40 votes

LinuxCanuck avatar

Comment les clients peuvent-ils m'envoyer facilement et en toute sécurité des mots de passe ?

Demandé el 11 de Août, 2009
Quand la question a-t-elle été
49310 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je dois souvent obtenir des mots de passe de clients pour FTP, SSH, MySQL, Authorize.net, etc.

Quel est un moyen facile pour eux de m'envoyer des mots de passe de manière sécurisée? Peut-être même sans qu'ils aient besoin d'un login / mot de passe?

Les sessions de messagerie instantanée cryptées sont compliquées à configurer avec des non-techniciens. Les appels téléphoniques perturbent ma concentration et nécessitent une organisation. (Les appels VOIP sont-ils sécurisés, de toute façon?)

Idéal: Un moyen facile pour les personnes non-technophiles d'envoyer des emails cryptés. PGP / GPG ne suffit pas, à moins qu'Outlook ait un assistant intégré super facile. (On ne sait jamais...?)

Bien: Un système de messagerie sécurisé basé sur le web (idéalement en PHP) que je pourrais héberger et exécuter via SSL. Je n'ai pas pu trouver quelque chose de similaire à cela.

Peut-être que je demande la mauvaise chose ou de la mauvaise manière. Toutes les suggestions sont appréciées!

Demandé el 11 de Août, 2009 par LinuxCanuck

Réponses

Trop de publicités?

24voto

andygeers avatar
andygeers Points 2882

PGP est populaire.

Vous pouvez aussi essayer la méthode éprouvée d'une rencontre au bord d'un étang, de préférence en portant tous les deux des imperméables.

Répondu el 11 de Août, 2009 par andygeers (2882 Points )

14voto

cas avatar
cas Points 651

Votre idée d'un système de messagerie basé sur le web pourrait être mise en œuvre en quelques dizaines de lignes de code HTML et PHP (principalement html) sur n'importe quel système possédant un serveur web SSL et GPG installé. C'est vraiment juste un programme de type formmail simple mais spécialisé. Vous pourriez même pirater un script CGI formmail existant pour insérer un appel à GPG (en supposant qu'il n'existe pas déjà, essayez de chercher sur Google formmail + GPG)

  • Si ce n'est déjà fait, installez gpg sur votre poste de travail et créez vos clés publique et privée.
  • Créez une page php qui affiche un formulaire pour accepter un message (champ texte), l'encrypte avec gpg en utilisant votre clé publique, et vous l'envoie par email. Encodez votre adresse e-mail dans votre script (c'est-à-dire, ne permettez pas à l'expéditeur de spécifier à qui envoyer)
  • Installez la page php sur un serveur ssl existant ou créez-en un spécialement pour cette tâche. Un certificat auto-signé est suffisant pour ce travail.
  • Indiquez à votre client l'url quand vous avez besoin qu'il vous envoie un identifiant et un mot de passe.

Au fait, thunderbird a le plugin Enigmail qui rend l'utilisation du chiffrement GPG très facile. Mais cela reste probablement trop compliqué pour les utilisateurs occasionnels.

Répondu el 12 de Août, 2009 par cas (651 Points )

8voto

ThunderHorse avatar
ThunderHorse Points 353

Ceci est une combinaison entre un fichier texte et un appel téléphonique :

Demandez à votre client de mettre le mot de passe dans un fichier texte, puis de déposer le fichier texte dans un fichier zip protégé par mot de passe. (7zip est gratuit et open-source). Demandez-leur d'envoyer le fichier .zip/.rar/.7z chiffré par email, puis d'appeler avec leur nom d'utilisateur et le mot de passe pour le fichier zip.

Cela empêche quiconque d'ouvrir le fichier zip, et même s'ils le faisaient, ce n'est qu'un mot de passe, ce qui ne vous donne rien sans aucune autre information, comme le nom d'utilisateur et où l'utiliser.

De plus, c'est une façon d'envoyer par email un type de fichier "interdit", comme un .exe, à un client de messagerie qui analyse les pièces jointes et les fichiers à l'intérieur des zips. Dans ces cas, j'inclus généralement le mot de passe pour le fichier zippé dans l'email, et c'est généralement "password". Cela suffit pour empêcher le logiciel de messagerie de vérifier le contenu.

Répondu el 12 de Août, 2009 par ThunderHorse (353 Points )

5voto

EvilChookie avatar
EvilChookie Points 4559

Ne compliquez pas les choses, et ne surestimez pas l'importance de ce que votre client vous envoie.

Si l'un des ordinateurs a un enregistreur de frappe en cours d'exécution, aucun niveau de cryptage ne protégera ces précieux mots de passe.

Je ne enverrais PAS de mots de passe VRAIMENT sensibles sur Internet (comme un mot de passe d'administrateur) mais pour les applications que vous avez mentionnées? Ce n'est pas nécessaire d'essayer de les sécuriser au cas où quelqu'un intercepterait vos e-mails.

Si votre client est préoccupé, il a plusieurs options:

  1. Apprendre à envoyer des e-mails cryptés.
  2. Envoyer un fax, si possible.
  3. Voie postale? (lol)
  4. Le dire clairement par téléphone en utilisant un Alphabet phonétique de l'OTAN
Répondu el 12 de Août, 2009 par EvilChookie (4559 Points )

5voto

Tex Hex avatar
Tex Hex Points 2342

Qu'en est-il de Cryptocat? Sécurisé, facile à utiliser et un navigateur est tout ce dont vous avez besoin. Pour plus de détails, consultez la page À propos.

Comme l'a souligné Ian Dunn, le système a la faille qu'un attaquant pourrait se faire passer pour votre client. La seule sécurité dans ce cas serait le nom de la salle de discussion qui deviendrait alors le mot de passe. Le problème est déplacé, mais pas résolu.

Cependant, j'ai souvent besoin d'envoyer à des clients un salade de 30+ caractères (nous les appelons des mots de passe) et j'utilise principalement crypto.cat pour échanger les informations d'identification tout en leur parlant au téléphone. Cela me semble très sécurisé et le client peut utiliser CTRL+C.

Répondu el 2 de Août, 2012 par Tex Hex (2342 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X