Как может клиенты легко и надежно отправлять мне пароли? [закрытый]
Я часто должен получать пароли от клиентов для FTP, SSH, MySQL, Authorize.net, и т.д.
Что такое простой способ к ним отправить мне пароли надежно? Возможно, даже без них нуждающийся во входе в систему/пароле?
Зашифрованные сессии IM являются стычкой для установки с нетехниками. Телефонные вызовы разбивают мою концентрацию и требуют расположения. (Вызовы VoIP безопасны, так или иначе?)
Идеал: простой способ к нетехнически подкованным людям послать зашифрованное электронное письмо. PGP/GPG не сокращает его, если Outlook не имеет некоторый суперлегкий встроенный мастер. (Вы никогда не знаете...?)
Хороший: веб-безопасная система обмена сообщениями (надо надеяться, в PHP), что я мог разместить и работать на основе SSL. Я не смог найти что-либо как это.
Возможно, я спрашиваю неправильную вещь или неправильный путь. Любые предложения ценятся!
9 ответов
Ваша идея веб-системы обмена сообщениями могла быть реализована в нескольких дюжинах строк HTML и PHP (главным образом HTML) в любой системе, которая имела веб-сервер SSL и установленный GPG. Это - действительно просто очень простая, но специализированная программа типа formmail. Вы могли даже взломать существующий formmail сценарий CGI для вставки вызова в GPG (предполагающий, что каждый уже не существует, пытается гуглить для formmail + GPG),
- Если Вы уже не сделали так, устанавливаете gpg на своей рабочей станции и создаете свои общедоступные и закрытые ключи
- Создайте php страницу, которая отображает форму для принятия сообщения (текстовое поле), шифрует его с gpg использование открытого ключа и посылает его по электронной почте Вам. Твердый код Ваш адрес электронной почты в сценарии (т.е. не позволяют отправителю указывать, кто отправить к),
- Установите php страницу на существующем ssl сервере или создайте тот только для задачи. Самоподписанный сертификат достаточно хорош для этого задания.
- Скажите Вашему клиенту URL при необходимости в них, чтобы отправить Вам вход в систему и пароль.
Btw, тандерберд имеет плагин Enigmail, который делает использование шифрованием GPG очень легкий. Но это - все еще, вероятно, слишком много проблемы обычным пользователям.
-
1я думал, что должен буду, вероятно, сделать что-то как этот. Если я сделаю, то я сделаю это проектом с открытым исходным кодом, если я могу думать о хорошем названии его. – Adam DiCarlo 12.08.2009, 05:44
Я рекомендовал бы использовать что-то как axcrypt. Это очень интуитивно, поэтому даже технически оспариваемые люди могут заставить его работать.
То, когда Вы используете AxCrypt Вы или с кем бы ни Вы имеете дело, может создать файл со всей информацией о паролях / чувствительной информацией и затем зашифровать его с паролем. Я всегда рекомендую в минимуме, обменивающемся паролем по телефону или лично (Это - наилучший вариант). AxCrypt использует некоторое достойное шифрование, таким образом, можно быть уверены, что он не пустит всех кроме самого решительного противника. Большая часть с AxCrypt - то, что он интегрируется в окна как расширение проводника. В Windows Explorer все, что необходимо сделать, щелкнуть правой кнопкой по файлу для шифрования его он /
Счастливый поиск!
Этот - немного больше усилия, но экономит клиентское время также:
Настройте их с чем-то как Roboform, но храните данные в сети так, чтобы можно было получить доступ к нему. Когда они войдут в систему где-нибудь, РФ сохранит пароль, и это доступно Вам.
Оборотные стороны:
*Не уверенный, как безопасное онлайн-хранилище Roboform *, у Вас затем есть доступ ко всем паролям клиента, и им не может понравиться та идея.
Мгновенный обмен сообщениями Skype шифруется.
Теперь, здесь прибывает необходимые протесты: Skype не является открытым исходным кодом, таким образом, Вы не знаете, сделали ли они ужасное задание или установили правительственный бэкдор, или скопируйте все сообщения для Вхождения в IT, но наилучшие имеющиеся данные свидетельствуют, что это безопасно.
настройте Пароль Безопасный файл в черепке Dropbox, таким образом, клиенты могут добавить пароли по мере необходимости.
Joel описывает технику здесь
-
1Интересная идея, но это вовлекает каждый клиент, изучающий/использующий не только Безопасный Пароль, но также и Dropbox и по-видимому отдельные Dropbox для каждого клиента? Не хочу их видящий пароль других людей безопасные файлы там - который выглядел бы плохо (даже при том, что у них не будет пароля для открытия сейфов других). – Adam DiCarlo 12.08.2009, 03:48
Не сверхусложняйте вопрос и не переоценивайте важность того, что Ваш клиент отправляет Вам.
Если любой компьютер будет иметь выполнение клавиатурного перехватчика, то никакой объем шифрования не защитит те драгоценные пароли.
Я не отправил бы ДЕЙСТВИТЕЛЬНО чувствительные пароли через Интернет (такие как пароль администратора), но для приложений Вы упомянули? Это не стоит усилия защитить их на всякий случай, что кто-то мог бы прерывать Ваши электронные письма.
Если Ваш клиент заинтересован, у них есть несколько опций:
- Изучите, как послать зашифрованные электронные письма.
- Отправьте факс, если это возможно.
- Обычная почта? (lol)
- Говорите его ясно по телефону с помощью Фонетического алфавита
-
1Приложения, которые я упомянул, включают Authorize.net. Я считаю это ДЕЙСТВИТЕЛЬНО чувствительным как (забыл упоминать), я говорю ключ транзакции. Этот ключ позволяет не только принимать платежи, но и в основном осуществлять платежи (верящий, что клиенты для возмещений являются целью). Также доступ SSH/FTP и MySQL позволяет пользователю сдувать их веб-сайт... Я думаю, что это важно для защиты также. Вы говорите, коснулся ли мой клиент; разве это не моя обязанность в качестве профессионала не сказать, "Разрешение и посылает мне по электронной почте Ваши чувствительные пароли?" – Adam DiCarlo 12.08.2009, 22:01
-
2Транзакции - никакой вопрос. Отправьте тех, которые по факсу, используют телефон, какой бы ни легче. Но для клиентского веб-сайта? Несомненно, это - важный материал, но это не стоит идти во все усилие по обеспечению электронной почты. Если кто-то хочет избавиться от одного из веб-сайтов Вашего клиента, существуют намного лучшие способы избавиться от него, чем от шанса прерывания электронного письма - DDos-атаки, Внедрение SQL, существует многочисленное огромное количество способов удалить веб-сервер, и кража чьих-то учетных данных путем сниффинга электронного письма просто не является одним из лучших. Как я сказал, не переоценивайте важность информации – EvilChookie 13.08.2009, 00:10
-
3И так как Вы работает с веб-сайтами, Вы знает лучше, чем большинство, что просто только хранит важный материал на веб-сайте. – EvilChookie 13.08.2009, 02:00
Это - комбинация между текстовым файлом и телефонным вызовом:
Сделайте, чтобы Ваш клиент поместил пароль в файл простого текста и затем бросил текстовый файл в защищенный паролем zip-файл. (7zip свободно и с открытым исходным кодом). Имейте их, посылают зашифрованный .zip/.rar/.7z файл по электронной почте Вам и затем звонят с их именем пользователя и паролем для zip-файла.
Это препятствует тому, чтобы любой открыл zip-файл, и даже если они сделали, это - только пароль, который ничего не дает Вам ни без какой другой информации, как имя пользователя и где использовать его.
Кроме того, это - способ послать "запрещенный" тип файла по электронной почте, как .exe, к почтовому клиенту, который сканирует вложения и в zip. В тех случаях я обычно просто включаю пароль для заархивированного файла в электронном письме, и это обычно - "пароль". Достаточно мешать почтовому программному обеспечению проверить содержание, все же.
PGP популярен.
Можно также попробовать испытанный и истинный метод встречи в водоеме, предпочтительно с вами обоими носящими тренчи.
-
1
-
2
-
3я старался избегать PGP/GPG - это для не технически подкованные люди, у которых не обязательно есть много времени (или терпение) для чего-то включенного. – Adam DiCarlo 12.08.2009, 01:15
Как насчет в текстовом файле на зашифрованной флеш-карте, отправленной через обычную почту