J'ai souvent besoin d'obtenir les mots de passe des clients pour FTP, SSH, MySQL, Authorize.net, etc.
Quel est un moyen facile pour eux de m'envoyer des mots de passe en toute sécurité? Peut-être même sans avoir besoin d'un identifiant / mot de passe?
Les sessions de messagerie instantanée chiffrées sont une tâche ardue à configurer avec des non-techniciens. Les appels téléphoniques brisent ma concentration et nécessitent une prise en charge. (Les appels VOIP sont-ils sécurisés?)
Idéal: un moyen facile pour les personnes non férues de technologie d'envoyer des courriels cryptés. PGP / GPG ne le coupe pas , à moins que Outlook ait un assistant très facile à utiliser. (On ne sait jamais...?)
Bon: Un système de messagerie sécurisé basé sur le Web (espérons-le en PHP) que je pourrais héberger et exécuter via SSL. Je n'ai pas été capable de trouver quelque chose comme ça.
Peut-être que je demande la mauvaise chose ou la mauvaise façon. Toutes les suggestions sont appréciées!
la source
Réponses:
Votre idée d'un système de messagerie Web pourrait être implémentée en quelques dizaines de lignes HTML et PHP (principalement html) sur tout système disposant d'un serveur Web SSL et de GPG. C'est vraiment juste un programme de type formmail très simple mais spécialisé. Vous pouvez même pirater un script CGI formmail existant pour insérer un appel à GPG (en supposant qu'il n'en existe pas déjà, essayez Google pour formmail + GPG)
Btw, thunderbird a le plugin Enigmail qui rend l'utilisation du cryptage GPG très facile. Mais c'est probablement encore trop de problèmes pour les utilisateurs occasionnels.
la source
PGP est populaire.
Vous pouvez également essayer la méthode éprouvée d'une réunion au bord d'un étang, de préférence avec des trenchs.
la source
Ceci est une combinaison entre un fichier texte et un appel téléphonique:
Demandez à votre client de mettre le mot de passe dans un fichier texte brut, puis déposez le fichier texte dans un fichier zip protégé par mot de passe. (7zip est gratuit et open-source). Demandez-leur de vous envoyer par courrier électronique le fichier crypté .zip / .rar / .7z, puis appelez-le avec leur nom d'utilisateur et le mot de passe du fichier zip.
Cela empêche tout le monde d'ouvrir le fichier zip, et même s'ils le faisaient, il ne s'agit que d'un mot de passe, qui ne vous fournit rien sans aucune autre information, telle que le nom d'utilisateur et l'emplacement d'utilisation.
En outre, il s'agit d'un moyen d'envoyer par courrier électronique un type de fichier "interdit", tel qu'un fichier .exe, à un client de messagerie qui analyse les pièces jointes et à l'intérieur des zips. Dans ces cas, d'habitude, je n'inclus que le mot de passe du fichier compressé dans le courrier électronique, généralement "mot de passe". Il suffit cependant d'empêcher le logiciel de messagerie de vérifier le contenu.
la source
Ne compliquez pas l'affaire et ne surestimez pas l'importance de ce que votre client vous envoie.
Si un enregistreur de clés est en cours d'exécution sur l'un ou l'autre ordinateur, aucun chiffrement ne protégera ces précieux mots de passe.
Je n'enverrais pas de mots de passe VRAIMENT sensibles sur Internet (comme un mot de passe d'administrateur), mais pour les applications que vous avez mentionnées? Cela ne vaut pas la peine de les sécuriser au cas où quelqu'un intercepterait vos courriels.
Si votre client est concerné, ils ont plusieurs options:
la source
configurer un fichier Password Safe dans une partition Dropbox , afin que les clients puissent ajouter des mots de passe selon leurs besoins.
Joel décrit la technique ici
la source
Qu'en est-il de Cryptocat ? Sécurisé, facile à utiliser et un navigateur est tout ce dont vous avez besoin. Pour plus de détails, voir la page À propos de .
Comme Ian Dunn l’a fait remarquer, le système a la faille qu’un attaquant pourrait prétendre être votre client. Dans ce cas, la seule sécurité serait le nom de la salle de discussion qui deviendrait alors le mot de passe . Problème déplacé, mais non résolu.
Cependant, j'ai souvent besoin d'envoyer aux clients plus de 30 salades de chars (nous les appelons des mots de passe) et j'utilise principalement crypto.cat pour échanger les informations d'identification lorsque je leur parle au téléphone. Cela semble être très sécurisé pour moi et le client peut utiliser
CTRL+C
.la source
Vous voudrez peut-être essayer NoteShred. C'est un outil conçu pour répondre exactement à vos besoins. Vous pouvez créer une note sécurisée, envoyer à quelqu'un le lien et le mot de passe et le faire "déchiqueter" lui-même après l'avoir lu. La note a disparu et vous recevez par e-mail une notification vous informant que votre information est détruite.
C'est gratuit et ne nécessite aucune inscription.
https://www.noteshred.com
la source
La messagerie instantanée de Skype est cryptée .
Maintenant, voici les mises en garde nécessaires: Skype n’est pas une source ouverte et vous ne savez donc pas s’il a fait un travail déplorable, installé une porte dérobée du gouvernement ou copié tous les messages destinés à Bob dans le système informatique, mais les meilleures preuves disponibles laissent penser garantir.
la source
Que diriez-vous dans un fichier texte sur une clé USB cryptée envoyée par courrier postal
la source
Ce processus ne fonctionne pas dans toutes les situations, mais je pense que c'est bon pour les systèmes multi-utilisateurs (comme un CMS ou un panneau de contrôle d'hébergement):
Les avantages de cette approche sont les suivants:
La phrase secrète initiale est le maillon le plus faible de la chaîne en raison de son entropie relativement faible et de sa transmission non sécurisée par téléphone. Il a toujours environ 100 bits d'entropie et ne dure que 15 à 90 secondes. À mon avis, cela suffit à moins que vous travailliez sur quelque chose de très sensible ou que vous sachiez que vous êtes actuellement la cible d'un bon pirate informatique.
la source
Certaines personnes dans ce fil ont suggéré de créer une application Web pour faire exactement cela. En fait, certains ont même créé le leur. Franchement, je ne pense pas que ce soit une bonne idée de compter sur des inconnus pour un service comme celui-là. J'ai implémenté une application Web de base qui permet aux utilisateurs d'échanger des mots de passe via une simple interface Web et de la rendre disponible librement sous la licence MIT.
Découvrez-le ici: https://github.com/MichaelThessel/pwx
Cela prend quelques minutes à mettre en place dans votre propre infrastructure et vous pouvez examiner le code source. J'utilise ma propre installation avec mes clients depuis des mois et même les personnes non-techy l'ont prise en un rien de temps.
Si vous souhaitez tester l’application sans l’installer au préalable, vous pouvez jeter un coup d’œil ici:
https://pwx.michaelthessel.com
la source
Que diriez-vous d'envoyer les mots de passe via bon vieux SMS ? C'est très simple et, tant que vous ne fournissez aucune autre information dans le texte, il vous sera très difficile de déterminer où vous allez.
la source
Celui-ci demande un peu plus d'effort mais permet également au client de gagner du temps:
Configurez-les avec quelque chose comme Roboform, mais stockez les données sur le Web pour pouvoir y accéder. Lorsqu'ils se connecteront quelque part, RF enregistrera le mot de passe qui vous sera disponible.
Inconvénients:
* Pas sûr de la sécurité du stockage en ligne de Roboform * Vous avez alors accès à tous les mots de passe du client et ceux-ci pourraient ne pas aimer cette idée.
la source
Utiliser Outlook ou Thunderbird avec S / MIME est simple, mais le mieux est de leur demander de vous appeler et de vous lire leur mot de passe. Si vous voulez être vraiment génial, demandez-leur de vous en lire une partie, puis de vous en envoyer une partie et de vous envoyer un e-mail. une autre partie de celui-ci.
la source
Si l'utilisation est très temporaire, comme un dépannage ponctuel ou un transfert de fichier, ce niveau de sécurité peut être inutile. Demandez au client de changer temporairement le mot de passe pour quelque chose que vous connaissez, faites votre travail, puis demandez au client de le changer à nouveau. Même si le mot de passe temporaire a été découvert, il sera obsolète avant de pouvoir être utilisé à des fins néfastes.
la source
Un de mes amis a créé ce site Web spécialement pour cette raison: https://pwshare.com
Pour moi et mes amis du monde de l'hébergement, un excellent outil pour envoyer rapidement des mots de passe aux clients.
Sur la page à propos de: https://pwshare.com/about, PWShare utilise une spécification de chiffrement à clé publique / privée appelée RSA. Lorsque le client souhaite envoyer un mot de passe, une clé publique est demandée au serveur.
Le client chiffre ensuite le mot de passe avant de l'envoyer au serveur. Pour cette raison, le serveur ne sait pas ou ne stocke pas le mot de passe déchiffré.
Le mot de passe ne peut être déchiffré qu'à l'aide du lien contenant l'identifiant de clé privée et le mot de passe.
la source
Je recommanderais d'utiliser quelque chose comme axcrypt. Il est très intuitif pour que même les personnes ayant des difficultés techniques puissent le faire fonctionner.
Téléchargez AxCrypt ici
Lorsque vous utilisez AxCrypt, vous ou votre partenaire pouvez créer un fichier avec tous les mots de passe / informations sensibles, puis le chiffrer avec une phrase secrète. Je recommande toujours au minimum d'échanger la phrase secrète par téléphone ou en personne (c'est la meilleure option). AxCrypt utilise un cryptage correct, vous pouvez donc être sûr qu'il gardera tous les adversaires, sauf les plus déterminés. La meilleure partie de AxCrypt est qu’il s’intègre à Windows en tant qu’extension de l’explorateur. Dans l'explorateur Windows, il vous suffit de cliquer avec le bouton droit de la souris sur le fichier pour le chiffrer / déchiffrer /
Bonne chasse!
la source