¿Cuál es una forma segura de enviar contraseñas a través de Internet?

12

Estoy buscando la mejor manera de enviar contraseñas por Internet de forma segura. Las opciones que he visto son PGP y archivos RAR cifrados. No hay parámetros reales aparte de pasar del punto a al punto b a través de Internet sin demasiado riesgo.

security password

— Jim B
fuente

44

Esto puede sonar extraño, pero ¿por qué, dado que alguien recomendó Skype y los llamó, por qué no enviar la contraseña por SMS? (suponiendo que el otro lado tiene un teléfono móvil, pero bueno que no tiene un teléfono móvil hoy en día?)

— Darius

25

PGP u otro método de cifrado asimétrico sonaría como el camino a seguir.

ambas partes deben publicar su clave pública
firma tu mensaje con tu propia clave privada
cifrar con la clave pública del otro
transmitir el archivo
solo la clave privada del otro puede descifrar el mensaje
su clave pública se puede usar para validar el mensaje

=> seguro y privado

— Lexu
fuente

+1 buena explicación.

— msanford

+1. Esto me gusta aún más que mi propia respuesta, porque proporciona los detalles de cómo se debe hacer.

— Milan Babuškov

Esta es probablemente la mejor manera de hacerlo: esperaba algo que el cliente no tuviera que instalar, pero esta es la mejor respuesta.

— Jim B

+1 para GPG / PGP. El cifrado asimétrico es realmente la mejor opción aquí.

— Bran el Bendito

9

Cualquier mecanismo que use claves asimétricas (como SSL o PGP) es bueno. Básicamente, significa que encripta los datos (contraseña en su caso) con la clave pública de otra persona, y la única forma de descifrarlo es tener acceso a la clave privada (que solo el receptor lo hace).

Lo único que debe preocuparle a PGP es en quién confía, porque la suplantación de identidad puede suceder fácilmente cuando las personas firman sus propias claves.

Lea la sección web de confianza en la entrada de Wikipedia para PGP para obtener más información al respecto.

— Milan Babuškov
fuente

2

Solo para ayudar a aquellos que no saben qué es esto y lo están buscando en Google, el término es clave "asimétrica" (no asíncrona), lo que significa que las dos mitades de la clave no se ven iguales. :)

— msanford

1 ya que el cifrado de clave asimétrica es la mejor solución, y también proporciona una manera de verificar la identidad del destinatario (RAR mientras que un cifrado no lo hace, en realidad.)

— msanford

1

+1 por mención de clave asimétrica. También edité tu publicación para corregir el error tipográfico.

— KPWINC

8

¿Qué hay de llamar al destinatario con Skype ?

— ceejayoz
fuente

2

+1 porque en realidad no es una mala idea y está infrautilizada. Claro, si usted tiene un montón de teclas para dar a conocer no va a funcionar muy bien, pero para una o dos ...

— msanford

1

Skype funciona bien siempre que la receta esté en algún lugar cerca de la misma zona horaria. Normalmente solo llamaría usando POTS pero esas opciones simplemente no están disponibles.

— Jim B

¿En serio? Seguro "mejor" que el texto sin formato, pero nadie debería recomendar tal cosa ...

— lajarre

@lajarre ¿Te gustaría explicarlo? Para la mayoría de las personas, Skype será un método perfectamente aceptable.

— ceejayoz

@ceejayoz si entendí bien, esta respuesta recomienda que el OP le diga al otro destinatario una contraseña usando su voz a través de Skype. Supongo que mi reacción (que creo que es la correcta cuando debes ser paranoico con tus contraseñas) deriva del hecho de que Skype es propietario. ¿Eres un hacker lo suficientemente bueno como para saber si es seguro? ¿O confías en creer en los chicos de Skype? El software basado en ZRTP sería una respuesta segura. No estoy seguro de lo que "[para la mayoría de la gente] aceptable" significa ...

— lajarre

2

También debe asegurarse de que el receptor tenga que cambiar la contraseña antes de poder usar cualquier servicio para el que esté, autenticando el cambio con la contraseña de un solo uso enviada. Esto proporcionará más protección contra el robo, y / o posibilidades ligeramente mejores de descubrir uno si requiere que el ladrón lo cambie, dejando al verdadero usuario con un acceso denegado pronto ^^

— Oskar Duveborn
fuente

1

Envíe un enlace de uso único, que enlaza a una página (usando SSL) donde se puede crear la contraseña. Si alguien más descubre el enlace, es probable que sea demasiado tarde para que lo usen. Necesitará algún tipo de capacidad de reinicio, en caso de que el enlace se intercepte y se use antes del destinatario previsto.

— Wayne Sheppard
fuente

1

Si está en Windows, es posible que desee escuchar Security Now 201: SecureZip

AFAIK SecureZip implementa / automatiza el enfoque de cifrado asimétrico que describí anteriormente .

— Lexu
fuente

1

Es posible que desee probar NoteShred. Es una herramienta hecha para su necesidad exacta. Puede crear una nota segura, enviar a alguien el enlace y la contraseña y hacer que se "destruya" después de leerlo. La nota desapareció y le enviamos una notificación por correo electrónico para informarle que su información ha sido destruida.

Es gratis y no requiere ningún registro.

https://www.noteshred.com

— Cheyne
fuente

1

Si es algo único, puede usar mi herramienta: http://tanin.nanakorn.com/labs/secureMessage

Utiliza Javascript para hacer el cifrado RSA. Por lo tanto, su contraseña nunca abandona su máquina o la de su amigo. Consulte las preguntas frecuentes en la página anterior para obtener más información.

Para hacerlo regularmente, sería mejor usar claves PGP o SSH, para que no tenga que generar un nuevo par de claves cada vez.

— Tanin
fuente

0

Tiendo a utilizar métodos sincrónicos para la transmisión de contraseñas. A menudo solo envío mensajes instantáneos a alguien y les digo que la contraseña que están esperando es xxxxxx. De esa manera no hay identificación del servidor en el que funciona la contraseña y puedo enviarla cuando sé que la persona está sentada allí para cambiar la contraseña de inmediato.

— Catherine MacInnes
fuente

Además, al usar IM puedes usar un cliente compatible con el protocolo OTR como Pidgin o Adium, o usar Skype que encripta los IM (aunque no estoy seguro del nivel).

— msanford el

0

No das muchos detalles sobre lo que se necesita, pero mantengo mis contraseñas en un archivo Keepass que se almacena en un Dropbox.

— Greeblesnort
fuente

0

Acabamos de lanzar una aplicación web y móvil para hacer algo de esto. Crea URL aleatorias para credenciales, como un acortador de URL, utilizando HTTPS y un método de cifrado hash / AES para el almacenamiento. Hay una API simple para desarrolladores, aquí está nuestro artículo, tal vez sea la solución simple que necesita ... http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it

-2

Un formulario web encriptado HTTPS podría funcionar bien. Me preocuparía el archivo RAR, porque si alguien capturara todo el archivo, podría forzar la contraseña hasta que se rompiera. Capturar y armar una secuencia HTTPS no es demasiado fácil, especialmente con un tamaño de clave grande. Luego podrían almacenarse en una base de datos encriptada o algo así, posiblemente solo recuperarse a través de un formulario web seguro.

PGP también funcionaría si tuviera alguna forma de intercambiar las claves privadas de forma segura y pudiera confiar en que no se verían comprometidas en el otro extremo.

— Mate
fuente

¿Alguna idea sobre cómo saber quién está solicitando ese formulario / página web? Si el usuario aún no conoce la contraseña, tampoco podrá autenticarse.

— Arjan

3

Los esquemas de cifrado de clave asimétrica como PGP / GPG están diseñados específicamente para que NO tenga que intercambiar sus claves privadas. Intercambia sus claves públicas, que se llaman públicas porque deberían ser solo eso, públicas. No es necesario ocultar sus claves públicas, solo las privadas.

— Mikael Auno

1

Lo siento, entendí mal la pregunta original. Asumí que esto era para algo interno y no para nuevos usuarios o algo así. El cifrado de clave pública sería el camino a seguir para lo que quieres, creo.

— Matt