¿Cómo pueden los clientes enviarme contraseñas de forma fácil y segura? [cerrado]

A menudo necesito obtener contraseñas de clientes para FTP, SSH, MySQL, Authorize.net, etc.

¿Cuál es una manera fácil para que me envíen contraseñas de forma segura? ¿Quizás incluso sin que necesiten un nombre de usuario / contraseña?

Las sesiones de mensajería instantánea cifradas son una molestia para configurar con personas no tecnológicas. Las llamadas telefónicas rompen mi concentración y requieren arreglos. (¿Las llamadas VOIP son seguras, de todos modos?)

Ideal: una forma fácil para que las personas sin conocimientos técnicos envíen correos electrónicos encriptados. PGP / GPG no lo corta , a menos que Outlook tenga un asistente incorporado súper fácil. (Nunca sabes...?)

Bien: un sistema de mensajes seguro basado en la web (con suerte en PHP) que podría alojar y ejecutar sobre SSL. No he podido encontrar nada como esto.

Tal vez estoy preguntando lo incorrecto o lo incorrecto. Cualquier sugerencia es apreciada!

Su idea de un sistema de mensajería basado en la web podría implementarse en unas pocas docenas de líneas de HTML y PHP (principalmente html) en cualquier sistema que tuviera instalado un servidor web SSL y GPG. Realmente es un programa de tipo formmail muy simple pero especializado. Incluso podría hackear un script CGI de formmail existente para insertar una llamada a GPG (suponiendo que ya no exista, intente buscar en Google para formmail + GPG)

• Si aún no lo ha hecho, instale gpg en su estación de trabajo y cree sus claves públicas y privadas
• Cree una página php que muestre un formulario para aceptar un mensaje (campo de texto), lo encripte con gpg usando su clave pública y se lo envíe por correo electrónico. Codifique su dirección de correo electrónico en la secuencia de comandos (es decir, no permite que el remitente especifique a quién enviar)
• Instale la página php en un servidor ssl existente o cree uno solo para la tarea. Un certificado autofirmado es lo suficientemente bueno para este trabajo.
• Dígale a su cliente la URL cuando necesite que le envíen un nombre de usuario y contraseña.

Por cierto, Thunderbird tiene el complemento Enigmail que hace que el uso del cifrado GPG sea muy fácil. Pero todavía es probablemente demasiados problemas para los usuarios ocasionales.

PGP es popular.

También puede probar el método probado y verdadero de una reunión en un estanque, preferiblemente con los dos usando gabardinas.

Esta es una combinación entre un archivo de texto y una llamada telefónica:

Haga que su cliente coloque la contraseña en un archivo de texto sin formato y luego suelte el archivo de texto en un archivo zip protegido con contraseña. (7zip es gratis y de código abierto). Pídales que le envíen por correo electrónico el archivo cifrado .zip / .rar / .7z y luego llame con su nombre de usuario y la contraseña del archivo zip.

Esto evita que alguien abra el archivo zip, e incluso si lo hicieran, es solo una contraseña, que no le brinda nada sin otra información, como nombre de usuario y dónde usarlo.

Además, esta es una forma de enviar por correo electrónico un tipo de archivo "prohibido", como un .exe, a un cliente de correo electrónico que escanea los archivos adjuntos y las cremalleras internas. En esos casos, generalmente incluyo la contraseña del archivo comprimido en el correo electrónico, y generalmente es "contraseña". Sin embargo, es suficiente para evitar que el software de correo electrónico verifique el contenido.

No compliques demasiado el asunto y no sobreestimes la importancia de lo que tu cliente te está enviando.

Si cualquiera de las computadoras tiene un registrador de claves en ejecución, ninguna cantidad de cifrado protegerá esas valiosas contraseñas.

No enviaría REALMENTE contraseñas confidenciales a través de Internet (como la contraseña de un administrador) sino para las aplicaciones que mencionó. No vale la pena el esfuerzo para asegurarlos en caso de que alguien pueda estar interceptando sus correos electrónicos.

Si su cliente está preocupado, tiene varias opciones:

1. Aprenda a enviar correos electrónicos encriptados.
2. Enviar un fax, si es posible.
3. ¿Correo postal? (lol)
4. Hable claramente por teléfono usando un alfabeto fonético

configure un archivo de Password Safe en un fragmento de Dropbox , para que los clientes puedan agregar contraseñas según sea necesario.

Joel describe la técnica aquí

¿Qué hay de Cryptocat ? Seguro, fácil de usar y un navegador es todo lo que necesita. Para más detalles, consulte la página Acerca de .

Como Ian Dunn ha señalado, el sistema tiene la falla de que un atacante podría pretender ser su cliente. La única seguridad en este caso sería el nombre de la sala de chat que luego se convertiría en la contraseña . Problema cambiado, pero no resuelto.

Sin embargo, a menudo necesito enviar a los clientes más de 30 ensaladas de char (las llamamos contraseñas) y principalmente uso crypto.cat para intercambiar las credenciales mientras hablo con ellos por teléfono. Esto parece ser muy seguro para mí y el cliente puede usarlo CTRL+C.

Es posible que desee probar NoteShred. Es una herramienta hecha para su necesidad exacta. Puede crear una nota segura, enviar a alguien el enlace y la contraseña y hacer que se "triture" después de leerlo. La nota desapareció y le enviamos una notificación por correo electrónico para informarle que su información ha sido destruida.

Es gratis y no requiere ningún registro.

https://www.noteshred.com

La mensajería instantánea de Skype está encriptada .

Ahora, aquí vienen las advertencias necesarias: Skype no es de código abierto, por lo que no sabe si hicieron un trabajo terrible o si instalaron una puerta trasera del gobierno o copiaron todos los mensajes a Bob en TI, pero la mejor evidencia disponible sugiere que es seguro.

¿Qué tal en un archivo de texto en una llave USB cifrada enviada por correo postal?

Este proceso no funciona en todas las situaciones, pero creo que es bueno para sistemas multiusuario (como un CMS o un panel de control de hosting):

1. El cliente te llama por teléfono.
2. Mientras está hablando por teléfono, el cliente inicia sesión en el sistema y crea una nueva cuenta de administrador específicamente para usted, en lugar de darle acceso a la existente.
3. Escogen una frase de contraseña relativamente simple, aleatoria (pero de más de 15 caracteres) para la contraseña inicial (por ejemplo, conducir a Portland este fin de semana o dónde están mis auriculares )
4. Te dicen la frase de contraseña por teléfono.
5. Inmediatamente inicia sesión en el sistema y restablece la contraseña a algo realmente seguro , por ejemplo seguro #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Usted almacena la contraseña final en su administrador de contraseñas.

Las ventajas de este enfoque son que:

1. Es relativamente simple para el cliente. Solo tienen que saber cómo crear una cuenta en el sistema. Puedes guiarlos mientras estás hablando por teléfono si tienen problemas.
2. Es relativamente simple para ti también. No tiene que ocuparse de configurar y compartir archivos cifrados, alojar una aplicación de formulario personalizado, etc.
3. Utiliza una frase de contraseña (en lugar de una contraseña) para que la contraseña temporal sea fácil de comunicar por teléfono, pero también sea relativamente segura.
4. La contraseña final nunca se transmite (excepto el formulario de restablecimiento de contraseña, por supuesto, pero el sistema debe encriptarlo).
5. El cliente nunca conoce la contraseña final, por lo que no pueden exponerla accidentalmente a los atacantes. Por supuesto, aún pueden exponer la contraseña de su propia cuenta, pero una investigación post mortem de un incidente rastrearía la penetración en su cuenta, no en la suya;)

La frase de contraseña inicial es el eslabón más débil de la cadena debido a su entropía relativamente baja y su transmisión insegura por teléfono. Sin embargo, todavía tiene ~ 100 bits de entropía, y solo vive de 15 a 90 segundos. En mi opinión, eso es lo suficientemente bueno a menos que esté trabajando en algo altamente sensible, o sepa que actualmente está siendo atacado personalmente por un buen hacker.

Algunas personas en este hilo sugirieron crear una aplicación web para hacer precisamente eso. De hecho, algunos incluso crearon los suyos. Hablando francamente, no creo que sea una buena idea confiar en extraños para un servicio como ese. Implementé una aplicación web básica que permite a los usuarios intercambiar contraseñas a través de una interfaz web simple y la hice disponible libremente bajo la licencia MIT.

Compruébalo aquí: https://github.com/MichaelThessel/pwx

Se tarda minutos en configurar dentro de su propia infraestructura y puede examinar el código fuente. He estado usando mi propia instalación con mis clientes durante meses e incluso las personas que no son de tecnología la recogieron en muy poco tiempo.

En caso de que desee probar la aplicación sin instalarla primero, puede echar un vistazo aquí:

https://pwx.michaelthessel.com

¿Qué tal enviar las contraseñas a través de un buen SMS antiguo ? Es muy simple y, siempre y cuando no proporciones ninguna otra información en el texto, será muy difícil saber a dónde va.

Este es un poco más de esfuerzo, pero también ahorra tiempo al cliente:

Configúrelos con algo como Roboform pero almacene los datos en la web para que pueda acceder a ellos. Cuando inician sesión en algún lugar, RF guardará la contraseña y estará disponible para usted.

Desventajas:
* No estoy seguro de cuán seguro es el almacenamiento en línea de Roboform * Luego tiene acceso a todas las contraseñas del cliente y puede que no les guste esa idea.

Usar Outlook o Thunderbird con S / MIME es fácil, pero aún mejor es que lo llamen y le lean su contraseña. Otra parte de ella.

Si el uso es muy temporal, como la solución de problemas única o la transferencia de archivos, este nivel de seguridad puede ser innecesario. Haga que el cliente cambie temporalmente la contraseña a algo que usted conoce, haga su trabajo, luego haga que el cliente la cambie de nuevo. Incluso si se descubrió la contraseña temporal, será obsoleta antes de que pueda usarse con fines nefastos.

Un amigo mío creó este sitio web específicamente por este motivo: https://pwshare.com

Para mí y mis amigos en el mundo del hosting, una gran herramienta para enviar rápidamente contraseñas a los clientes.

Desde la página Acerca de: https://pwshare.com/about PWShare utiliza una especificación de cifrado de clave pública / privada conocida como RSA. Cuando el cliente desea enviar una contraseña, se solicita una clave pública del servidor.

El cliente encripta la contraseña antes de enviarla al servidor. Debido a esto, el servidor no conoce ni almacena la contraseña descifrada.

Solo utilizando el enlace, que contiene el identificador de clave privada y la contraseña, se puede descifrar la contraseña.

Recomendaría usar algo como axcrypt. Es muy intuitivo, por lo que incluso las personas con dificultades técnicas pueden hacerlo funcionar.

Descargue AxCrypt aquí

Cuando utiliza AxCrypt, usted o la persona con la que está tratando puede crear un archivo con todas las contraseñas / información confidencial y luego cifrarlo con una frase de contraseña. Siempre recomiendo, como mínimo, intercambiar la frase de contraseña por teléfono o en persona (esta es la mejor opción). AxCrypt utiliza un cifrado decente, por lo que puede estar seguro de que mantendrá a todos menos al adversario más decidido. La mejor parte de AxCrypt es que se integra en Windows como una extensión de explorador. En Windows Explorer, todo lo que necesita hacer es hacer clic derecho en el archivo para cifrarlo / descifrarlo /

¡Feliz cacería!