web-dev-qa-db-ja.com

クライアントはどのようにして簡単かつ安全にパスワードを送信できますか?

FTP、SSH、MySQL、Authorize.netなどのクライアントからパスワードを取得する必要があることがよくあります。

彼らが私にパスワードを安全に送信する簡単な方法は何ですか?多分彼らがログイン/パスワードを必要とせずに?

暗号化されたIMセッションは、技術者以外のユーザーとセットアップするのが面倒です。電話は私の集中力を壊し、手配を必要とします。 (とにかく、VOIP通話は安全ですか?)

Ideal:non-tech-savvy人々が暗号化された電子メールを送信する簡単な方法。 PGP/GPGはそれをカットしません、ただしOutlookに非常に簡単な組み込みのウ​​ィザードがない限り。 (あなたは、決して知らない...?)

Good: Webベースの安全なメッセージシステム(できればPHPで)をホストし、SSLで実行できます。このようなものを見つけることができませんでした。

たぶん私は間違ったことや間違った方法を尋ねています。どんな提案でも大歓迎です!

39
Adam DiCarlo

Webベースのメッセージングシステムのアイデアは、SSLのWebサーバーとGPGがインストールされているシステムでは、数十行のHTMLとPHP(ほとんどがhtml)のシステム)に実装できます。非常に単純ですが特殊なフォームメールタイプのプログラムです。既存のフォームメールCGIスクリプトをハッキングして、GPGへの呼び出しを挿入することもできます(まだ存在しない場合は、フォームメール+ GPGのグーグルを試してください)。

  • まだ行っていない場合は、ワークステーションにgpgをインストールして、公開鍵と秘密鍵を作成します
  • メッセージ(テキストフィールド)を受け入れるフォームを表示し、公開鍵を使用してgpgで暗号化し、メールで送信するphpページを作成します。スクリプトにメールアドレスをハードコードします(つまり、送信者が送信先を指定することを許可しません)
  • 既存のSSLサーバーにPHPページをインストールするか、タスク専用のPHPページを作成します。この仕事には自己署名証明書で十分です。
  • ログインとパスワードを送信する必要がある場合は、クライアントにURLを伝えます。

ところで、Thunderbirdには Enigmail プラグインがあり、GPG暗号化を非常に簡単に使用できます。しかし、それでもおそらくカジュアルユーザーにとってはあまりに面倒です。

13
cas

[〜#〜] pgp [〜#〜] が人気です。

また、できれば両方ともトレンチコートを着て、池での会議の実績のある方法を試すこともできます。

23
Paxxi

これは、テキストファイルと電話の組み合わせです。

クライアントにパスワードをプレーンテキストファイルに入れてから、そのテキストファイルをパスワードで保護されたZipファイルにドロップします。 (7Zipは無料でオープンソースです)。暗号化された.Zip/.rar/.7zファイルを電子メールで送信し、Zipファイルのユーザー名とパスワードを使用して電話をかけてもらいます。

これにより、誰もがZipファイルを開くことができなくなります。Zipファイルを開いたとしても、それは単なるパスワードであり、ユーザー名や使用場所など、他の情報がなければ何も表示されません。

さらに、これは、.exeなどの「禁止された」ファイルタイプを、添付ファイルと内部zipをスキャンする電子メールクライアントに電子メールで送信する方法です。これらの場合、私は通常、zipファイルのパスワードを電子メールに含めますが、それは通常「パスワード」です。ただし、電子メールソフトウェアが内容をチェックしないようにするだけで十分です。

7
Jared Harley

問題を複雑にしないでください。また、クライアントが送信するものの重要性を過大評価しないでください。

どちらかのコンピューターでキーロガーが実行されている場合、これらの貴重なパスワードを保護する暗号化はありません。

本当に機密性の高いパスワード(管理者のパスワードなど)をインターネット経由で送信するつもりはありませんが、あなたが言及したアプリケーション用ですか?誰かがあなたの電子メールを傍受している可能性がある場合に、それらを保護するために努力する価値はありません。

クライアントが懸念している場合は、いくつかのオプションがあります。

  1. 暗号化されたメールを送信する方法を学びます。
  2. 可能であれば、ファックスを送信します。
  3. 郵便物? (笑)
  4. 表音文字 を使用して、電話ではっきりと話します。
4
EvilChookie

Cryptocat はどうですか?安全で使いやすく、ブラウザさえあれば十分です。詳細は About page をご覧ください。

Ian Dunnが指摘したように、このシステムには、攻撃者がクライアントを装うことができるという欠陥があります。この場合の唯一のセキュリティは、passwordになるチャットルームの名前です。問題はシフトしましたが、解決していません。

しかし、私はしばしばクライアントに30文字以上salad(パスワードと呼びます)を送信する必要があり、私は主にcrypto.catを使用して、会話中に資格情報を交換します電話で彼らに。これは私にとって非常に安全なようで、クライアントはCTRL+C

4
Tex Hex

NoteShredを試してみてください。それはあなたの正確なニーズのためにほとんど作られたツールです。安全なメモを作成し、誰かにリンクとパスワードを送信して、読んだ後に自分で「細断」することができます。メモがなくなり、情報が破棄されたことを知らせる通知がメールで送信されます。

その無料で、サインアップを必要としません。

https://www.noteshred.com

3
Cheyne

パスワードセーフ シャードにファイル Dropbox を設定して、クライアントが必要に応じてパスワードを追加できるようにします。

ジョエルはテクニックを説明します ここ

3
Ryan

このスレッドの何人かの人々は、まさにそれを行うためのウェブアプリケーションを作成することを提案していました。実際、一部の人は独自に作成しました。率直に言って、私はそのようなサービスのために見知らぬ人に頼るのは良い考えではないと思います。ユーザーが簡単なWebインターフェイスを介してパスワードを交換できるようにする基本的なWebアプリケーションを実装し、MITライセンスの下で自由に使用できるようにしました。

ここで確認してください: https://github.com/MichaelThessel/pwx

独自のインフラストラクチャ内で設定するのに数分かかり、ソースコードを精査できます。私は自分のクライアントで数か月間自分のインストールを使用しており、技術に詳しくない人でもすぐにそれを拾いました。

最初にインストールせずにアプリケーションをテストしたい場合は、こちらをご覧ください。

https://pwx.michaelthessel.com

2
Michael Thessel

このプロセスはすべての状況で機能するわけではありませんが、マルチユーザーシステム(CMSやホスティングコントロールパネルなど)に適していると思います。

  1. クライアントが電話であなたに電話します。
  2. 電話をかけている間、クライアントはシステムにログインし、既存のアカウントへのアクセスを許可するのではなく、あなた専用の新しい管理者アカウントを作成します。
  3. 彼らは比較的単純でランダムな(ただし15文字以上) パスフレーズ を初期パスワードとして選択します(たとえば、今週末にポートランドに行く )またはヘッドフォンはどこですか
  4. 電話でパスフレーズを教えてくれます。
  5. あなたはすぐにシステムにログインし、パスワードを何かにリセットします 本当に強い 例:#] t'x:} = o ^ _%Zs3T4 [&#FdzL @y> a26pR "B/cmjV
  6. 最終的なパスワードはパスワードマネージャに保存します。

このアプローチの利点は次のとおりです。

  1. クライアントにとっては比較的簡単です。彼らはシステム上でアカウントを作成する方法を知っている必要があるだけです。彼らが問題を抱えている場合、あなたが電話をしている間、あなたはそれらをそれを通して歩くことができます。
  2. それもあなたのために比較的簡単です。暗号化されたファイルの設定と共有、カスタムフォームアプリケーションのホストなどに対処する必要はありません。
  3. (パスワードではなく)パスフレーズを使用するため、一時パスワードは電話で簡単に通信できますが、比較的安全です。
  4. 最終パスワードが送信されることはありません(もちろん、パスワードのリセットフォームは除きますが、システムで暗号化する必要があります)。
  5. 最終的なパスワードはクライアントに知られないため、攻撃者に誤って公開することはできません。もちろん、彼らは自分のアカウントのパスワードを公開することはできますが、事件の死後の調査はあなたのアカウントではなく自分のアカウントへの侵入を追跡します;)

最初のパスフレーズは、エントロピーが比較的低く、電話での送信が安全でないため、チェーンの中で最も弱いリンクです。ただし、エントロピーは約100ビットですが、存続期間は15〜90秒です。私の意見では、非常に機密性の高い何かに取り組んでいる場合、または現在、優れたハッカーによって個人的に標的にされていることがわかっている場合を除いて、これで十分です。

2
Ian Dunn

Skypeのインスタントメッセージングは​​ 暗号化 です。

さて、ここで必要な注意点があります:Skypeはオープンソースではないため、ひどい仕事をしたか、政府のバックドアをインストールしたか、ITですべてのメッセージをボブにコピーしたかどうかはわかりませんが、利用可能な最良の証拠によると、安全。

2
Ryan

暗号化されたUSBキー 上のテキストファイルでカタツムリメール経由で送信する

2
Rob Allen

古き良き [〜#〜] sms [〜#〜] を介してパスワードを送信するのはどうですか?それは非常に単純であり、テキストで他の情報を提供しない限り、それがどこに行くのかを理解することは非常に難しいでしょう。

1
Leif

これは少し手間がかかりますが、クライアントの時間も節約できます。

Roboformのようなものでそれらを設定しますが、データにアクセスできるようにWebに保存します。彼らがどこかにログインすると、RFはパスワードを保存し、それを利用できるようになります。

欠点:
* Roboformのオンラインストレージの安全性がわからない*これで、すべてのクライアントのパスワードにアクセスできるようになり、クライアントはそのアイデアを気に入らない可能性があります。

0
Clay Nichols

私の友人がこの理由のためにこのウェブサイトを作成しました: https://pwshare.com

ホスティングの世界にいる私や友人にとって、パスワードをクライアントにすばやく送信するための優れたツールです。

概要ページから: https://pwshare.com/about PWShareは、RSAと呼ばれる公開鍵/秘密鍵の暗号化仕様を使用します。クライアントがパスワードを送信する場合、サーバーから公開鍵が要求されます。

次に、クライアントはパスワードを暗号化してから、サーバーにパスワードを送信します。このため、サーバーは復号化されたパスワードを認識または保存しません。

秘密鍵識別子とパスワードを含むリンクを使用する場合のみ、パスワードを復号化できます。

0
Mark Kraakman

1回限りのトラブルシューティングやファイル転送など、使用が一時的なものである場合、このレベルのセキュリティは不要な場合があります。クライアントにパスワードを一時的に知っているものに変更してもらい、作業を行ってから、もう一度パスワードを変更してもらいます。仮のパスワードが発見されたとしても、それが悪意のある目的に使用される前に廃止されます。

0
fixer1234

S/MIMEでOutlookまたはThunderbirdを使用するのは簡単ですが、より良い方法は、あなたに電話してパスワードを読んでもらうことです。それの別の部分。

0
Ram