クライアントはどのようにして簡単かつ安全にパスワードを送信できますか？[閉まっている]

FTP、SSH、MySQL、Authorize.netなどのクライアントからパスワードを取得する必要があることがよくあります。

パスワードを安全に送信する簡単な方法は何ですか？たぶん、彼らがログイン/パスワードを必要とせずに？

暗号化されたIMセッションは、技術者以外で設定するのが面倒です。電話は私の集中力を壊し、手配する必要があります。（とにかくVOIP通話は安全ですか？）

理想：技術に詳しくない人々が暗号化された電子メールを送信する簡単な方法。Outlookが非常に簡単な組み込みウィザードを備えていない限り、PGP / GPGはそれをカットしません。（あなたは、決して知らない...？）

良： SSLをホストして実行できるWebベースの安全なメッセージシステム（できればPHP）。私はこのようなものを見つけることができませんでした。

たぶん私は間違ったことや間違った方法を求めています。どんな提案も大歓迎です！

Webベースのメッセージングシステムのアイデアは、SSL WebサーバーとGPGがインストールされている任意のシステム上の数十行のHTMLおよびPHP（ほとんどがhtml）で実装できます。これは、実際には非常に単純ですが、特殊なフォームメールタイプのプログラムです。既存のフォームメールCGIスクリプトをハッキングしてGPGへの呼び出しを挿入することもできます（1つが存在しない場合は、フォームメール+ GPGのグーグルを試してください）

• まだ行っていない場合は、ワークステーションにgpgをインストールし、公開鍵と秘密鍵を作成します
• メッセージ（テキストフィールド）を受け入れるフォームを表示するPHPページを作成し、公開キーを使用してgpgで暗号化し、メールで送信します。スクリプトで電子メールアドレスをハードコーディングします（iEは送信者が送信先を指定することを許可しません）
• PHPページを既存のSSLサーバーにインストールするか、タスク専用に作成します。この仕事には自己署名証明書で十分です。
• ログインとパスワードを送信する必要があるときに、クライアントにURLを伝えます。

ところで、サンダーバードにはEnigmailプラグインがあり、GPG暗号化を非常に簡単に使用できます。しかし、それはおそらくカジュアルなユーザーにとってはあまりにも面倒です。

PGPは人気があります。

また、できればトレンチコートを着て、池での会議の試行された真の方法を試すこともできます。

これは、テキストファイルと電話の組み合わせです。

クライアントにパスワードをプレーンテキストファイルに入れてから、テキストファイルをパスワードで保護されたzipファイルにドロップします。（7zipは無料でオープンソースです）。暗号化された.zip / .rar / .7zファイルを電子メールで送信し、zipファイルのユーザー名とパスワードで電話をかけてもらいます。

これにより、だれもがzipファイルを開くことができなくなり、たとえそれが開かれたとしても、それはパスワードに過ぎず、ユーザー名や使用場所など、他の情報なしでは何も提供されません。

さらに、これは、添付ファイルやzip内をスキャンする電子メールクライアントに、.exeなどの「禁止」ファイルタイプを電子メールで送信する方法です。これらの場合、私は通常、zip形式のファイルのパスワードを電子メールに含めるだけで、通常は「パスワード」です。ただし、電子メールソフトウェアがコンテンツをチェックしないようにするだけで十分です。

問題を複雑にしすぎず、クライアントがあなたに送っているものの重要性を過大評価しないでください。

いずれかのコンピューターでキーロガーが実行されている場合、これらの貴重なパスワードを保護する暗号化の量はありません。

本当に機密性の高いパスワード（管理者のパスワードなど）をインターネット経由で送信するのではなく、あなたが言及したアプリケーション用に送信しますか？誰かがあなたのメールを傍受している可能性がありますので、それらを保護する努力は価値がありません。

クライアントが懸念している場合、クライアントにはいくつかのオプションがあります。

1. 暗号化されたメールを送信する方法を学びます。
2. 可能であれば、FAXを送信します。
3. 郵便物？（笑）
4. Phonetic Alphabetを使用して、電話ではっきりと話してください

クライアントが必要に応じてパスワードを追加できるように、シャードDropboxにパスワードセーフファイルを設定します。

ジョエルはここでテクニックを説明します

何についてCryptocat？安全で使いやすく、ブラウザがあれば十分です。詳細については、ページについてをご覧ください。

Ian Dunnが指摘したように、システムには、攻撃者がクライアントになりすますことができるという欠陥があります。この場合の唯一のセキュリティは、パスワードになるチャットルームの名前です。問題はシフトしましたが、解決していません。

ただし、クライアントに30文字以上のチャーサラダ（パスワードと呼びます）を送信する必要がよくあり、ほとんどの場合、crypto.catを使用して電話で会話しながら資格情報を交換します。これは私にとって非常に安全であるようで、クライアントは使用できますCTRL+C。

NoteShredを試してみてください。これは、まさにあなたのニーズに合ったツールです。安全なメモを作成し、誰かにリンクとパスワードを送信し、読んだ後にそれを「シュレッド」させることができます。メモはなくなり、情報が破棄されたことを知らせる通知がメールで送信されます。

無料で、サインアップは不要です。

https://www.noteshred.com

Skypeのインスタントメッセージングは暗号化されています。

さて、ここで必要な注意事項があります：Skypeはオープンソースではないため、ひどい仕事をしたか、政府のバックドアをインストールしたか、またはITのボブにすべてのメッセージをコピーしたかどうかはわかりませんが、利用可能な最良の証拠は、安全。

カタツムリメール経由で送信された暗号化されたUSBキーのテキストファイルについて

このプロセスはすべての状況で機能するわけではありませんが、マルチユーザーシステム（CMSやホスティングコントロールパネルなど）には適していると思います。

1. クライアントが電話であなたを呼び出します。
2. 電話中に、クライアントはシステムにログインし、既存のアカウントにアクセスするのではなく、あなた専用の新しい管理者アカウントを作成します。
3. 最初のパスワードに比較的単純でランダムな（ただし15文字以上の）パスフレーズを選択します（たとえば、今週末または私のヘッドフォンがある場所にポートランドに行く場合）
4. 電話でパスフレーズを教えてくれます。
5. すぐにシステムにログインし、パスワードを本当に強力なものにリセットします（例：＃] t'x：} = o ^ _％Zs3T4 [＆＃FdzL @ y> a26pR "B / cmjV）。
6. 最終パスワードをパスワードマネージャーに保存します。

このアプローチの利点は次のとおりです。

1. クライアントにとっては比較的簡単です。システムでアカウントを作成する方法を知っているだけです。彼らが問題を抱えているなら、あなたは電話でいる間、あなたはそれらを歩くことができます。
2. あなたにとっても比較的簡単です。暗号化されたファイルの設定と共有、カスタムフォームアプリケーションのホストなどに対処する必要はありません。
3. パスフレーズ（パスワードではなく）を使用するため、一時パスワードは電話で簡単に通信できますが、比較的安全です。
4. 最終パスワードは送信されません（もちろん、パスワードのリセットフォームを除きますが、システムによって暗号化される必要があります）。
5. 最終的なパスワードはクライアントに知られることはないため、攻撃者に誤って公開されることはありません。もちろん、彼らはまだ自分のアカウントのパスワードを公開することができますが、事件の事後調査はあなたのものではなく彼らのアカウントへの侵入を追跡します;）

初期パスフレーズは、エントロピーが比較的低く、電話での安全でない送信のため、チェーン内で最も弱いリンクです。ただし、まだ〜100ビットのエントロピーがあり、15〜90秒しか存続しません。私の意見では、あなたが非常に繊細な何かに取り組んでいない限り、あるいはあなたが現在優秀なハッカーによって個人的に標的にされていることを知っていない限り、それで十分です。

このスレッドの一部の人々は、まさにそれを行うためのWebアプリケーションを作成することを提案していました。実際、自分で作成した人もいます。率直に言って、私はそのようなサービスのために見知らぬ人に依存することは良い考えではないと思います。ユーザーが簡単なWebインターフェイスを介してパスワードを交換できるようにする基本的なWebアプリケーションを実装し、MITライセンスの下で自由に利用できるようにしました。

こちらでチェックしてください：https : //github.com/MichaelThessel/pwx

独自のインフラストラクチャ内でセットアップするのに数分かかり、ソースコードを精査できます。私は何ヶ月もクライアントで自分のインストールを使用してきましたが、技術に詳しくない人でもすぐにそれを手に入れました。

最初にインストールせずにアプリケーションをテストする場合は、こちらをご覧ください。

https://pwx.michaelthessel.com

古き良きSMSを介してパスワードを送信してみませんか？それは非常に単純であり、テキストで他の情報を提供しない限り、どこに行くのかを理解するのは非常に困難です。

これはもう少し手間がかかりますが、クライアントの時間も節約できます。

Roboformのようなものでセットアップしますが、アクセスできるようにデータをWebに保存します。彼らがどこかにログインすると、RFはパスワードを保存し、それを利用できるようにします。

欠点：
* Roboformのオンラインストレージの安全性がわからない

S / MIMEでoutlookまたはthunderbirdを使用するのは簡単ですが、さらに良いのはあなたに電話をかけてパスワードを読み取らせることです。それの別の部分。

1回限りのトラブルシューティングやファイル転送など、使用が非常に一時的なものである場合、このレベルのセキュリティは不要です。クライアントに一時的にあなたが知っているパスワードを変更してもらい、作業を行ってから、クライアントに再度変更してもらいます。仮のパスワードが発見された場合でも、悪意のある目的で使用できるようになる前に廃止されます。

私の友人がこの理由でこのウェブサイトを作成しました：https : //pwshare.com

私とホスティング業界の友人にとって、クライアントにパスワードをすばやく送信するための優れたツールです。

aboutページから：https : //pwshare.com/about PWShareはRSAとして知られる公開/秘密キー暗号化仕様を使用します。クライアントがパスワードを送信する場合、公開鍵がサーバーから要求されます。

クライアントは、パスワードをサーバーに送信する前にパスワードを暗号化します。このため、サーバーは復号化されたパスワードを認識または保存しません。

秘密鍵識別子とパスワードを含むリンクを使用してのみ、パスワードを復号化できます。

axcryptのようなものを使用することをお勧めします。非常に直感的であるため、技術的に困難な人でも機能させることができます。

AxCryptをここからダウンロード

AxCryptを使用する場合、あなたまたはあなたが扱う人はすべてのパスワード/機密情報を含むファイルを作成し、パスフレーズで暗号化できます。私は常に、電話または直接会ってパスフレーズを交換することをお勧めします（これが最良のオプションです）。AxCryptは適切な暗号化を使用しているため、最も決定的な敵を除いてすべてを確実に保護できます。AxCryptの最大の利点は、エクスプローラー拡張機能としてWindowsに統合されることです。Windowsエクスプローラーで行う必要があるのは、ファイルを右クリックして暗号化/復号化/

ハッピーハンティング！