Comment les clients peuvent-ils m'envoyer facilement et en toute sécurité des mots de passe? [fermé]

J'ai souvent besoin d'obtenir les mots de passe des clients pour FTP, SSH, MySQL, Authorize.net, etc.

Quel est un moyen facile pour eux de m'envoyer des mots de passe en toute sécurité? Peut-être même sans avoir besoin d'un identifiant / mot de passe?

Les sessions de messagerie instantanée chiffrées sont une tâche ardue à configurer avec des non-techniciens. Les appels téléphoniques brisent ma concentration et nécessitent une prise en charge. (Les appels VOIP sont-ils sécurisés?)

Idéal: un moyen facile pour les personnes non férues de technologie d'envoyer des courriels cryptés. PGP / GPG ne le coupe pas , à moins que Outlook ait un assistant très facile à utiliser. (On ne sait jamais...?)

Bon: Un système de messagerie sécurisé basé sur le Web (espérons-le en PHP) que je pourrais héberger et exécuter via SSL. Je n'ai pas été capable de trouver quelque chose comme ça.

Peut-être que je demande la mauvaise chose ou la mauvaise façon. Toutes les suggestions sont appréciées!

Votre idée d'un système de messagerie Web pourrait être implémentée en quelques dizaines de lignes HTML et PHP (principalement html) sur tout système disposant d'un serveur Web SSL et de GPG. C'est vraiment juste un programme de type formmail très simple mais spécialisé. Vous pouvez même pirater un script CGI formmail existant pour insérer un appel à GPG (en supposant qu'il n'en existe pas déjà, essayez Google pour formmail + GPG)

• Si vous ne l'avez pas déjà fait, installez gpg sur votre poste de travail et créez vos clés publique et privée.
• Créez une page php qui affiche un formulaire acceptant un message (champ de texte), le chiffre avec gpg avec votre clé publique et vous l'envoie par courrier électronique. Codez en dur votre adresse email dans le script (iE n'autorise pas l'expéditeur à spécifier à qui envoyer)
• Installez la page php sur un serveur ssl existant ou créez-en un juste pour la tâche. Un cert auto-signé est suffisant pour ce travail.
• Indiquez à votre client l'URL lorsque vous avez besoin d'eux pour vous envoyer un identifiant et un mot de passe.

Btw, thunderbird a le plugin Enigmail qui rend l'utilisation du cryptage GPG très facile. Mais c'est probablement encore trop de problèmes pour les utilisateurs occasionnels.

PGP est populaire.

Vous pouvez également essayer la méthode éprouvée d'une réunion au bord d'un étang, de préférence avec des trenchs.

Ceci est une combinaison entre un fichier texte et un appel téléphonique:

Demandez à votre client de mettre le mot de passe dans un fichier texte brut, puis déposez le fichier texte dans un fichier zip protégé par mot de passe. (7zip est gratuit et open-source). Demandez-leur de vous envoyer par courrier électronique le fichier crypté .zip / .rar / .7z, puis appelez-le avec leur nom d'utilisateur et le mot de passe du fichier zip.

Cela empêche tout le monde d'ouvrir le fichier zip, et même s'ils le faisaient, il ne s'agit que d'un mot de passe, qui ne vous fournit rien sans aucune autre information, telle que le nom d'utilisateur et l'emplacement d'utilisation.

En outre, il s'agit d'un moyen d'envoyer par courrier électronique un type de fichier "interdit", tel qu'un fichier .exe, à un client de messagerie qui analyse les pièces jointes et à l'intérieur des zips. Dans ces cas, d'habitude, je n'inclus que le mot de passe du fichier compressé dans le courrier électronique, généralement "mot de passe". Il suffit cependant d'empêcher le logiciel de messagerie de vérifier le contenu.

Ne compliquez pas l'affaire et ne surestimez pas l'importance de ce que votre client vous envoie.

Si un enregistreur de clés est en cours d'exécution sur l'un ou l'autre ordinateur, aucun chiffrement ne protégera ces précieux mots de passe.

Je n'enverrais pas de mots de passe VRAIMENT sensibles sur Internet (comme un mot de passe d'administrateur), mais pour les applications que vous avez mentionnées? Cela ne vaut pas la peine de les sécuriser au cas où quelqu'un intercepterait vos courriels.

Si votre client est concerné, ils ont plusieurs options:

1. Apprenez à envoyer des emails cryptés.
2. Envoyez un fax, si possible.
3. Courrier postal? (lol)
4. Parlez clairement au téléphone en utilisant un alphabet phonétique

configurer un fichier Password Safe dans une partition Dropbox , afin que les clients puissent ajouter des mots de passe selon leurs besoins.

Joel décrit la technique ici

Qu'en est-il de Cryptocat ? Sécurisé, facile à utiliser et un navigateur est tout ce dont vous avez besoin. Pour plus de détails, voir la page À propos de .

Comme Ian Dunn l’a fait remarquer, le système a la faille qu’un attaquant pourrait prétendre être votre client. Dans ce cas, la seule sécurité serait le nom de la salle de discussion qui deviendrait alors le mot de passe . Problème déplacé, mais non résolu.

Cependant, j'ai souvent besoin d'envoyer aux clients plus de 30 salades de chars (nous les appelons des mots de passe) et j'utilise principalement crypto.cat pour échanger les informations d'identification lorsque je leur parle au téléphone. Cela semble être très sécurisé pour moi et le client peut utiliser CTRL+C.

Vous voudrez peut-être essayer NoteShred. C'est un outil conçu pour répondre exactement à vos besoins. Vous pouvez créer une note sécurisée, envoyer à quelqu'un le lien et le mot de passe et le faire "déchiqueter" lui-même après l'avoir lu. La note a disparu et vous recevez par e-mail une notification vous informant que votre information est détruite.

C'est gratuit et ne nécessite aucune inscription.

https://www.noteshred.com

La messagerie instantanée de Skype est cryptée .

Maintenant, voici les mises en garde nécessaires: Skype n’est pas une source ouverte et vous ne savez donc pas s’il a fait un travail déplorable, installé une porte dérobée du gouvernement ou copié tous les messages destinés à Bob dans le système informatique, mais les meilleures preuves disponibles laissent penser garantir.

Que diriez-vous dans un fichier texte sur une clé USB cryptée envoyée par courrier postal

Ce processus ne fonctionne pas dans toutes les situations, mais je pense que c'est bon pour les systèmes multi-utilisateurs (comme un CMS ou un panneau de contrôle d'hébergement):

1. Le client vous appelle au téléphone.
2. Lorsque vous êtes au téléphone, le client se connecte au système et crée un nouveau compte administrateur spécialement pour vous, au lieu de vous donner accès à son compte existant.
3. Ils choisissent un mot de passe relativement simple et aléatoire (mais de plus de 15 caractères) pour le mot de passe initial (par exemple, me rendre au portland ce week-end ou où sont mes écouteurs )
4. Ils vous disent le mot de passe par téléphone.
5. Vous vous connectez immédiatement au système et réinitialisez le mot de passe à quelque chose de vraiment fort , par exemple, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Vous stockez le mot de passe final dans votre gestionnaire de mots de passe.

Les avantages de cette approche sont les suivants:

1. C'est relativement simple pour le client. Ils doivent seulement savoir comment créer un compte sur le système. Vous pouvez les guider pendant que vous êtes au téléphone s'ils ont des problèmes.
2. C'est relativement simple pour vous aussi. Vous n'avez pas à gérer la configuration et le partage de fichiers cryptés, l'hébergement d'une application de formulaire personnalisée, etc.
3. Il utilise une phrase secrète (par opposition à un mot de passe) afin que le mot de passe temporaire soit facile à communiquer par téléphone, mais également relativement sécurisé.
4. Le mot de passe final n'est jamais transmis (à l'exception du formulaire de réinitialisation du mot de passe, bien sûr, mais il devrait être crypté par le système).
5. Le mot de passe final n'est jamais connu par le client. Il ne peut donc pas être exposé accidentellement à des attaquants. Bien sûr, ils peuvent toujours révéler le mot de passe de leur propre compte, mais une enquête post-mortem sur un incident permettrait de retracer la pénétration sur leur compte, pas sur le vôtre;)

La phrase secrète initiale est le maillon le plus faible de la chaîne en raison de son entropie relativement faible et de sa transmission non sécurisée par téléphone. Il a toujours environ 100 bits d'entropie et ne dure que 15 à 90 secondes. À mon avis, cela suffit à moins que vous travailliez sur quelque chose de très sensible ou que vous sachiez que vous êtes actuellement la cible d'un bon pirate informatique.

Certaines personnes dans ce fil ont suggéré de créer une application Web pour faire exactement cela. En fait, certains ont même créé le leur. Franchement, je ne pense pas que ce soit une bonne idée de compter sur des inconnus pour un service comme celui-là. J'ai implémenté une application Web de base qui permet aux utilisateurs d'échanger des mots de passe via une simple interface Web et de la rendre disponible librement sous la licence MIT.

Découvrez-le ici: https://github.com/MichaelThessel/pwx

Cela prend quelques minutes à mettre en place dans votre propre infrastructure et vous pouvez examiner le code source. J'utilise ma propre installation avec mes clients depuis des mois et même les personnes non-techy l'ont prise en un rien de temps.

Si vous souhaitez tester l’application sans l’installer au préalable, vous pouvez jeter un coup d’œil ici:

https://pwx.michaelthessel.com

Que diriez-vous d'envoyer les mots de passe via bon vieux SMS ? C'est très simple et, tant que vous ne fournissez aucune autre information dans le texte, il vous sera très difficile de déterminer où vous allez.

Celui-ci demande un peu plus d'effort mais permet également au client de gagner du temps:

Configurez-les avec quelque chose comme Roboform, mais stockez les données sur le Web pour pouvoir y accéder. Lorsqu'ils se connecteront quelque part, RF enregistrera le mot de passe qui vous sera disponible.

Inconvénients:
* Pas sûr de la sécurité du stockage en ligne de Roboform * Vous avez alors accès à tous les mots de passe du client et ceux-ci pourraient ne pas aimer cette idée.

Utiliser Outlook ou Thunderbird avec S / MIME est simple, mais le mieux est de leur demander de vous appeler et de vous lire leur mot de passe. Si vous voulez être vraiment génial, demandez-leur de vous en lire une partie, puis de vous en envoyer une partie et de vous envoyer un e-mail. une autre partie de celui-ci.

Si l'utilisation est très temporaire, comme un dépannage ponctuel ou un transfert de fichier, ce niveau de sécurité peut être inutile. Demandez au client de changer temporairement le mot de passe pour quelque chose que vous connaissez, faites votre travail, puis demandez au client de le changer à nouveau. Même si le mot de passe temporaire a été découvert, il sera obsolète avant de pouvoir être utilisé à des fins néfastes.

Un de mes amis a créé ce site Web spécialement pour cette raison: https://pwshare.com

Pour moi et mes amis du monde de l'hébergement, un excellent outil pour envoyer rapidement des mots de passe aux clients.

Sur la page à propos de: https://pwshare.com/about, PWShare utilise une spécification de chiffrement à clé publique / privée appelée RSA. Lorsque le client souhaite envoyer un mot de passe, une clé publique est demandée au serveur.

Le client chiffre ensuite le mot de passe avant de l'envoyer au serveur. Pour cette raison, le serveur ne sait pas ou ne stocke pas le mot de passe déchiffré.

Le mot de passe ne peut être déchiffré qu'à l'aide du lien contenant l'identifiant de clé privée et le mot de passe.

Je recommanderais d'utiliser quelque chose comme axcrypt. Il est très intuitif pour que même les personnes ayant des difficultés techniques puissent le faire fonctionner.

Téléchargez AxCrypt ici

Lorsque vous utilisez AxCrypt, vous ou votre partenaire pouvez créer un fichier avec tous les mots de passe / informations sensibles, puis le chiffrer avec une phrase secrète. Je recommande toujours au minimum d'échanger la phrase secrète par téléphone ou en personne (c'est la meilleure option). AxCrypt utilise un cryptage correct, vous pouvez donc être sûr qu'il gardera tous les adversaires, sauf les plus déterminés. La meilleure partie de AxCrypt est qu’il s’intègre à Windows en tant qu’extension de l’explorateur. Dans l'explorateur Windows, il vous suffit de cliquer avec le bouton droit de la souris sur le fichier pour le chiffrer / déchiffrer /

Bonne chasse!