créditer les clients pour obtenir des remboursements). De plus, l'accès SSH / FTP et MySQL permet à l'utilisateur de supprimer son site Web ... Je pense qu'il est important de le protéger également. Vous dites si mon client est concerné; N’est-ce pas ma responsabilité en tant que professionnel de ne pas dire: «Vas-y et envoie-moi tes mots de passe sensibles?
Adam DiCarlo
Clés de transaction - pas de question. Envoyez-les par fax, utilisez le téléphone, selon ce qui est le plus facile. Mais pour un site client? Bien sûr, c’est important, mais il ne vaut pas la peine de s’efforcer de sécuriser le courrier électronique. Si quelqu'un veut se débarrasser d'un site Web de votre client, il existe de bien meilleurs moyens de s'en débarrasser que le risque d'intercepter un courrier électronique - attaques DDoS, injection SQL, il existe d'innombrables bazillions de moyens pour supprimer un serveur Web. voler les identifiants de quelqu'un en détectant un email n'est tout simplement pas l'un des meilleurs. Comme je l'ai dit, ne surestimez pas l'importance de l'info.
EvilChookie
1
Et puisque vous travaillez avec des sites Web, vous devez savoir mieux que quiconque que vous ne stockez pas simplement des éléments importants sur le site.
EvilChookie
Le point 4 est discutable si oncle, ou quiconque effectue la surveillance pour oncle, veut le mot de passe. La NSA garantit que tous les téléphones mobiles sont enregistrés, de même que tout appel de ligne fixe à ligne fixe qui traverse une frontière LATA. Un appel téléphonique dans l' échange telcodata.us/view-switch-detail-by-clli?clli?MLLKML17DS0 de Milwaukie ne sera pas surveillé sans mandat, mais un appel de Milwaukie à Portland le sera.
K7AAY
3

configurer un fichier Password Safe dans une partition Dropbox , afin que les clients puissent ajouter des mots de passe selon leurs besoins.

Joel décrit la technique ici

Ryan
la source
3
Idée intéressante, mais cela implique que chaque client apprenne / utilise non seulement Password Safe, mais aussi Dropbox, et probablement des boîtes de dépôt distinctes pour chaque client? Ne voulez pas qu'ils voient les fichiers protégés par le mot de passe d'autres personnes là-bas - cela semblerait mauvais (même s'ils n'auraient pas le mot de passe pour ouvrir le coffre-fort d'autres personnes).
Adam DiCarlo
3

Qu'en est-il de Cryptocat ? Sécurisé, facile à utiliser et un navigateur est tout ce dont vous avez besoin. Pour plus de détails, voir la page À propos de .

Comme Ian Dunn l’a fait remarquer, le système a la faille qu’un attaquant pourrait prétendre être votre client. Dans ce cas, la seule sécurité serait le nom de la salle de discussion qui deviendrait alors le mot de passe . Problème déplacé, mais non résolu.

Cependant, j'ai souvent besoin d'envoyer aux clients plus de 30 salades de chars (nous les appelons des mots de passe) et j'utilise principalement crypto.cat pour échanger les informations d'identification lorsque je leur parle au téléphone. Cela semble être très sécurisé pour moi et le client peut utiliser CTRL+C.

TeX HeX
la source
2
L'un des inconvénients de l'utilisation de crypto.cat à cette fin est que vous devez toujours partager le nom de la salle de discussion, qui devient essentiellement un mot de passe en soi. Si un attaquant intercepte le nom de la salle, il peut emprunter l'identité du client et obtenir le mot de passe du système. Alors maintenant, vous avez besoin d’un moyen de partager en toute sécurité le mot de passe crypto.cat, et vous êtes de retour à la case départ. Ce n'est pas fondamentalement plus sûr, il ajoute simplement une couche supplémentaire faible. Deux couches faibles valent toujours mieux qu'une, et si vous voulez garder le processus simple, alors c'est peut-être un risque acceptable.
Ian Dunn
Je pense qu'un appel téléphonique est une façon moins mauvaise de transmettre l'information. L'identité de l'appelant peut être falsifiée, mais il est beaucoup plus difficile d'imiter la voix, les manières, etc. de quelqu'un.
Ian Dunn
@ Ian Dunn: D'accord, je comprends ce que vous voulez dire. Je vais éditer ma réponse.
Tex Hex
Oui, si vous êtes déjà au téléphone avec eux, c'est beaucoup mieux que de leur envoyer par courrier électronique / texto le nom de la salle. Personnellement, je préfère le processus que j'ai exposé dans ma réponse, mais je pense que votre approche est également bonne.
Ian Dunn
3

Vous voudrez peut-être essayer NoteShred. C'est un outil conçu pour répondre exactement à vos besoins. Vous pouvez créer une note sécurisée, envoyer à quelqu'un le lien et le mot de passe et le faire "déchiqueter" lui-même après l'avoir lu. La note a disparu et vous recevez par e-mail une notification vous informant que votre information est détruite.

C'est gratuit et ne nécessite aucune inscription.

https://www.noteshred.com

Cheyne
la source
J'aime l'idée, mais si vous envoyez le lien avec le mot de passe par e-mail, n'est-ce pas à nouveau dangereux? Si un attaquant peut voir un mot de passe dans un email, il peut également voir le lien + mot de passe dans un email.
Wim Deblauwe
Évidemment, vous n'allez pas envoyer le mot de passe dans un email avec le lien. Vous avez la possibilité de transférer le mot de passe comme bon vous semble. En outre, même si l'attaquant a obtenu le mot de passe, seule la première personne qui consulte la note verra le contenu, il est ensuite déchiqueté. Donc, le mot de passe est inutile.
Cheyne
2

La messagerie instantanée de Skype est cryptée .

Maintenant, voici les mises en garde nécessaires: Skype n’est pas une source ouverte et vous ne savez donc pas s’il a fait un travail déplorable, installé une porte dérobée du gouvernement ou copié tous les messages destinés à Bob dans le système informatique, mais les meilleures preuves disponibles laissent penser garantir.

Ryan
la source
6
Nous savons maintenant avec certitude, grâce à Snowden, que le gouvernement a définitivement la possibilité de faire du skype
Robert J Berger
1
Cela devrait être voté dans le sol.
PiTheNumber
1
C'est une vieille réponse, mais toujours intéressante. Skype ne devrait plus être considéré comme un moyen "sécurisé" d'envoyer des informations confidentielles ( support.skype.com/fr/faq/fa31/does-skype-use-encryption ) .... En règle générale, les messages instantanés sont chiffrés de bout en bout pour messages directs, mais uniquement votre solution de bout en bout pour les messages instantanés en nuage. Les messages directs disparaissent. Ainsi, tous les messages instantanés envoyés via skype ne sont (ou ne le seront) pas chiffrés de bout en bout.
rocketmonkeys
2

Ce processus ne fonctionne pas dans toutes les situations, mais je pense que c'est bon pour les systèmes multi-utilisateurs (comme un CMS ou un panneau de contrôle d'hébergement):

  1. Le client vous appelle au téléphone.
  2. Lorsque vous êtes au téléphone, le client se connecte au système et crée un nouveau compte administrateur spécialement pour vous, au lieu de vous donner accès à son compte existant.
  3. Ils choisissent un mot de passe relativement simple et aléatoire (mais de plus de 15 caractères) pour le mot de passe initial (par exemple, me rendre au portland ce week-end ou où sont mes écouteurs )
  4. Ils vous disent le mot de passe par téléphone.
  5. Vous vous connectez immédiatement au système et réinitialisez le mot de passe à quelque chose de vraiment fort , par exemple, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
  6. Vous stockez le mot de passe final dans votre gestionnaire de mots de passe.

Les avantages de cette approche sont les suivants:

  1. C'est relativement simple pour le client. Ils doivent seulement savoir comment créer un compte sur le système. Vous pouvez les guider pendant que vous êtes au téléphone s'ils ont des problèmes.
  2. C'est relativement simple pour vous aussi. Vous n'avez pas à gérer la configuration et le partage de fichiers cryptés, l'hébergement d'une application de formulaire personnalisée, etc.
  3. Il utilise une phrase secrète (par opposition à un mot de passe) afin que le mot de passe temporaire soit facile à communiquer par téléphone, mais également relativement sécurisé.
  4. Le mot de passe final n'est jamais transmis (à l'exception du formulaire de réinitialisation du mot de passe, bien sûr, mais il devrait être crypté par le système).
  5. Le mot de passe final n'est jamais connu par le client. Il ne peut donc pas être exposé accidentellement à des attaquants. Bien sûr, ils peuvent toujours révéler le mot de passe de leur propre compte, mais une enquête post-mortem sur un incident permettrait de retracer la pénétration sur leur compte, pas sur le vôtre;)

La phrase secrète initiale est le maillon le plus faible de la chaîne en raison de son entropie relativement faible et de sa transmission non sécurisée par téléphone. Il a toujours environ 100 bits d'entropie et ne dure que 15 à 90 secondes. À mon avis, cela suffit à moins que vous travailliez sur quelque chose de très sensible ou que vous sachiez que vous êtes actuellement la cible d'un bon pirate informatique.

Ian Dunn
la source
Si vous envisagez de voter par correspondance, veuillez expliquer pourquoi ...
Ian Dunn Le
Pas moi, mais probablement parce que la question a 3 ans.
Esperluette
3
Cela n'a pas de sens pour moi. Ce n'est pas un fil de discussion. L'intérêt des sites Stack Exchanges est de constituer un référentiel de connaissances. Je pense que l'âge de la question n'est pas pertinent. Il existe même des badges pour travailler sur de vieilles questions, comme le nécromancien et l'archéologue. Mais si quelqu'un trouve des failles dans ma réponse, veuillez les signaler afin que je puisse les améliorer.
Ian Dunn
C'est un bon point. Vous devriez soumettre une réponse crypto.cat.
Esperluette
2

Certaines personnes dans ce fil ont suggéré de créer une application Web pour faire exactement cela. En fait, certains ont même créé le leur. Franchement, je ne pense pas que ce soit une bonne idée de compter sur des inconnus pour un service comme celui-là. J'ai implémenté une application Web de base qui permet aux utilisateurs d'échanger des mots de passe via une simple interface Web et de la rendre disponible librement sous la licence MIT.

Découvrez-le ici: https://github.com/MichaelThessel/pwx

Cela prend quelques minutes à mettre en place dans votre propre infrastructure et vous pouvez examiner le code source. J'utilise ma propre installation avec mes clients depuis des mois et même les personnes non-techy l'ont prise en un rien de temps.

Si vous souhaitez tester l’application sans l’installer au préalable, vous pouvez jeter un coup d’œil ici:

https://pwx.michaelthessel.com

Michael Thessel
la source
Vous avez dit " Je ne pense pas que ce soit une bonne idée de compter sur des inconnus pour un service comme celui-ci " et vous recommandez ensuite d'utiliser votre code pour le faire? En quoi votre code (vous êtes aussi un étranger) est-il plus sûr que le code d'un autre inconnu aléatoire?
DavidPostill
Toutes les autres solutions de ce fil proposent des solutions hébergées à source fermée sur leurs propres serveurs. Cette solution est open source. Vous pouvez consulter le code, vous assurer qu'il ne fait rien de malin et l'installer sur votre propre infrastructure. C'est la beauté de l'open source.
Michael Thessel le
Merci beaucoup d’offrir une version auto-hébergée de ces utilitaires Michael. Je vois parfaitement vos arguments et nous suivrons probablement votre exemple (plus l'image de marque est meilleure). Brillant travail!
Foliovision
1

Que diriez-vous d'envoyer les mots de passe via bon vieux SMS ? C'est très simple et, tant que vous ne fournissez aucune autre information dans le texte, il vous sera très difficile de déterminer où vous allez.

Leif
la source
La saisie de mots de passe longs et complexes sur un téléphone (et parfois leur lecture) est sujette aux erreurs.
Walf
0

Celui-ci demande un peu plus d'effort mais permet également au client de gagner du temps:

Configurez-les avec quelque chose comme Roboform, mais stockez les données sur le Web pour pouvoir y accéder. Lorsqu'ils se connecteront quelque part, RF enregistrera le mot de passe qui vous sera disponible.

Inconvénients:
* Pas sûr de la sécurité du stockage en ligne de Roboform * Vous avez alors accès à tous les mots de passe du client et ceux-ci pourraient ne pas aimer cette idée.

Clay Nichols
la source
0

Utiliser Outlook ou Thunderbird avec S / MIME est simple, mais le mieux est de leur demander de vous appeler et de vous lire leur mot de passe. Si vous voulez être vraiment génial, demandez-leur de vous en lire une partie, puis de vous en envoyer une partie et de vous envoyer un e-mail. une autre partie de celui-ci.

RAM
la source
0

Si l'utilisation est très temporaire, comme un dépannage ponctuel ou un transfert de fichier, ce niveau de sécurité peut être inutile. Demandez au client de changer temporairement le mot de passe pour quelque chose que vous connaissez, faites votre travail, puis demandez au client de le changer à nouveau. Même si le mot de passe temporaire a été découvert, il sera obsolète avant de pouvoir être utilisé à des fins néfastes.

fix1234
la source
0

Un de mes amis a créé ce site Web spécialement pour cette raison: https://pwshare.com

Pour moi et mes amis du monde de l'hébergement, un excellent outil pour envoyer rapidement des mots de passe aux clients.

Sur la page à propos de: https://pwshare.com/about, PWShare utilise une spécification de chiffrement à clé publique / privée appelée RSA. Lorsque le client souhaite envoyer un mot de passe, une clé publique est demandée au serveur.

Le client chiffre ensuite le mot de passe avant de l'envoyer au serveur. Pour cette raison, le serveur ne sait pas ou ne stocke pas le mot de passe déchiffré.

Le mot de passe ne peut être déchiffré qu'à l'aide du lien contenant l'identifiant de clé privée et le mot de passe.

Mark Kraakman
la source
-1

Je recommanderais d'utiliser quelque chose comme axcrypt. Il est très intuitif pour que même les personnes ayant des difficultés techniques puissent le faire fonctionner.

Téléchargez AxCrypt ici

Lorsque vous utilisez AxCrypt, vous ou votre partenaire pouvez créer un fichier avec tous les mots de passe / informations sensibles, puis le chiffrer avec une phrase secrète. Je recommande toujours au minimum d'échanger la phrase secrète par téléphone ou en personne (c'est la meilleure option). AxCrypt utilise un cryptage correct, vous pouvez donc être sûr qu'il gardera tous les adversaires, sauf les plus déterminés. La meilleure partie de AxCrypt est qu’il s’intègre à Windows en tant qu’extension de l’explorateur. Dans l'explorateur Windows, il vous suffit de cliquer avec le bouton droit de la souris sur le fichier pour le chiffrer / déchiffrer /

Bonne chasse!

Axxmasterr
la source