J'ai souvent besoin d'obtenir les mots de passe des clients pour FTP, SSH, MySQL, Authorize.net, etc.
Quel est un moyen facile pour eux de m'envoyer des mots de passe en toute sécurité? Peut-être même sans avoir besoin d'un identifiant/mot de passe?
Les sessions de messagerie instantanée cryptées sont une tâche ardue à configurer avec des non-techniciens. Les appels téléphoniques brisent ma concentration et nécessitent une prise en charge. (Les appels VOIP sont-ils sécurisés?)
Idéal: Un moyen facile d'envoyer des personnes non informées des technologies email crypté. PGP/GPG ne le coupe pas , à moins que Outlook ne possède un assistant très facile à utiliser. (On ne sait jamais...?)
Bon: Un système de messagerie sécurisé basé sur le Web (heureusement en PHP) que je pourrais héberger et exécuter sur SSL. Je n'ai pas été capable de trouver quelque chose comme ça.
Peut-être que je demande la mauvaise chose ou la mauvaise façon. Toutes les suggestions sont appréciées!
Votre idée d'un système de messagerie Web pourrait être implémentée en quelques dizaines de lignes HTML et PHP (principalement html) sur tout système doté d'un serveur Web SSL et de GPG. C’est vraiment un programme de type formmail très simple mais spécialisé. Vous pouvez même pirater un script CGI formmail existant pour insérer un appel à GPG (en supposant qu’il n’existe déjà pas, essayez Google pour formmail + GPG).
Btw, Thunderbird a le plugin Enigmail qui rend l'utilisation du cryptage GPG très facile. Mais c’est probablement encore trop de problèmes pour les utilisateurs occasionnels.
PGP est populaire.
Vous pouvez également essayer la méthode éprouvée d'une réunion au bord d'un étang, de préférence avec des trenchs.
Ceci est une combinaison entre un fichier texte et un appel téléphonique:
Demandez à votre client de mettre le mot de passe dans un fichier texte brut, puis déposez le fichier texte dans un fichier Zip protégé par mot de passe. (7Zip est gratuit et open-source). Demandez-leur de vous envoyer le fichier crypté .Zip/.rar/.7z, puis appelez-le avec leur nom d'utilisateur et le mot de passe du fichier Zip.
Cela empêche quiconque d'ouvrir le fichier Zip, et même s'ils le faisaient, il ne s'agit que d'un mot de passe, qui ne vous fournit rien sans aucune autre information, telle que le nom d'utilisateur et l'emplacement d'utilisation.
En outre, il s'agit d'un moyen d'envoyer par courrier électronique un type de fichier "interdit", comme un fichier .exe, à un client de messagerie qui analyse les pièces jointes et à l'intérieur des zips. Dans ces cas, d'habitude, je n'inclus que le mot de passe du fichier compressé dans le courrier électronique, généralement "mot de passe". Il suffit cependant d'empêcher le logiciel de messagerie de vérifier le contenu.
Ne compliquez pas l'affaire et ne surestimez pas l'importance de ce que votre client vous envoie.
Si un enregistreur de clés est en cours d'exécution sur l'un ou l'autre ordinateur, aucun chiffrement ne protégera ces précieux mots de passe.
Je n'enverrais pas de mots de passe VRAIMENT sensibles sur Internet (comme un mot de passe d'administrateur), mais pour les applications que vous avez mentionnées? Cela ne vaut pas la peine de les sécuriser au cas où quelqu'un intercepterait vos courriels.
Si votre client est concerné, ils ont plusieurs options:
Vous voudrez peut-être essayer NoteShred. C'est un outil conçu pour répondre exactement à vos besoins. Vous pouvez créer une note sécurisée, envoyer le lien et le mot de passe à quelqu'un et le faire "déchiqueter" après l'avoir lu. La note a disparu et vous recevez par e-mail une notification vous informant que votre information est détruite.
C'est gratuit et ne nécessite aucune inscription.
configurer un fichier Password Safe dans un fragment Dropbox , afin que les clients puissent ajoutez des mots de passe au besoin.
Joel décrit la technique ici
Qu'en est-il de Cryptocat ? Sécurisé, facile à utiliser et un navigateur est tout ce dont vous avez besoin. Pour plus de détails, voir la page À propos de .
Comme Ian Dunn l’a fait remarquer, le système a la faille qu’un attaquant pourrait prétendre être votre client. Dans ce cas, la seule sécurité serait le nom de la salle de discussion qui deviendrait alors le mot de passe . Problème déplacé, mais non résolu.
Cependant, j'ai souvent besoin d'envoyer aux clients plus de 30 caractères salade (nous les appelons des mots de passe) et j'utilise principalement crypto.cat pour échanger les informations d'identification en leur parlant au téléphone. Cela semble être très sécurisé pour moi et le client peut utiliser CTRL+C
.
Certaines personnes dans ce fil ont suggéré de créer une application Web pour faire exactement cela. En fait, certains ont même créé le leur. Franchement, je ne pense pas que ce soit une bonne idée de compter sur des étrangers pour un service comme celui-là. J'ai implémenté une application Web de base qui permet aux utilisateurs d'échanger des mots de passe via une interface Web simple et de la rendre disponible librement sous la licence MIT.
Découvrez-le ici: https://github.com/MichaelThessel/pwx
Cela prend quelques minutes à mettre en place dans votre propre infrastructure et vous pouvez examiner le code source. J'utilise ma propre installation avec mes clients depuis des mois et même les personnes non-techy l'ont prise en un rien de temps.
Si vous souhaitez tester l’application sans l’installer au préalable, cliquez ici:
Ce processus ne fonctionne pas dans toutes les situations, mais je pense que c'est bon pour les systèmes multi-utilisateurs (comme un CMS ou un panneau de contrôle d'hébergement):
Les avantages de cette approche sont les suivants:
La phrase secrète initiale est le maillon le plus faible de la chaîne en raison de son entropie relativement basse et de sa transmission non sécurisée par téléphone. Il a toujours environ 100 bits d'entropie et ne dure que 15 à 90 secondes. À mon avis, cela suffit à moins que vous travailliez sur quelque chose de très sensible ou que vous sachiez que vous êtes actuellement la cible d'un bon pirate informatique.
La messagerie instantanée de Skype est cryptée .
Maintenant, voici les mises en garde nécessaires: Skype n’est pas une source ouverte et vous ne savez donc pas s’il a fait un travail déplorable, installé une porte dérobée du gouvernement ou copié tous les messages destinés à Bob dans le système informatique. garantir.
Que diriez-vous d'envoyer les mots de passe via bon vieux SMS ? C'est très simple et, tant que vous ne fournissez aucune autre information dans le texte, il vous sera très difficile de déterminer où vous allez.
Celui-ci demande un peu plus d'effort mais permet également au client de gagner du temps:
Configurez-les avec quelque chose comme Roboform mais stockez les données sur le Web pour pouvoir y accéder. Quand ils se connecteront quelque part, RF enregistrera le mot de passe, qui vous sera disponible.
Inconvénients:
* Pas sûr de la sécurité du stockage en ligne de Roboform * Vous avez alors accès à tous les mots de passe des clients et ceux-ci pourraient ne pas aimer cette idée.
Un de mes amis a créé ce site Web spécialement pour cette raison: https://pwshare.com
Pour moi et mes amis du monde de l'hébergement, un excellent outil pour envoyer rapidement des mots de passe aux clients.
De la page à propos: https://pwshare.com/about PWShare utilise une spécification de chiffrement à clé publique/privée appelée RSA. Lorsque le client souhaite envoyer un mot de passe, une clé publique est demandée au serveur.
Le client chiffre ensuite le mot de passe avant de l'envoyer au serveur. Pour cette raison, le serveur ne sait pas ou ne stocke pas le mot de passe déchiffré.
Le mot de passe ne peut être déchiffré qu'à l'aide du lien contenant l'identifiant de clé privée et le mot de passe.
Si l'utilisation est très temporaire, comme un dépannage ponctuel ou un transfert de fichier, ce niveau de sécurité peut être inutile. Demandez au client de changer temporairement le mot de passe pour quelque chose que vous connaissez, faites votre travail, puis demandez au client de le changer à nouveau. Même si le mot de passe temporaire a été découvert, il sera obsolète avant de pouvoir être utilisé à des fins néfastes.
Utiliser Outlook ou Thunderbird avec S/MIME est facile, mais le mieux est de leur demander de vous appeler et de vous lire leur mot de passe - si vous voulez être vraiment génial, demandez-leur de vous en lire une partie, puis de vous en envoyer un texte et de vous envoyer un e-mail. une autre partie de celui-ci.