ลูกค้าจะสามารถส่งรหัสผ่านให้ฉันได้อย่างง่ายดายและปลอดภัย? [ปิด]

39

ฉันมักจะต้องได้รับรหัสผ่านจากไคลเอนต์สำหรับ FTP, SSH, MySQL, Authorize.net และอื่น ๆ

วิธีง่ายๆในการส่งรหัสผ่านให้ฉันอย่างปลอดภัยคืออะไร อาจจะไม่มีพวกเขาจำเป็นต้องเข้าสู่ระบบ / รหัสผ่าน?

เซสชัน IM ที่เข้ารหัสเป็นสิ่งที่สร้างความยุ่งยากให้กับการตั้งค่าที่ไม่ใช่เทคโนโลยี การโทรศัพท์จะทำให้ความสนใจของฉันกระจ่างและจำเป็นต้องมีการจัดการ (โทร VOIP ปลอดภัยหรือไม่?)

อุดมคติ:วิธีที่ง่ายสำหรับผู้ที่ไม่ใช้เทคโนโลยีเพื่อส่งอีเมลแบบเข้ารหัส PGP / GPG ไม่ได้ตัดเว้นแต่ว่า Outlook จะมีตัวช่วยในตัวที่ง่ายมาก (คุณไม่เคยรู้...?)

ดี:ระบบข้อความที่ปลอดภัยบนเว็บ (หวังว่าจะเป็น PHP) ที่ฉันสามารถโฮสต์และใช้งาน SSL ได้ ฉันไม่สามารถหาอะไรแบบนี้ได้

บางทีฉันอาจจะถามสิ่งที่ผิดหรือวิธีที่ผิด ข้อเสนอแนะใด ๆ ที่ได้รับการชื่นชม!

email  security  passwords  encryption 
อดัม DiCarlo
แหล่งที่มา
2
พวกเขารู้รหัสผ่านของคุณในสถานที่แรกคือปัญหาด้านความปลอดภัยใหญ่สวย
คีแรน
1
หมายเหตุ - คำถามนี้ซ้ำกับstackoverflow.com/questions/1262424/ (เห็นได้ชัดว่าอาดัมไม่ทราบเกี่ยวกับคุณสมบัติการโยกย้ายคำถาม) - หากคำถามถูกย้ายที่นี่ไปยัง superuser ควรปิดหนึ่งรายการและอื่น ๆ .
bdonlan
4
พวกเขาไม่เคยรู้รหัสผ่านของฉัน แต่ฉันต้องรู้จำนวนมากของพวกเขาเป็นนักพัฒนาเว็บของพวกเขา
Adam DiCarlo
1
คำถามที่เกี่ยวข้องกับ ServerFault: serverfault.com/questions/61402/…
Tim Lytle
1
นอกจากนี้ยังมีonetimesecret.comเป็นโอเพ่นซอร์สและลบรหัสผ่านหลังจากที่ดูแล้ว ดังนั้นหากคุณเห็นว่าไม่มีใครทำ
PiTheNumber

คำตอบ:

13

ความคิดของคุณเกี่ยวกับระบบการส่งข้อความทางเว็บนั้นสามารถนำไปใช้กับ HTML และ PHP (ส่วนใหญ่เป็น HTML) ในระบบใด ๆ ที่ติดตั้ง SSL เว็บเซิร์ฟเวอร์และ GPG จริงๆแล้วเป็นเพียงโปรแกรมประเภท formmail ที่เรียบง่าย แต่พิเศษ คุณสามารถแฮ็คสคริปต์ CGI ของ formmail ที่มีอยู่เพื่อแทรกการโทรไปยัง GPG (ถ้าไม่มีอยู่ให้ลองใช้ Googling สำหรับ formmail + GPG)

  • หากคุณยังไม่ได้ติดตั้งให้ติดตั้ง gpg บนเวิร์กสเตชันของคุณและสร้างกุญแจสาธารณะและกุญแจส่วนตัวของคุณ
  • สร้างหน้า php ที่แสดงแบบฟอร์มเพื่อรับข้อความ (ช่องข้อความ) เข้ารหัสด้วย gpg โดยใช้กุญแจสาธารณะของคุณและส่งอีเมลถึงคุณ เขียนโค้ดที่อยู่อีเมลของคุณในสคริปต์ (iE ไม่อนุญาตให้ผู้ส่งระบุว่าจะส่งใคร)
  • ติดตั้งหน้า php บนเซิร์ฟเวอร์ ssl ที่มีอยู่หรือสร้างขึ้นใหม่สำหรับงาน ใบรับรองที่ลงนามเองดีพอสำหรับงานนี้
  • แจ้งให้ลูกค้าของคุณทราบเมื่อคุณต้องการให้พวกเขาส่งการเข้าสู่ระบบและรหัสผ่านให้คุณ

Btw, Thunderbird มีปลั๊กอินEnigmailซึ่งทำให้การใช้การเข้ารหัส GPG ง่ายมาก แต่ก็ยังคงมีปัญหามากเกินไปสำหรับผู้ใช้ทั่วไป

cas
แหล่งที่มา
ฉันคิดว่าฉันอาจต้องทำอะไรแบบนั้น ถ้าฉันทำฉันจะทำให้โครงการโอเพ่นซอร์สถ้าฉันสามารถคิดชื่อที่ดีสำหรับมัน
Adam DiCarlo
7
ลองนึกถึงโครงการโอเพ่นซอร์สทั้งหมดที่ไม่เคยมีที่มาที่เปิดเพราะใครบางคนไม่สามารถคิดชื่อที่ดีได้!
Robert
1
ขณะนี้มี crypto.cat ชุดการเข้ารหัสแชทแบบโอเพนซอร์ส / เว็บไซต์
เครื่องหมาย
23

PGPได้รับความนิยม

นอกจากนี้คุณยังสามารถลองวิธีการประชุมที่ลองและเป็นจริงได้ที่บ่อโดยเฉพาะอย่างยิ่งเมื่อคุณทั้งสองสวมเสื้อโค้ทกันฝน

Paxxi
แหล่งที่มา
6
+1 สำหรับทั้ง PGP และ "การเชื่อมต่อของฝรั่งเศส" ;-)
โกง
1
สำหรับพวกคุณที่เป็นรุ่น FOSS - GPG ก็ทำเช่นเดียวกัน
Dentrasi
7
ฉันพยายามหลีกเลี่ยง PGP / GPG - นี่คือสำหรับคนที่ไม่มีความรู้ด้านเทคโนโลยี ซึ่งไม่จำเป็นต้องมีเวลามาก (หรือความอดทน) สำหรับสิ่งที่เกี่ยวข้อง
Adam DiCarlo
@ AdamDiCarlo ดังนั้นฉันเดาว่าคุณกำลังไปบ่อน้ำ
แดกดัน
7

นี่คือการรวมกันระหว่างไฟล์ข้อความและโทรศัพท์:

ให้ไคลเอ็นต์ของคุณใส่รหัสผ่านในไฟล์ข้อความธรรมดาแล้วปล่อยไฟล์ข้อความลงในไฟล์ซิปที่ป้องกันด้วยรหัสผ่าน (7zip ฟรีและโอเพ่นซอร์ส) ให้พวกเขาส่งอีเมลไฟล์. zip / .rar / .7z ที่เข้ารหัสไปให้คุณแล้วโทรด้วยชื่อผู้ใช้และรหัสผ่านสำหรับไฟล์ zip

การทำเช่นนี้จะป้องกันไม่ให้ใครก็ตามเปิดไฟล์ zip และแม้ว่าพวกเขาจะทำมันเป็นเพียงรหัสผ่านซึ่งจะไม่ให้ข้อมูลใด ๆ แก่คุณหากไม่มีข้อมูลอื่น ๆ เช่นชื่อผู้ใช้และตำแหน่งที่จะใช้

นอกจากนี้ยังเป็นวิธีส่งอีเมลประเภทไฟล์ "ที่ต้องห้าม" เช่น. exe ไปยังไคลเอนต์อีเมลที่สแกนไฟล์แนบและภายในรหัสไปรษณีย์ ในกรณีเหล่านั้นฉันมักจะใส่รหัสผ่านสำหรับไฟล์ซิปในอีเมลและโดยปกติจะเป็น "รหัสผ่าน" แต่เพียงพอที่จะหยุดซอฟต์แวร์อีเมลไม่ให้ตรวจสอบเนื้อหาได้

Jared Harley
แหล่งที่มา
1
ในขณะที่สิ่งนี้เพิ่มความปลอดภัยด้วยการเพิ่มเลเยอร์มากขึ้น แต่ก็ไม่ได้ทำให้กระบวนการง่ายขึ้น คุณยังต้องมีโทรศัพท์
spuder
ในทางกลับกันฉันชอบความคิดของช่องทางการสื่อสารที่สองเพื่อถ่ายทอดข้อมูลที่คล้าย PIN น้อยที่สุด ฉันไม่คิดว่าผู้ที่ไม่ได้เป็นช่างรู้วิธีสร้างไฟล์ zip ดังนั้นฉันจะไม่ใช้คำตอบนี้เหมือนเดิม แต่เราสามารถสันนิษฐานได้ว่ามืออาชีพทุกคนมีโทรศัพท์มือถือซึ่งสามารถส่งหมายเลขพินได้ซึ่งอาจเป็นการตรวจสอบความปลอดภัยที่มีประโยชน์ซึ่งเป็นส่วนหนึ่งของการพิสูจน์ตัวตนเบื้องต้นทางเว็บที่ปลอดภัย
ToolmakerSteve
4

อย่าเน้นเรื่องนี้มากเกินไปและอย่าประเมินความสำคัญของสิ่งที่ลูกค้าของคุณส่งถึงคุณ

หากคอมพิวเตอร์เครื่องใดเครื่องหนึ่งมีตัวบันทึกคีย์ทำงานอยู่การเข้ารหัสจำนวนหนึ่งจะไม่ปกป้องรหัสผ่านที่มีค่าเหล่านั้น

ฉันจะไม่ส่งรหัสผ่านที่ละเอียดอ่อนจริงๆผ่านอินเทอร์เน็ต (เช่นรหัสผ่านของผู้ดูแลระบบ) แต่สำหรับแอปพลิเคชันที่คุณพูดถึง? มันไม่คุ้มค่ากับความพยายามที่จะรักษาความปลอดภัยให้กับพวกเขาในโอกาสที่มีคนอาจขัดขวางอีเมลของคุณ

หากลูกค้าของคุณเป็นกังวลพวกเขามีหลายตัวเลือก:

  1. เรียนรู้วิธีส่งอีเมลที่เข้ารหัส
  2. ส่งแฟกซ์หากเป็นไปได้
  3. เมล์หอยทาก? (ฮ่า ๆ)
  4. พูดให้ชัดเจนทางโทรศัพท์โดยใช้ตัวอักษรออกเสียง
EvilChookie
แหล่งที่มา
3
แอปพลิเคชันที่ฉันกล่าวถึงรวมถึง Authorize.net ผมคิดว่ามีความละเอียดอ่อนจริงๆ (ลืมพูดถึง) ผมพูดที่สำคัญการทำธุรกรรม คีย์นี้อนุญาตให้ไม่เพียง แต่รับการชำระเงิน แต่โดยทั่วไปการชำระเงิน (การให้เครดิตลูกค้าเพื่อการคืนเงินเป็นจุดประสงค์) นอกจากนี้ยังมีการเข้าถึง SSH / FTP และ MySQL ช่วยให้ผู้ใช้สามารถระเบิดเว็บไซต์ของพวกเขา ... ฉันคิดว่ามันเป็นสิ่งสำคัญในการปกป้องเช่นกัน คุณบอกว่าลูกค้าของฉันกังวล; ฉันต้องรับผิดชอบในฐานะมืออาชีพหรือไม่ที่จะพูดว่า "เอาเลยและส่งอีเมลรหัสผ่านที่ละเอียดอ่อนของคุณมาให้ฉัน"
Adam DiCarlo
คีย์ธุรกรรม - ไม่มีคำถาม ส่งแฟกซ์ให้ใช้โทรศัพท์แล้วแต่ว่าจะสะดวกอะไร แต่สำหรับเว็บไซต์ลูกค้า แน่นอนว่ามันเป็นสิ่งสำคัญ แต่ก็ไม่คุ้มค่าที่จะใช้ความพยายามทั้งหมดในการรักษาความปลอดภัยของอีเมล หากมีคนต้องการกำจัดหนึ่งในเว็บไซต์ของลูกค้าของคุณมีวิธีที่ดีกว่าการกำจัดมันมากกว่าโอกาสที่จะสกัดกั้นอีเมล - การโจมตี DDoS, การฉีด SQL มีวิธีมากมายในการทำลายเว็บเซิร์ฟเวอร์และ การขโมยข้อมูลประจำตัวของใครบางคนโดยการดมกลิ่นอีเมลไม่ใช่หนึ่งในสิ่งที่ดีกว่า อย่างที่ฉันพูดอย่าประมาทความสำคัญของข้อมูล
EvilChookie
1
และเมื่อคุณทำงานกับเว็บไซต์คุณควรรู้ดีกว่าส่วนใหญ่ที่คุณไม่เพียงแค่เก็บข้อมูลสำคัญไว้บนเว็บไซต์
EvilChookie
# 4 เป็นที่ถกเถียงกันถ้าลุงหรือใครก็ตามที่ตรวจสอบการทำงานของลุงต้องการรหัสผ่าน โทรศัพท์มือถือทุกเครื่องมีการรับประกันว่าจะถูกบันทึกโดย NSA เช่นเดียวกับการโทรระหว่างโทรศัพท์ไปยังโทรศัพท์พื้นฐานซึ่งข้ามพรมแดน LATA การโทรภายใน Milwaukie telcodata.us/view-switch-detail-by-clli?clli=MLWKOR17DS0 การแลกเปลี่ยนจะไม่ได้รับการตรวจสอบโดยไม่มีการรับประกัน แต่การโทรจาก Milwaukie ไปยัง Portland จะ
K7AAY
3

ตั้งค่าไฟล์รหัสผ่านที่ปลอดภัยในDropbox ของชาร์ดดังนั้นลูกค้าสามารถเพิ่มรหัสผ่านได้ตามต้องการ

โจเอลอธิบายเทคนิคที่นี่

ไรอัน
แหล่งที่มา
3
แนวคิดที่น่าสนใจ แต่มันเกี่ยวข้องกับการเรียนรู้ของลูกค้าแต่ละคน / การใช้ไม่เพียง แต่รหัสผ่านที่ปลอดภัย แต่ยัง Dropbox และแยก Dropbox สำหรับลูกค้าแต่ละคน ไม่ต้องการให้พวกเขาเห็นไฟล์ที่ปลอดภัยของรหัสผ่านของผู้อื่นที่นั่นดูไม่ดี (แม้ว่าพวกเขาจะไม่มีรหัสผ่านเพื่อเปิดตู้นิรภัยของผู้อื่น)
Adam DiCarlo
3

Cryptocatเกี่ยวกับอะไร? ปลอดภัยใช้งานง่ายและเบราว์เซอร์เป็นสิ่งที่คุณต้องการ สำหรับรายละเอียดโปรดดูที่หน้าเกี่ยวกับ

ตามที่ Ian Dunn ได้ชี้ให้เห็นแล้วระบบมีข้อบกพร่องที่ผู้โจมตีสามารถทำเป็นลูกค้าของคุณได้ การรักษาความปลอดภัยเฉพาะในกรณีนี้จะเป็นชื่อของห้องสนทนานั้นจะกลายเป็นที่รหัสผ่าน ปัญหาเปลี่ยนไป แต่ไม่ได้รับการแก้ไข

อย่างไรก็ตามบ่อยครั้งที่ฉันต้องส่งไคลเอนต์ 30+ ชาร์ลสลัด (เราเรียกพวกเขาว่ารหัสผ่าน) และฉันส่วนใหญ่ฉันใช้ crypto.cat เพื่อแลกเปลี่ยนข้อมูลประจำตัวขณะพูดคุยกับพวกเขาทางโทรศัพท์ CTRL+Cนี้ดูเหมือนว่าจะมีความปลอดภัยมากสำหรับผมและลูกค้าสามารถใช้

TeX HeX
แหล่งที่มา
2
ข้อเสียอย่างหนึ่งของการใช้ crypto.cat สำหรับจุดประสงค์นี้คือคุณยังต้องแชร์ชื่อห้องแชทซึ่งกลายเป็นรหัสผ่านในตัวของมันเอง หากผู้โจมตีขัดขวางชื่อห้องพวกเขาอาจปลอมตัวเป็นลูกค้าและรับรหัสผ่านระบบ ดังนั้นตอนนี้คุณต้องการวิธีแบ่งปันรหัสผ่าน crypto.cat อย่างปลอดภัยและคุณกลับมาที่ช่องสี่เหลี่ยมหนึ่ง มันไม่ได้มีความปลอดภัยพื้นฐาน แต่เพิ่มเลเยอร์ที่อ่อนแอเป็นพิเศษ แม้ว่าเลเยอร์ที่อ่อนแอ 2 ตัวจะยังคงดีกว่า 1 และถ้าคุณต้องการทำให้กระบวนการง่ายขึ้นนั่นอาจเป็นความเสี่ยงที่ยอมรับได้
Ian Dunn
ฉันคิดว่าการโทรศัพท์เป็นวิธีที่ไม่เลวในการส่งข้อมูล ID ผู้โทรสามารถปลอมแปลงได้ แต่มันยากมากที่จะเลียนแบบเสียงของใครบางคนกิริยาท่าทาง ฯลฯ
Ian Dunn
@ Ian Dunn: โอเคฉันเข้าใจประเด็นของคุณ ฉันจะแก้ไขคำตอบของฉัน
Tex Hex
ใช่ถ้าคุณอยู่ในโทรศัพท์กับพวกเขาแล้วนั่นดีกว่าถ้าคุณส่งอีเมล / ข้อความชื่อห้องให้พวกเขา ฉันชอบกระบวนการที่วางไว้ในคำตอบของฉันเป็นการส่วนตัว แต่ฉันคิดว่าวิธีการของคุณก็เป็นวิธีที่ดีเช่นกัน
Ian Dunn
3

คุณอาจต้องการลอง NoteShred มันเป็นเครื่องมือที่ทำขึ้นมาเพื่อความต้องการของคุณ คุณสามารถสร้างบันทึกย่อที่ปลอดภัยส่งลิงค์และรหัสผ่านให้คนอื่นและให้มัน "ฉีก" มันเองหลังจากที่พวกเขาอ่าน โน้ตหายไปและคุณจะได้รับอีเมลแจ้งเตือนเพื่อแจ้งให้คุณทราบว่าข้อมูลของคุณถูกทำลาย

ฟรีและไม่ต้องลงทะเบียนใด ๆ

https://www.noteshred.com

วอล์ก
แหล่งที่มา
ฉันชอบความคิดนี้ แต่ถ้าคุณส่งอีเมลลิงก์ด้วยรหัสผ่านนั่นจะไม่ปลอดภัยอีกใช่ไหม หากผู้โจมตีสามารถเห็นรหัสผ่านในอีเมลได้เขาจะเห็นลิงก์ + รหัสผ่านในอีเมลเช่นกันฉันเดาหรือไม่
Wim Deblauwe
เห็นได้ชัดว่าคุณจะไม่ส่งรหัสผ่านในอีเมลพร้อมลิงก์ คุณมีตัวเลือกในการถ่ายโอนรหัสผ่านที่คุณต้องการ นอกจากนี้แม้ว่าผู้โจมตีจะได้รับรหัสผ่านเฉพาะบุคคลแรกที่ดูบันทึกย่อเท่านั้นที่จะเห็นเนื้อหาก็จะถูกทำลายหลังจากนั้น ดังนั้นรหัสผ่านจึงไม่มีประโยชน์
Cheyne
2

ของ Skype Instant Messaging ที่ถูกเข้ารหัส

ตอนนี้คำเตือนที่จำเป็นมาที่นี่: Skype ไม่ใช่โอเพ่นซอร์สดังนั้นคุณไม่รู้เลยว่าพวกเขาทำงานได้แย่มากหรือติดตั้งลับๆของรัฐบาลหรือคัดลอกข้อความทั้งหมดไปยัง Bob ใน IT แต่หลักฐานที่ดีที่สุดแสดงให้เห็นว่ามันเป็น ปลอดภัย

ไรอัน
แหล่งที่มา
6
ตอนนี้เรารู้แน่นอนต้องขอบคุณ Snowden ที่มีรัฐบาลแน่นอนกลับไป skype
Robert J Berger
1
สิ่งนี้ควรจะลงคะแนนลงบนพื้น
PiTheNumber
1
นี่เป็นคำตอบเก่า แต่ก็ยังเป็นคำตอบที่น่าสนใจ Skype ไม่ควรได้รับการพิจารณาว่าเป็นวิธี "ปลอดภัย" ในการส่งข้อมูลที่ละเอียดอ่อนอีกต่อไป ( support.skype.com/en/faq/fa31/does-skype-use-encrypt ) .... โดยทั่วไป IM จะถูกเข้ารหัสจากต้นทางถึงปลายทางสำหรับ ส่งข้อความโดยตรง แต่เฉพาะการส่งข้อความไปยังคลาวด์สำหรับ IM บนคลาวด์เท่านั้น ข้อความตรงกำลังจะหายไป ดังนั้น IM ใด ๆ ที่ส่งผ่าน skype จึงไม่มีการเข้ารหัสแบบครบวงจร
rocketmonkeys
2

กระบวนการนี้ใช้ไม่ได้ในทุกสถานการณ์ แต่ฉันคิดว่ามันดีสำหรับระบบที่มีผู้ใช้หลายคน (เช่น CMS หรือแผงควบคุมโฮสติ้ง):

  1. ลูกค้าโทรหาคุณทางโทรศัพท์
  2. ในขณะที่คุณใช้โทรศัพท์ลูกค้าจะเข้าสู่ระบบและสร้างบัญชีผู้ดูแลระบบใหม่โดยเฉพาะสำหรับคุณแทนที่จะให้สิทธิ์การเข้าถึงบัญชีที่มีอยู่
  3. พวกเขาเลือกข้อความรหัสผ่านที่ค่อนข้างง่ายสุ่ม (แต่อักขระ 15+ ตัว) สำหรับรหัสผ่านเริ่มต้น (เช่นการขับรถไปที่พอร์ตแลนด์ในสุดสัปดาห์นี้หรือที่หูฟังของฉันอยู่ )
  4. พวกเขาบอกคุณวลีรหัสผ่านทางโทรศัพท์
  5. ทันทีที่คุณเข้าสู่ระบบและตั้งค่ารหัสผ่านไปยังสิ่งที่แข็งแกร่งอย่างแท้จริงเช่น#] t'x:} = o ^ _% Zs3T4 [&
  6. คุณเก็บรหัสผ่านสุดท้ายในตัวจัดการรหัสผ่านของคุณ

ข้อดีของวิธีนี้คือ:

  1. มันค่อนข้างง่ายสำหรับลูกค้า พวกเขาต้องรู้วิธีสร้างบัญชีในระบบเท่านั้น คุณสามารถนำพวกเขาผ่านสิ่งนั้นในขณะที่คุณใช้โทรศัพท์ได้หากพวกเขามีปัญหา
  2. มันค่อนข้างง่ายสำหรับคุณด้วย คุณไม่ต้องจัดการกับการตั้งค่าและแบ่งปันไฟล์ที่เข้ารหัสการโฮสต์แอปพลิเคชันแบบฟอร์มที่กำหนดเอง ฯลฯ
  3. มันใช้ข้อความรหัสผ่าน (ซึ่งตรงข้ามกับรหัสผ่าน) เพื่อให้รหัสผ่านชั่วคราวนั้นง่ายต่อการสื่อสารทางโทรศัพท์ แต่ก็ค่อนข้างปลอดภัย
  4. รหัสผ่านสุดท้ายจะไม่ถูกส่ง (ยกเว้นสำหรับแบบฟอร์มการรีเซ็ตรหัสผ่าน แต่แน่นอนว่าควรได้รับการเข้ารหัสโดยระบบ)
  5. ลูกค้าไม่ทราบรหัสผ่านสุดท้ายดังนั้นจึงไม่สามารถเปิดเผยรหัสผ่านกับผู้โจมตีได้โดยไม่ตั้งใจ แน่นอนว่าพวกเขายังสามารถเปิดเผยรหัสผ่านบัญชีของตนเองได้ แต่การสอบสวนหลังเหตุการณ์ถึงตายจะติดตามการบุกเข้าไปในบัญชีของพวกเขาไม่ใช่ของคุณ;)

วลีรหัสผ่านเริ่มต้นคือการเชื่อมโยงที่อ่อนแอที่สุดในห่วงโซ่เพราะเอนโทรปีของมันค่อนข้างต่ำและการส่งสัญญาณที่ไม่ปลอดภัยทางโทรศัพท์ มันยังคงมีเอนโทรปีประมาณ 100 บิตและมีชีวิตอยู่เพียง 15-90 วินาที ในความคิดของฉันนั้นดีพอเว้นแต่ว่าคุณกำลังทำบางสิ่งที่มีความอ่อนไหวสูงหรือคุณรู้ว่าคุณกำลังตกเป็นเป้าหมายของแฮ็คเกอร์ที่ดี

Ian Dunn
แหล่งที่มา
หากคุณกำลังจะลงคะแนนโปรดอธิบายว่าทำไม ...
Ian Dunn
ไม่ใช่ฉัน แต่อาจเป็นเพราะคำถามมีอายุ 3 ปี
เครื่องหมาย
3
นั่นไม่สมเหตุสมผลสำหรับฉัน นี่ไม่ใช่กระทู้ในฟอรัม จุดรวมของไซต์ Stack Exchanges คือการสร้างพื้นที่เก็บข้อมูลของความรู้ ฉันคิดว่าอายุของคำถามนั้นไม่เกี่ยวข้อง มีป้ายสำหรับทำงานกับคำถามเก่า ๆ เช่นหมอผีและนักโบราณคดี แต่ถ้าใครเห็นข้อบกพร่องในคำตอบของฉันโปรดชี้ให้พวกเขาเห็นเพื่อที่ฉันจะได้ปรับปรุงมันได้
Ian Dunn
นั่นเป็นจุดที่ดี คุณควรส่งคำตอบ crypto.cat
เครื่องหมาย
2

บางคนในกระทู้นี้แนะนำให้สร้างเว็บแอปพลิเคชันให้ทำ ในความเป็นจริงบางคนถึงกับสร้างขึ้นเอง พูดตรงไปตรงมาฉันไม่คิดว่ามันเป็นความคิดที่ดีที่จะพึ่งพาคนแปลกหน้าสำหรับบริการเช่นนั้น ฉันใช้เว็บแอพพลิเคชั่นพื้นฐานที่ช่วยให้ผู้ใช้สามารถแลกเปลี่ยนรหัสผ่านผ่านทางเว็บอินเตอร์เฟสที่เรียบง่ายและทำให้สามารถใช้งานได้อย่างอิสระภายใต้ลิขสิทธิ์ของ MIT

ลองใช้งานได้ที่นี่: https://github.com/MichaelThessel/pwx

ใช้เวลาไม่กี่นาทีในการตั้งค่าภายในโครงสร้างพื้นฐานของคุณและคุณสามารถตรวจสอบซอร์สโค้ดได้ ฉันใช้งานการติดตั้งของตัวเองกับลูกค้าเป็นเวลาหลายเดือนและแม้แต่คนที่ไม่มีความชำนาญก็หยิบมาใช้ได้ทันที

ในกรณีที่คุณต้องการทดสอบแอปพลิเคชันโดยไม่ต้องติดตั้งก่อนคุณสามารถดูได้ที่นี่:

https://pwx.michaelthessel.com

Michael Thessel
แหล่งที่มา
คุณพูดว่า " ฉันไม่คิดว่ามันเป็นความคิดที่ดีที่จะพึ่งพาคนแปลกหน้าสำหรับบริการแบบนั้น " จากนั้นแนะนำให้พวกเขาใช้รหัสของคุณเพื่อทำสิ่งนี้? รหัสของคุณเป็นอย่างไร (คุณเป็นคนแปลกหน้า) ปลอดภัยกว่าโค้ดของคนแปลกหน้าอื่น ๆ
DavidPostill
โซลูชันอื่น ๆ ทั้งหมดในชุดข้อความนี้เสนอแหล่งข้อมูลปิดซึ่งโฮสต์โซลูชันบนเซิร์ฟเวอร์ของตนเอง โซลูชันนี้เป็นโอเพนซอร์ส คุณสามารถตรวจสอบรหัสตรวจสอบให้แน่ใจว่าไม่ได้ทำสิ่งที่เป็นอันตรายและติดตั้งในโครงสร้างพื้นฐานของคุณเอง นี่คือความงามของโอเพนซอร์ส
Michael Thessel
ขอบคุณมากที่ให้บริการสาธารณูปโภคเหล่านี้ในรูปแบบของตัวเอง Michael ฉันเห็นข้อโต้แย้งของคุณอย่างสมบูรณ์และเราอาจทำตามคำแนะนำของคุณ (รวมถึงการสร้างแบรนด์จะดีกว่า) งานยอดเยี่ยม!
Foliovision
1

วิธีการเกี่ยวกับการส่งรหัสผ่านทางSMSเก่าดีหรือไม่? มันง่ายมากและตราบใดที่คุณไม่ได้ให้ข้อมูลอื่นในข้อความมันจะยากมากที่จะรู้ว่ามันไปที่ไหน

ลีฟ
แหล่งที่มา
การพิมพ์รหัสผ่านที่ซับซ้อนยาว ๆ บนโทรศัพท์ (และบางครั้งการอ่านรหัสผ่าน) อาจเกิดข้อผิดพลาดได้
วอลล์
0

อันนี้เป็นความพยายามอีกเล็กน้อย แต่ช่วยประหยัดเวลาของลูกค้าด้วย:

ตั้งค่าด้วย Roboform แต่เก็บข้อมูลไว้บนเว็บเพื่อให้คุณสามารถเข้าถึงได้ เมื่อพวกเขาเข้าสู่ระบบที่ไหนสักแห่ง RF จะบันทึกรหัสผ่านและมันสามารถใช้ได้กับคุณ

ข้อเสีย:
* ไม่แน่ใจว่าที่เก็บข้อมูลออนไลน์ของ Roboform ปลอดภัยแค่ไหน * จากนั้นคุณสามารถเข้าถึงรหัสผ่านของลูกค้าทั้งหมดและพวกเขาอาจไม่ชอบแนวคิดดังกล่าว

ดินเหนียวปักกิ่ง
แหล่งที่มา
0

การใช้ outlook หรือธันเดอร์เบิร์ดด้วย S / MIME นั้นง่าย แต่ดีกว่าคือให้พวกเขาโทรหาคุณและอ่านรหัสผ่านของคุณ - หากคุณต้องการให้สุดยอดมากให้พวกเขาอ่านส่วนหนึ่งของมันแล้วส่งข้อความถึงคุณและส่งอีเมลถึงคุณ อีกส่วนหนึ่งของมัน

แกะ
แหล่งที่มา
0

หากการใช้งานชั่วคราวเช่นการแก้ไขปัญหาหรือโอนไฟล์ครั้งเดียวความปลอดภัยระดับนี้อาจไม่จำเป็น ให้ลูกค้าเปลี่ยนรหัสผ่านชั่วคราวเป็นสิ่งที่คุณรู้ทำผลงานแล้วให้ลูกค้าเปลี่ยนอีกครั้ง แม้ว่ารหัสผ่านชั่วคราวจะถูกค้นพบมันจะล้าสมัยก่อนที่จะสามารถใช้เพื่อจุดประสงค์สามานย์

fixer1234
แหล่งที่มา
0

เพื่อนของฉันสร้างเว็บไซต์นี้ขึ้นมาเพื่อเหตุผลนี้: https://pwshare.com

สำหรับฉันและเพื่อน ๆ ในโลกโฮสติ้งเป็นเครื่องมือที่ยอดเยี่ยมในการส่งรหัสผ่านไปยังลูกค้าได้อย่างรวดเร็ว

จากหน้าเกี่ยวกับ: https://pwshare.com/about PWShare ใช้ข้อกำหนดการเข้ารหัสคีย์สาธารณะ / ส่วนตัวที่รู้จักในชื่อ RSA เมื่อลูกค้าต้องการส่งรหัสผ่านจะมีการขอรหัสสาธารณะจากเซิร์ฟเวอร์

จากนั้นไคลเอ็นต์จะเข้ารหัสรหัสผ่านก่อนที่จะส่งรหัสผ่านไปยังเซิร์ฟเวอร์ ด้วยเหตุนี้เซิร์ฟเวอร์จึงไม่ทราบหรือเก็บรหัสผ่านที่ถอดรหัสไว้

ใช้การเชื่อมโยงซึ่งมีตัวระบุคีย์ส่วนตัวและรหัสผ่านเท่านั้นที่สามารถถอดรหัสรหัสผ่านได้

มาร์ค Kraakman
แหล่งที่มา
-1

ฉันขอแนะนำให้ใช้ axcrypt มันใช้งานง่ายมากดังนั้นแม้แต่คนที่มีความสามารถทางเทคนิคก็สามารถทำงานได้

ดาวน์โหลด AxCrypt ที่นี่

เมื่อคุณใช้ AxCrypt คุณหรือใครก็ตามที่คุณติดต่อด้วยสามารถสร้างไฟล์ด้วยรหัสผ่าน / ข้อมูลที่ละเอียดอ่อนทั้งหมดแล้วเข้ารหัสด้วยวลีรหัสผ่าน ฉันมักจะแนะนำอย่างน้อยการแลกเปลี่ยนวลีรหัสผ่านทางโทรศัพท์หรือด้วยตนเอง (นี่คือตัวเลือกที่ดีที่สุด) AxCrypt ใช้การเข้ารหัสที่เหมาะสมบางอย่างดังนั้นคุณสามารถมั่นใจได้ว่ามันจะเก็บทุกอย่างยกเว้นคู่ต่อสู้ที่มุ่งมั่นที่สุด ส่วนที่ดีที่สุดกับ AxCrypt คือมันรวมเข้ากับ windows เป็นส่วนขยาย explorer ใน windows explorer สิ่งที่คุณต้องทำคือคลิกขวาที่ไฟล์เพื่อเข้ารหัส / ถอดรหัส /

การล่าสัตว์ที่มีความสุข!

Axxmasterr
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.