web-dev-qa-db-fra.com

Comment les clients peuvent-ils m'envoyer facilement et en toute sécurité des mots de passe?

J'ai souvent besoin d'obtenir les mots de passe des clients pour FTP, SSH, MySQL, Authorize.net, etc.

Quel est un moyen facile pour eux de m'envoyer des mots de passe en toute sécurité? Peut-être même sans avoir besoin d'un identifiant/mot de passe?

Les sessions de messagerie instantanée cryptées sont une tâche ardue à configurer avec des non-techniciens. Les appels téléphoniques brisent ma concentration et nécessitent une prise en charge. (Les appels VOIP sont-ils sécurisés?)

Idéal: Un moyen facile d'envoyer des personnes non informées des technologies email crypté. PGP/GPG ne le coupe pas , à moins que Outlook ne possède un assistant très facile à utiliser. (On ne sait jamais...?)

Bon: Un système de messagerie sécurisé basé sur le Web (heureusement en PHP) que je pourrais héberger et exécuter sur SSL. Je n'ai pas été capable de trouver quelque chose comme ça.

Peut-être que je demande la mauvaise chose ou la mauvaise façon. Toutes les suggestions sont appréciées!

39
Adam DiCarlo

Votre idée d'un système de messagerie Web pourrait être implémentée en quelques dizaines de lignes HTML et PHP (principalement html) sur tout système doté d'un serveur Web SSL et de GPG. C’est vraiment un programme de type formmail très simple mais spécialisé. Vous pouvez même pirater un script CGI formmail existant pour insérer un appel à GPG (en supposant qu’il n’existe déjà pas, essayez Google pour formmail + GPG).

  • Si ce n’est déjà fait, installez gpg sur votre poste de travail et créez vos clés publique et privée.
  • Créez une page php qui affiche un formulaire acceptant un message (champ de texte), le chiffre avec gpg avec votre clé publique et vous l'envoie par courrier électronique. Codez en dur votre adresse e-mail dans le script (i.E ne permet pas à l'expéditeur de spécifier à qui envoyer)
  • Installez la page php sur un serveur ssl existant ou créez-en un juste pour la tâche. Un cert auto-signé est suffisant pour ce travail.
  • Indiquez à votre client l'URL lorsque vous avez besoin d'eux pour vous envoyer un identifiant et un mot de passe.

Btw, Thunderbird a le plugin Enigmail qui rend l'utilisation du cryptage GPG très facile. Mais c’est probablement encore trop de problèmes pour les utilisateurs occasionnels.

13
cas

PGP est populaire.

Vous pouvez également essayer la méthode éprouvée d'une réunion au bord d'un étang, de préférence avec des trenchs.

23
Paxxi

Ceci est une combinaison entre un fichier texte et un appel téléphonique:

Demandez à votre client de mettre le mot de passe dans un fichier texte brut, puis déposez le fichier texte dans un fichier Zip protégé par mot de passe. (7Zip est gratuit et open-source). Demandez-leur de vous envoyer le fichier crypté .Zip/.rar/.7z, puis appelez-le avec leur nom d'utilisateur et le mot de passe du fichier Zip.

Cela empêche quiconque d'ouvrir le fichier Zip, et même s'ils le faisaient, il ne s'agit que d'un mot de passe, qui ne vous fournit rien sans aucune autre information, telle que le nom d'utilisateur et l'emplacement d'utilisation.

En outre, il s'agit d'un moyen d'envoyer par courrier électronique un type de fichier "interdit", comme un fichier .exe, à un client de messagerie qui analyse les pièces jointes et à l'intérieur des zips. Dans ces cas, d'habitude, je n'inclus que le mot de passe du fichier compressé dans le courrier électronique, généralement "mot de passe". Il suffit cependant d'empêcher le logiciel de messagerie de vérifier le contenu.

7
Jared Harley

Ne compliquez pas l'affaire et ne surestimez pas l'importance de ce que votre client vous envoie.

Si un enregistreur de clés est en cours d'exécution sur l'un ou l'autre ordinateur, aucun chiffrement ne protégera ces précieux mots de passe.

Je n'enverrais pas de mots de passe VRAIMENT sensibles sur Internet (comme un mot de passe d'administrateur), mais pour les applications que vous avez mentionnées? Cela ne vaut pas la peine de les sécuriser au cas où quelqu'un intercepterait vos courriels.

Si votre client est concerné, ils ont plusieurs options:

  1. Apprenez à envoyer des emails cryptés.
  2. Envoyez un fax, si possible.
  3. Courrier postal? (lol)
  4. Parlez clairement au téléphone en utilisant un alphabet phonétique
4
EvilChookie

Vous voudrez peut-être essayer NoteShred. C'est un outil conçu pour répondre exactement à vos besoins. Vous pouvez créer une note sécurisée, envoyer le lien et le mot de passe à quelqu'un et le faire "déchiqueter" après l'avoir lu. La note a disparu et vous recevez par e-mail une notification vous informant que votre information est détruite.

C'est gratuit et ne nécessite aucune inscription.

https://www.noteshred.com

3
Cheyne

configurer un fichier Password Safe dans un fragment Dropbox , afin que les clients puissent ajoutez des mots de passe au besoin.

Joel décrit la technique ici

3
Ryan

Qu'en est-il de Cryptocat ? Sécurisé, facile à utiliser et un navigateur est tout ce dont vous avez besoin. Pour plus de détails, voir la page À propos de .

Comme Ian Dunn l’a fait remarquer, le système a la faille qu’un attaquant pourrait prétendre être votre client. Dans ce cas, la seule sécurité serait le nom de la salle de discussion qui deviendrait alors le mot de passe . Problème déplacé, mais non résolu.

Cependant, j'ai souvent besoin d'envoyer aux clients plus de 30 caractères salade (nous les appelons des mots de passe) et j'utilise principalement crypto.cat pour échanger les informations d'identification en leur parlant au téléphone. Cela semble être très sécurisé pour moi et le client peut utiliser CTRL+C.

3
Tex Hex

Certaines personnes dans ce fil ont suggéré de créer une application Web pour faire exactement cela. En fait, certains ont même créé le leur. Franchement, je ne pense pas que ce soit une bonne idée de compter sur des étrangers pour un service comme celui-là. J'ai implémenté une application Web de base qui permet aux utilisateurs d'échanger des mots de passe via une interface Web simple et de la rendre disponible librement sous la licence MIT.

Découvrez-le ici: https://github.com/MichaelThessel/pwx

Cela prend quelques minutes à mettre en place dans votre propre infrastructure et vous pouvez examiner le code source. J'utilise ma propre installation avec mes clients depuis des mois et même les personnes non-techy l'ont prise en un rien de temps.

Si vous souhaitez tester l’application sans l’installer au préalable, cliquez ici:

https://pwx.michaelthessel.com

2
Michael Thessel

Ce processus ne fonctionne pas dans toutes les situations, mais je pense que c'est bon pour les systèmes multi-utilisateurs (comme un CMS ou un panneau de contrôle d'hébergement):

  1. Le client vous appelle au téléphone.
  2. Lorsque vous êtes au téléphone, le client se connecte au système et crée un nouveau compte administrateur spécialement pour vous, au lieu de vous donner accès à son compte existant.
  3. Ils choisissent un mot de passe relativement simple et aléatoire (mais plus de 15 caractères) pour le mot de passe initial (par exemple, conduisant à portland this week-end ou où sont mes écouteurs )
  4. Ils vous disent le mot de passe par téléphone.
  5. Vous vous connectez immédiatement au système et réinitialisez le mot de passe à quelque chose vraiment fort , par exemple, #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B/cmjV .
  6. Vous stockez le mot de passe final dans votre gestionnaire de mots de passe.

Les avantages de cette approche sont les suivants:

  1. C'est relativement simple pour le client. Ils doivent seulement savoir comment créer un compte sur le système. Vous pouvez les guider pendant que vous êtes au téléphone s'ils ont des problèmes.
  2. C'est relativement simple pour vous aussi. Vous n'avez pas à gérer la configuration et le partage de fichiers cryptés, l'hébergement d'une application de formulaire personnalisée, etc.
  3. Il utilise une phrase secrète (par opposition à un mot de passe) pour que le mot de passe temporaire soit facile à communiquer par téléphone, mais également relativement sécurisé.
  4. Le mot de passe final n'est jamais transmis (à l'exception du formulaire de réinitialisation du mot de passe, bien sûr, mais il devrait être crypté par le système).
  5. Le mot de passe final n'est jamais connu par le client. Il ne peut donc pas être exposé accidentellement à des attaquants. Bien sûr, ils peuvent toujours révéler le mot de passe de leur propre compte, mais une enquête post-mortem sur un incident permettrait de retracer la pénétration sur leur compte, pas sur le vôtre;)

La phrase secrète initiale est le maillon le plus faible de la chaîne en raison de son entropie relativement basse et de sa transmission non sécurisée par téléphone. Il a toujours environ 100 bits d'entropie et ne dure que 15 à 90 secondes. À mon avis, cela suffit à moins que vous travailliez sur quelque chose de très sensible ou que vous sachiez que vous êtes actuellement la cible d'un bon pirate informatique.

2
Ian Dunn

La messagerie instantanée de Skype est cryptée .

Maintenant, voici les mises en garde nécessaires: Skype n’est pas une source ouverte et vous ne savez donc pas s’il a fait un travail déplorable, installé une porte dérobée du gouvernement ou copié tous les messages destinés à Bob dans le système informatique. garantir.

2
Ryan

Que diriez-vous d'un fichier texte sur une clé USB cryptée envoyée par courrier postal

2
Rob Allen

Que diriez-vous d'envoyer les mots de passe via bon vieux SMS ? C'est très simple et, tant que vous ne fournissez aucune autre information dans le texte, il vous sera très difficile de déterminer où vous allez.

1
Leif

Celui-ci demande un peu plus d'effort mais permet également au client de gagner du temps:

Configurez-les avec quelque chose comme Roboform mais stockez les données sur le Web pour pouvoir y accéder. Quand ils se connecteront quelque part, RF enregistrera le mot de passe, qui vous sera disponible.

Inconvénients:
* Pas sûr de la sécurité du stockage en ligne de Roboform * Vous avez alors accès à tous les mots de passe des clients et ceux-ci pourraient ne pas aimer cette idée.

0
Clay Nichols

Un de mes amis a créé ce site Web spécialement pour cette raison: https://pwshare.com

Pour moi et mes amis du monde de l'hébergement, un excellent outil pour envoyer rapidement des mots de passe aux clients.

De la page à propos: https://pwshare.com/about PWShare utilise une spécification de chiffrement à clé publique/privée appelée RSA. Lorsque le client souhaite envoyer un mot de passe, une clé publique est demandée au serveur.

Le client chiffre ensuite le mot de passe avant de l'envoyer au serveur. Pour cette raison, le serveur ne sait pas ou ne stocke pas le mot de passe déchiffré.

Le mot de passe ne peut être déchiffré qu'à l'aide du lien contenant l'identifiant de clé privée et le mot de passe.

0
Mark Kraakman

Si l'utilisation est très temporaire, comme un dépannage ponctuel ou un transfert de fichier, ce niveau de sécurité peut être inutile. Demandez au client de changer temporairement le mot de passe pour quelque chose que vous connaissez, faites votre travail, puis demandez au client de le changer à nouveau. Même si le mot de passe temporaire a été découvert, il sera obsolète avant de pouvoir être utilisé à des fins néfastes.

0
fixer1234

Utiliser Outlook ou Thunderbird avec S/MIME est facile, mais le mieux est de leur demander de vous appeler et de vous lire leur mot de passe - si vous voulez être vraiment génial, demandez-leur de vous en lire une partie, puis de vous en envoyer un texte et de vous envoyer un e-mail. une autre partie de celui-ci.

0
Ram