Comment les clients peuvent-ils m'envoyer facilement et en toute sécurité des mots de passe ?

Mettre en place un fichier Password Safe dans un Dropbox partagé, afin que les clients puissent ajouter des mots de passe au besoin.

Joel décrit la technique ici

Vous voudrez peut-être essayer NoteShred. C'est un outil conçu pratiquement pour votre besoin exact. Vous pouvez créer une note sécurisée, envoyer à quelqu'un le lien et le mot de passe, et la faire s'autodétruire après sa lecture. La note disparaît et vous recevez un e-mail de notification pour vous informer que vos informations ont été détruites.

C'est gratuit et ne nécessite aucune inscription.

https://www.noteshred.com

La messagerie instantanée de Skype est chiffrée.

Maintenant, voici les mises en garde nécessaires : Skype n'est pas open source, donc vous ne savez pas s'ils ont fait un travail terrible, installé une porte dérobée gouvernementale ou copié tous les messages à Bob du service informatique, mais les meilleures preuves disponibles suggèrent que c'est sécurisé.

Que diriez-vous d'un fichier texte sur une clé USB cryptée envoyée par courrier postal

Ce processus ne fonctionne pas dans toutes les situations, mais je pense qu'il est bon pour les systèmes multi-utilisateurs (comme un CMS ou un panneau de contrôle d'hébergement) :

1. Le client vous appelle au téléphone.
2. Pendant que vous êtes au téléphone, le client se connecte au système et crée un nouveau compte administrateur spécifiquement pour vous, plutôt que de vous donner accès à leur compte existant.
3. Ils choisissent une phrase relativement simple, aléatoire (mais de 15 caractères ou plus) paraphrase pour le mot de passe initial (par exemple, conduire à Portland ce week-end ou où sont mes écouteurs).
4. Ils vous donnent la phrase par téléphone.
5. Vous vous connectez immédiatement au système et réinitialisez le mot de passe en quelque chose de vraiment fort, par exemple, #]t'x:}=o^_%Zs3T4[ &#FdzL@y>a26pR"B/cmjV.
6. Vous enregistrez le mot de passe final dans votre gestionnaire de mots de passe.

Les avantages de cette approche sont que :

1. C'est relativement simple pour le client. Ils n'ont qu'à savoir comment créer un compte sur le système. Vous pouvez les guider à travers cela pendant que vous êtes au téléphone s'ils ont des problèmes.
2. C'est relativement simple pour vous aussi. Vous n'avez pas à vous occuper de la configuration et du partage de fichiers chiffrés, d'héberger une application de formulaire personnalisée, etc.
3. Il utilise une paraphrase (plutôt qu'un mot de passe) de sorte que le mot de passe temporaire est facile à communiquer par téléphone, mais est également relativement sécurisé.
4. Le mot de passe final n'est jamais transmis (sauf pour le formulaire de réinitialisation du mot de passe, bien sûr, mais il devrait être chiffré par le système).
5. Le mot de passe final n'est jamais connu du client, donc ils ne peuvent pas l'exposer accidentellement aux attaquants. Bien sûr, ils peuvent toujours exposer le mot de passe de leur propre compte, mais une enquête post-mortem sur un incident retracerait la pénétration à leur compte, pas au vôtre ;)

La phrase initiale est le maillon faible de la chaîne en raison de son entropie relativement faible et de sa transmission non sécurisée par téléphone. Elle a toujours ~100 bits d'entropie, cependant, et ne reste que de 15 à 90 secondes. À mon avis, c'est suffisant sauf si vous travaillez sur quelque chose de très sensible, ou si vous savez que vous êtes actuellement la cible d'un bon hacker.