Какой безопасный способ отправки паролей через Интернет?


12

Я ищу лучший способ безопасной отправки паролей через Интернет. Опции, на которые я смотрел, - это PGP и зашифрованные RAR-файлы. Нет никаких реальных параметров, кроме как добраться из точки a в точку b через интернет без особого риска.


4
Это может показаться странным, но почему, поскольку кто-то порекомендовал Skype и позвонил им, почему бы не отправить SMS-пароль? (при условии, что у другой стороны есть мобильный телефон, но эй, у кого сейчас нет мобильного телефона?)
Дарий

Ответы:


25

PGP или другой асимметричный метод шифрования будет звучать как путь.

  1. обе стороны должны опубликовать свой открытый ключ
  2. подпишите ваше сообщение своим личным ключом
  3. зашифровать с открытым ключом другого
  4. передать файл
  5. только личный ключ другого может расшифровать сообщение
  6. Ваш открытый ключ может быть использован для проверки сообщения

=> безопасный и приватный


+1 хорошее объяснение.
Мсэнфорд

+1. Мне нравится это даже лучше, чем мой собственный ответ, потому что он предоставляет детали, как это должно быть сделано.
Милан Бабушков

Вероятно, это лучший путь - я надеялся, что клиенту не нужно будет устанавливать, но это лучший ответ.
Джим Б

+1 за GPG / PGP. Асимметричное шифрование - действительно лучший вариант здесь.
Отруби Благословенные

9

Любой механизм, который использует асимметричные ключи (например, SSL или PGP), хорош. По сути, это означает, что вы шифруете данные (пароль в вашем случае) с помощью открытого ключа другого человека, и единственный способ расшифровать его - это получить доступ к закрытому ключу (что делает только получатель).

Единственное, что беспокоит PGP, это то, кому вы доверяете, потому что подделка может легко произойти, когда люди подписывают свои собственные ключи.

Прочитайте раздел сети доверия в записи википедии для PGP для получения дополнительной информации об этом.


2
Просто для того, чтобы помочь тем, кто не знает, что это такое, и использует его в Google, термин «асимметричный» ключ (не асинхронный) означает, что обе половины ключа не выглядят одинаково. :)
msanford

+1, потому что шифрование с асимметричным ключом является лучшим решением, а также предоставляет способ проверки личности получателя (тогда как зашифрованный RAR этого не делает.)
msanford

1
+1 за упоминание асимметричного ключа. Я также отредактировал ваш пост, чтобы исправить опечатку.
KPWINC

8

Как насчет звонка получателю по скайпу ?


2
+1, потому что это на самом деле неплохая идея и недоиспользуется. Конечно, если у вас есть много ключей, чтобы выдать его, он не будет работать очень хорошо, но в течение одного или двух ...
msanford

1
Скайп работает хорошо, пока рецепт находится где-то рядом с тем же часовым поясом. Я обычно просто звоню, используя POTS, но эти опции просто недоступны.
Джим Б

Ты серьезно? Конечно, «лучше», чем простой текст, но никто не должен рекомендовать такую ​​вещь ...
lajarre

@lajarre Хотите объяснить? Для большинства людей Skype будет вполне приемлемым методом.
ceejayoz

@ceejayoz, если я правильно понял, этот ответ рекомендует ОП сообщить другому получателю пароль с помощью своего голоса через Skype. Я полагаю, что моя реакция (которую я считаю правильной, когда вы должны быть параноидальными со своими паролями) проистекает из того факта, что Skype является частной собственностью. Вы достаточно хороший хакер, чтобы знать, безопасно ли это? Или ты полагаешься на веру в скайп ребята? Программное обеспечение на основе ZRTP будет безопасным ответом. Я не уверен, что означает «приемлемый [для большинства людей]» ...
lajarre

2

Вы также должны убедиться, что получатель должен сменить пароль, прежде чем сможет использовать какой-либо сервис, для которого он предназначен - аутентификация изменения с помощью отправленного одноразового пароля. Это обеспечит дополнительную защиту от кражи и / или немного больше шансов на ее обнаружение, если вор потребовал ее изменить, оставив истинного пользователя с запросом отказа в доступе ^^


1

Отправьте одноразовую ссылку, которая ссылается на страницу (с использованием SSL), где можно создать пароль. Если кто-то обнаружит ссылку, вероятно, будет слишком поздно для использования этой ссылки. Вам понадобится какая-то возможность сброса, на случай, если ссылка будет перехвачена и использована до предполагаемого получателя.


1

Если вы находитесь в Windows, вы можете прослушать Security Now 201: SecureZip

AFAIK SecureZip реализует / автоматизирует подход асимметричного шифрования, который я описал выше .


1

Вы можете попробовать NoteShred. Это инструмент, созданный для ваших нужд. Вы можете создать безопасную заметку, отправить кому-нибудь ссылку и пароль и «разорвать» их после прочтения. Примечание исчезло, и вы получили уведомление по электронной почте, чтобы сообщить, что ваша информация уничтожена.

Это бесплатно и не требует никакой регистрации.

https://www.noteshred.com


1

Если это разовая вещь, вы можете использовать мой инструмент: http://tanin.nanakorn.com/labs/secureMessage

Он использует Javascript для шифрования RSA. Поэтому ваш пароль никогда не покидает машину вашего или вашего друга. Пожалуйста, смотрите FAQ на странице выше для получения дополнительной информации.

Чтобы делать это регулярно, лучше использовать ключи PGP или SSH, чтобы вам не приходилось каждый раз генерировать новую пару ключей.


0

Я склонен использовать синхронные методы для передачи пароля. Часто я просто отправляю сообщения кому-то и говорю, что пароль, который они ждут, это xxxxxx. Таким образом, нет идентификации сервера, на котором работает пароль, и я могу отправить его, когда узнаю, что человек сидит там, чтобы немедленно сменить пароль.


Кроме того, используя IM, вы можете использовать клиента с поддержкой протокола OTR, такого как Pidgin или Adium, или использовать Skype, который шифрует IM (хотя я не уверен в этом уровне).
Мсэнфорд

0

Вы не даете много подробностей о том, что нужно, но я храню свои пароли в файле Keepass, который хранится в Dropbox.


0

Мы просто выпустили веб и мобильное приложение, чтобы сделать это. Он создает случайные URL-адреса для таких учетных данных, как сокращение URL, с использованием HTTPS и метода хешированного / AES-шифрования для хранения. Вот простой API для разработчиков, вот наша рецензия, может быть, это простое решение, которое вам нужно ... http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it


-2

Зашифрованная HTTPS веб-форма может работать хорошо. Я бы беспокоился о файле RAR, потому что, если кто-то захватил весь файл, он мог взломать пароль до тех пор, пока он не сломался. Захват и сборка потока HTTPS не слишком легка, особенно с большим размером ключа. Затем они могут быть сохранены в зашифрованной базе данных или что-то, возможно, только извлечены через безопасную веб-форму.

PGP также сработает, если у вас есть какой-то способ безопасного обмена закрытыми ключами и вы можете быть уверены, что они не будут скомпрометированы на другом конце.


Есть мысли о том, как узнать, кто запрашивает эту веб-форму / страницу? Если пользователь еще не знает пароль, он также не может пройти аутентификацию.
Арджан

3
Схемы шифрования с асимметричным ключом, такие как PGP / GPG, разработаны специально для того, чтобы вам НЕ пришлось обмениваться закрытыми ключами. Вы обмениваетесь открытыми ключами, которые называются открытыми, потому что они должны быть просто открытыми. Нет необходимости скрывать ваши открытые ключи, только ваши личные.
Микаэль Ауно

1
Извините, я неправильно понял исходный вопрос. Я предположил, что это было для внутреннего, а не для новых пользователей или что-то. Я думаю, что шифрование с открытым ключом - это то, что вам нужно.
Мэтт
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.