Was ist ein sicherer Weg, um Passwörter über das Internet zu senden?

Ich suche nach dem besten Weg, um Passwörter sicher über das Internet zu senden. Optionen, die ich angeschaut habe, sind PGP und verschlüsselte RAR-Dateien. Es gibt keine anderen realen Parameter, als ohne allzu großes Risiko über das Internet von Punkt a nach Punkt b zu gelangen.

PGP oder eine andere asymmetrische Verschlüsselungsmethode wäre der richtige Weg.

2. beide seiten müssen ihren öffentlichen schlüssel veröffentlichen
3. Signieren Sie Ihre Nachricht mit Ihrem eigenen privaten Schlüssel
4. verschlüsseln Sie mit dem öffentlichen Schlüssel des anderen
5. Übertragen Sie die Datei
6. Nur der private Schlüssel des anderen kann die Nachricht entschlüsseln
7. Ihr öffentlicher Schlüssel kann zur Validierung der Nachricht verwendet werden

=> sicher & privat

Jeder Mechanismus, der asymmetrische Schlüssel verwendet (wie SSL oder PGP), ist gut. Grundsätzlich bedeutet dies, dass Sie die Daten (in Ihrem Fall das Kennwort) mit dem öffentlichen Schlüssel einer anderen Person verschlüsseln. Sie können sie nur entschlüsseln, indem Sie auf den privaten Schlüssel zugreifen (was nur der Empfänger tut).

Das einzige, was Sie sich über PGP Sorgen machen müssen, ist, wem Sie vertrauen, da es leicht zu Spoofing kommen kann, wenn Benutzer ihre eigenen Schlüssel signieren.

Weitere Informationen hierzu finden Sie im Abschnitt zum Web of Trust im Wikipedia-Eintrag für PGP.

Wie wäre es, den Empfänger mit Skype anzurufen ?

Sie sollten auch sicherstellen, dass der Empfänger das Kennwort ändern muss, bevor Sie den Dienst verwenden können, für den er bestimmt ist. Authentifizieren Sie die Änderung mit dem gesendeten Einmalkennwort. Dies bietet einen weiteren Schutz vor Diebstahl - und / oder eine etwas bessere Chance, einen zu entdecken, wenn der Dieb ihn ändern musste, sodass dem echten Benutzer der Zugriff verweigert wird ^^

Senden Sie einen einmaligen Link, der auf eine Seite (mit SSL) verweist, auf der das Kennwort erstellt werden kann. Wenn jemand den Link entdeckt, ist es wahrscheinlich zu spät, um ihn zu verwenden. Sie benötigen eine Art Reset-Funktion, nur für den Fall, dass der Link abgefangen und vor dem beabsichtigten Empfänger verwendet wird.

Wenn Sie Windows verwenden, sollten Sie Security Now 201: SecureZip anhören

AFAIK SecureZip implementiert / automatisiert den oben beschriebenen asymmetrischen Verschlüsselungsansatz .

Vielleicht möchten Sie NoteShred ausprobieren. Es ist ein Tool, das genau auf Ihre Bedürfnisse zugeschnitten ist. Sie können eine sichere Notiz erstellen, jemandem den Link und das Passwort senden und sich nach dem Lesen "zerreißen" lassen. Die Notiz ist weg und Sie erhalten eine E-Mail-Benachrichtigung, in der Sie darüber informiert werden, dass Ihre Daten zerstört wurden.

Es ist kostenlos und erfordert keine Anmeldung.

https://www.noteshred.com

Wenn es einmalig ist, können Sie mein Tool verwenden: http://tanin.nanakorn.com/labs/secureMessage

Für die RSA-Verschlüsselung wird Javascript verwendet. Daher verlässt Ihr Passwort niemals den Computer Ihres Freundes. Weitere Informationen finden Sie unter FAQ auf der obigen Seite.

Um dies regelmäßig zu tun, ist es besser, PGP- oder SSH-Schlüssel zu verwenden, damit Sie nicht jedes Mal ein neues Schlüsselpaar generieren müssen.

Ich neige dazu, synchrone Methoden für die Passwortübertragung zu verwenden. Oft schreibe ich einfach eine IM und sage ihnen, dass das Passwort, auf das sie warten, xxxxxx ist. Auf diese Weise gibt es keine Identifikation des Servers, auf dem das Passwort funktioniert, und ich kann es senden, wenn ich weiß, dass die Person dort sitzt, um das Passwort sofort zu ändern.

Sie geben nicht viele Details darüber an, was benötigt wird, aber ich behalte meine Passwörter in einer Keepass-Datei, die in einer Dropbox gespeichert ist.

Wir haben nur eine Web- und eine mobile App herausgebracht, um einiges davon zu erledigen. Es erstellt zufällige URLs für Anmeldeinformationen, ähnlich einem URL-Shortener, unter Verwendung von HTTPS und einer Hash- / AES-Verschlüsselungsmethode für die Speicherung. Es gibt eine einfache API für Entwickler, hier ist unsere Beschreibung, vielleicht ist es die einfache Lösung, die Sie brauchen. Http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it

Ein HTTPS-verschlüsseltes Webformular funktioniert möglicherweise gut. Ich würde mir Sorgen um die RAR-Datei machen, denn wenn jemand die gesamte Datei erfasst, könnte er das Passwort brutal erzwingen, bis es kaputt geht. Das Aufzeichnen und Zusammenstellen eines HTTPS-Streams ist nicht einfach, insbesondere bei einer großen Schlüsselgröße. Sie könnten dann in einer verschlüsselten Datenbank oder etwas anderem gespeichert und möglicherweise auch nur über ein sicheres Webformular abgerufen werden.

PGP würde auch funktionieren, wenn Sie die privaten Schlüssel sicher austauschen könnten und darauf vertrauen könnten, dass diese am anderen Ende nicht gefährdet sind.