Wie können Kunden mir einfach und sicher Passwörter senden? [geschlossen]

Ich muss oft Passwörter von Clients für FTP, SSH, MySQL, Authorize.net usw. erhalten.

Was ist eine einfache Möglichkeit für sie, mir Passwörter sicher zu senden? Vielleicht sogar ohne dass sie ein Login / Passwort benötigen?

Verschlüsselte Sofortnachrichtensitzungen sind mit Nicht-Technikern mühsam einzurichten. Telefonanrufe zerstören meine Konzentration und erfordern eine Vereinbarung. (Sind VOIP-Anrufe trotzdem sicher?)

Ideal: Eine einfache Möglichkeit für technisch nicht versierte Personen, verschlüsselte E-Mails zu senden. PGP / GPG schneidet es nicht, es sei denn, Outlook hat einen super-einfachen eingebauten Assistenten. (Man weiß nie...?)

Gut: Ein webbasiertes sicheres Nachrichtensystem (hoffentlich in PHP), das ich über SSL hosten und ausführen konnte. Ich konnte so etwas nicht finden.

Vielleicht frage ich die falsche Sache oder den falschen Weg. Anregungen sind willkommen!

Ihre Idee eines webbasierten Messagingsystems könnte in ein paar Dutzend Zeilen HTML und PHP (meistens HTML) auf jedem System implementiert werden, auf dem ein SSL-Webserver und GPG installiert sind. Es ist wirklich nur ein sehr einfaches, aber spezialisiertes Formmail-Programm. Sie können sogar ein vorhandenes Formmail-CGI-Skript hacken, um einen Aufruf an GPG einzufügen (sofern noch keiner vorhanden ist, versuchen Sie es mit Googeln für Formmail + GPG).

• Wenn Sie dies noch nicht getan haben, installieren Sie gpg auf Ihrer Workstation und erstellen Sie Ihre öffentlichen und privaten Schlüssel
• Erstellen Sie eine PHP-Seite, auf der ein Formular zum Akzeptieren einer Nachricht (Textfeld) angezeigt wird, das Sie mit Ihrem öffentlichen Schlüssel mit gpg verschlüsseln und per E-Mail an Sie senden können. Codieren Sie Ihre E-Mail-Adresse im Skript fest (dh der Absender kann nicht angeben, an wen gesendet werden soll).
• Installieren Sie die PHP-Seite auf einem vorhandenen SSL-Server oder erstellen Sie eine nur für die Aufgabe. Ein selbstsigniertes Zertifikat ist für diesen Job ausreichend.
• Teilen Sie Ihrem Kunden die URL mit, wenn Sie ein Login und ein Passwort benötigen.

Übrigens hat thunderbird das Enigmail- Plugin, mit dem die Verwendung der GPG-Verschlüsselung sehr einfach ist. Aber für Gelegenheitsnutzer ist es wahrscheinlich immer noch zu viel Mühe.

PGP ist beliebt.

Sie können auch die bewährte Methode eines Treffens an einem Teich ausprobieren, wobei Sie beide vorzugsweise Trenchcoats tragen.

Dies ist eine Kombination aus einer Textdatei und einem Anruf:

Lassen Sie Ihren Kunden das Kennwort in eine reine Textdatei schreiben und legen Sie die Textdatei in einer kennwortgeschützten ZIP-Datei ab. (7zip ist kostenlos und Open Source). Lassen Sie sich die verschlüsselte .zip / .rar / .7z-Datei per E-Mail zusenden und rufen Sie sie dann mit ihrem Benutzernamen und dem Kennwort für die zip-Datei an.

Dies verhindert, dass jemand die ZIP-Datei öffnet, und selbst wenn dies der Fall ist, handelt es sich nur um ein Kennwort, das Ihnen ohne weitere Informationen wie Benutzername und Verwendungszweck nichts anzeigt.

Außerdem können Sie auf diese Weise einen "verbotenen" Dateityp wie eine EXE-Datei per E-Mail an einen E-Mail-Client senden, der Anhänge und interne Reißverschlüsse überprüft. In diesen Fällen füge ich normalerweise nur das Kennwort für die komprimierte Datei in die E-Mail ein und es ist normalerweise "Kennwort". Es reicht jedoch aus, um zu verhindern, dass E-Mail-Software den Inhalt überprüft.

Überkomplizieren Sie die Angelegenheit nicht und überschätzen Sie nicht die Wichtigkeit dessen, was Ihr Kunde Ihnen schickt.

Wenn auf einem der Computer ein Key Logger ausgeführt wird, werden diese wertvollen Kennwörter durch keine Verschlüsselung geschützt.

Ich würde keine WIRKLICH vertraulichen Kennwörter über das Internet senden (z. B. ein Administratorkennwort), aber für die von Ihnen erwähnten Anwendungen? Es lohnt sich nicht, sie vor dem Risiko zu schützen, dass jemand Ihre E-Mails abfängt.

Wenn Ihr Kunde betroffen ist, hat er mehrere Möglichkeiten:

1. Erfahren Sie, wie Sie verschlüsselte E-Mails versenden.
2. Wenn möglich, senden Sie ein Fax.
3. Schneckenpost? (lol)
4. Sprechen Sie es deutlich über das Telefon mit einem phonetischen Alphabet

Richten Sie eine Password Safe- Datei in einer Shard- Dropbox ein , damit Clients nach Bedarf Kennwörter hinzufügen können.

Joel beschreibt die Technik hier

Was ist mit Cryptocat ? Sicher, einfach zu bedienen und ein Browser ist alles, was Sie brauchen. Einzelheiten finden Sie auf der Seite Info .

Ian Dunn hat darauf hingewiesen, dass das System den Fehler aufweist, dass ein Angreifer vortäuschen könnte, Ihr Kunde zu sein. Die einzige Sicherheit in diesem Fall wäre der Name des Chatrooms, der dann zum Passwort wird . Problem verschoben, aber nicht gelöst.

Allerdings habe ich oft müssen Kunden mehr als 30 Zeichen gesendet Salat (wir nennen sie Passwörter) und ich hauptsächlich verwende ich crypto.cat die Anmeldeinformationen , während im Gespräch mit ihnen am Telefon auszutauschen. Dies scheint für mich sehr sicher zu sein und der Kunde kann es nutzen CTRL+C.

Vielleicht möchten Sie NoteShred ausprobieren. Es ist ein Tool, das genau auf Ihre Bedürfnisse zugeschnitten ist. Sie können eine sichere Notiz erstellen, jemandem den Link und das Passwort senden und sich nach dem Lesen "zerreißen" lassen. Die Notiz ist weg und Sie erhalten eine Benachrichtigung per E-Mail, in der Sie darüber informiert werden, dass Ihre Daten zerstört wurden.

Es ist kostenlos und erfordert keine Anmeldung.

https://www.noteshred.com

Das Instant Messaging von Skype ist verschlüsselt .

Nun kommen die notwendigen Vorsichtsmaßnahmen: Skype ist kein Open Source-Programm, sodass Sie nicht wissen, ob es eine schreckliche Arbeit geleistet oder eine behördliche Hintertür eingerichtet oder alle Nachrichten an Bob in der IT kopiert hat, aber die besten verfügbaren Beweise sprechen dafür sichern.

Wie wäre es mit einer Textdatei auf einem verschlüsselten USB-Stick , der per Post verschickt wird

Dieser Prozess funktioniert nicht in allen Situationen, aber ich denke, er eignet sich für Systeme mit mehreren Benutzern (wie ein CMS oder ein Hosting-Control-Panel):

1. Der Kunde ruft Sie am Telefon an.
2. Während Sie telefonieren, meldet sich der Client beim System an und erstellt ein neues Administratorkonto, anstatt Ihnen Zugriff auf das vorhandene Konto zu gewähren.
3. Sie nehmen eine relativ einfache, zufällige (aber mehr als 15 Zeichen) Passwort für das anfängliche Passwort (zB nach Portland fahren an diesem Wochenende oder wo sind meine Kopfhörer )
4. Sie sagen Ihnen die Passphrase über das Telefon.
5. Sie melden sich sofort beim System an und setzen das Kennwort auf einen wirklich sicheren Wert zurück , z. B. #] t'x:} = o ^ _% Zs3T4 [& # FdzL @ y> a26pR "B / cmjV .
6. Sie speichern das endgültige Passwort in Ihrem Passwort-Manager.

Die Vorteile dieses Ansatzes sind:

1. Für den Kunden ist es relativ einfach. Sie müssen nur wissen, wie sie ein Konto auf dem System erstellen. Sie können sie durchlaufen lassen, während Sie telefonieren, wenn sie Probleme haben.
2. Es ist auch für Sie relativ einfach. Sie müssen sich nicht mit dem Einrichten und Freigeben verschlüsselter Dateien, dem Hosten einer benutzerdefinierten Formularanwendung usw. befassen.
3. Es wird eine Passphrase (im Gegensatz zu einem Passwort) verwendet, damit das temporäre Passwort einfach über das Telefon kommuniziert werden kann, aber auch relativ sicher ist.
4. Das endgültige Passwort wird nie übertragen (außer natürlich das Formular zum Zurücksetzen des Passworts, das jedoch vom System verschlüsselt werden sollte).
5. Das endgültige Kennwort ist dem Client nie bekannt, sodass er es nicht versehentlich Angreifern aussetzen kann. Natürlich können sie das Passwort ihres eigenen Kontos weiterhin offen legen, aber eine Post-Mortem-Untersuchung eines Vorfalls würde die Penetration auf ihr Konto und nicht auf Ihr Konto zurückführen;)

Die anfängliche Passphrase ist das schwächste Glied in der Kette, da die Entropie relativ gering und die Übertragung über das Telefon unsicher ist. Es hat jedoch immer noch ~ 100 Entropiebits und lebt nur 15-90 Sekunden. Meiner Meinung nach ist das gut genug, es sei denn, Sie arbeiten an etwas sehr Sensiblem oder Sie wissen, dass Sie derzeit von einem guten Hacker persönlich angegriffen werden.

Einige Leute in diesem Thread schlugen vor, eine Webanwendung zu erstellen, um genau das zu tun. Einige haben sogar ihre eigenen kreiert. Ehrlich gesagt halte ich es nicht für eine gute Idee, sich für einen solchen Service auf Fremde zu verlassen. Ich habe eine grundlegende Webanwendung implementiert, mit der Benutzer Kennwörter über eine einfache Webschnittstelle austauschen können, und diese unter der MIT-Lizenz frei verfügbar gemacht.

Schau es dir hier an: https://github.com/MichaelThessel/pwx

Das Einrichten in Ihrer eigenen Infrastruktur dauert nur wenige Minuten, und Sie können den Quellcode überprüfen. Ich benutze meine eigene Installation seit Monaten bei meinen Kunden und selbst die Nicht-Techniker haben sie in kürzester Zeit aufgenommen.

Falls Sie die Anwendung testen möchten, ohne sie vorher installiert zu haben, können Sie hier nachsehen:

https://pwx.michaelthessel.com

Wie wäre es mit dem Versenden der Passwörter über eine gute alte SMS ? Es ist sehr einfach und solange Sie keine anderen Informationen im Text angeben, wird es sehr schwierig sein, herauszufinden, wohin es geht.

Dieser Vorgang ist etwas aufwändiger, spart dem Kunden jedoch auch Zeit:

Richten Sie sie mit so etwas wie Roboform ein, aber speichern Sie die Daten im Web, damit Sie darauf zugreifen können. Wenn sie sich irgendwo einloggen, speichert RF das Passwort und es steht Ihnen zur Verfügung.

Nachteile:
* Sie sind sich nicht sicher, wie sicher die Online-Speicherung von Roboform ist. * Sie haben dann Zugriff auf alle Passwörter des Kunden. Diese Idee gefällt ihnen möglicherweise nicht.

Outlook oder Thunderbird mit S / MIME zu verwenden ist einfach, aber noch besser ist es, wenn sie Sie anrufen und Ihnen ihr Passwort vorlesen. Wenn Sie großartig sein möchten, lassen Sie sie einen Teil davon vorlesen und Ihnen dann einen Text zusenden und Ihnen eine E-Mail senden ein anderer Teil davon.

Wenn die Verwendung nur vorübergehend ist, z. B. einmalige Fehlerbehebung oder Dateiübertragung, ist diese Sicherheitsstufe möglicherweise nicht erforderlich. Lassen Sie den Client das Kennwort vorübergehend in ein bekanntes Kennwort ändern, führen Sie Ihre Arbeit aus, und lassen Sie ihn dann erneut ändern. Selbst wenn das temporäre Passwort entdeckt wurde, ist es veraltet, bevor es für schändliche Zwecke verwendet werden kann.

Ein Freund von mir hat diese Website speziell aus diesem Grund erstellt: https://pwshare.com

Für mich und meine Freunde in der Hosting-Welt ein großartiges Tool, um schnell Passwörter an Kunden zu senden.

Von der About-Seite: https://pwshare.com/about PWShare verwendet eine Verschlüsselungsspezifikation mit öffentlichem / privatem Schlüssel, die als RSA bezeichnet wird. Wenn der Client ein Passwort senden möchte, wird ein öffentlicher Schlüssel vom Server angefordert.

Der Client verschlüsselt dann das Kennwort, bevor er das Kennwort an den Server sendet. Aus diesem Grund kennt oder speichert der Server das entschlüsselte Kennwort nicht.

Nur über den Link, der die Kennung und das Kennwort des privaten Schlüssels enthält, kann das Kennwort entschlüsselt werden.

Ich würde empfehlen, so etwas wie Axcrypt zu verwenden. Es ist sehr intuitiv, so dass auch technisch anspruchsvolle Menschen es zum Laufen bringen können.

Laden Sie AxCrypt hier herunter

Wenn Sie AxCrypt verwenden, können Sie oder jeder, mit dem Sie zu tun haben, eine Datei mit allen Kennwörtern / vertraulichen Informationen erstellen und diese dann mit einer Passphrase verschlüsseln. Ich empfehle immer, mindestens die Passphrase telefonisch oder persönlich auszutauschen (dies ist die beste Option). AxCrypt verwendet eine anständige Verschlüsselung, sodass Sie sicher sein können, dass alle außer den entschlossensten Gegnern ferngehalten werden. Das Beste an AxCrypt ist, dass es als Explorer-Erweiterung in Windows integriert wird. Im Windows Explorer müssen Sie nur mit der rechten Maustaste auf die Datei klicken, um sie zu verschlüsseln / zu entschlüsseln /

Fröhliches Jagen!