Qual è il modo migliore per inviare e ricevere molte credenziali di accesso?

Naviga le tue risposte
5

Attualmente sono uno sviluppatore web per un'azienda con molti diversi client remoti. Ci sono molti nomi utente e password che ho bisogno di sapere per poter svolgere il mio lavoro. Quando ho iniziato, sono stato in grado di ottenere una buona quantità di credenziali leggendole dal computer del mio capo. Li ho archiviati sul mio computer, in 1Password. Tuttavia, col passare del tempo, è diventato più conveniente per il mio capo inviare via e-mail le credenziali che non avevo, a volte su https, a volte no. Inoltre, a volte i client stessi devono inviarmi le loro credenziali di accesso, ad esempio, così posso accedere al loro account di hosting.

Sembra che ottenga nuove credenziali abbastanza frequentemente. Alcuni dei clienti con cui lavoro non sono troppo esperti di computer, pochi lo sono. Esistono modi un po 'semplici per migliorare la sicurezza di questo sistema? Dubito che la maggior parte dei miei clienti sappia come crittografare le proprie credenziali con le proprie chiavi private. Ho lavorato per questa azienda per circa 6 mesi e già ho dovuto aiutare un cliente a ripulire il suo sito perché è stato violato. Tuttavia, per essere onesti, non sono sicuro di quanto spesso i nostri clienti vengano violati.

C'è qualcosa che posso fare per migliorare questo sistema o siamo semplicemente condannati?

    
posta 425nesp 25.07.2013 - 01:04
fonte

2 risposte

5

Innanzitutto, non puoi inviare e-mail su HTTPS. HTTPS è un protocollo di sito Web, non un protocollo di posta elettronica. Gli scambi di e-mail crittografati richiedono che i server di posta comunichino tramite TLS o SSL. Il modo migliore per scambiare le credenziali, se assolutamente necessario, è crittografarle con una password lunga e sicura o, meglio ancora, una chiave precondivisa o l'utilizzo di una chiave sicura condivisa utilizzando la crittografia asimmetrica per impedire la chiave essere accessibile a chi legge l'e-mail.

Secure FTP è un'altra opzione valida se si dispone di un sito FTP sicuro che può essere utilizzato. Ancora una volta, dovrebbero essere utilizzate password ad alta sicurezza.

SFTP è probabilmente il più semplice dal momento che è possibile installare un client abbastanza semplice per consentirne il caricamento. La maggior parte delle configurazioni di crittografia e-mail sarà purtroppo troppo complicata per un utente medio.

Il modo più semplice sarebbe utilizzare un qualche tipo di sito Web HTTPS che consentirebbe loro di inviare le credenziali e proteggerle con una chiave casuale che sarebbe crittografata con una chiave pubblica che consente di decifrare la chiave credenziale solo dopo la le credenziali vengono rimosse dal computer connesso al Web.

    
risposta data 25.07.2013 - 01:18
fonte
2

Seguo il suggerimento di AJ Henderson di alcune applicazioni di messaggistica HTTPS non email, basate sul Web che i tuoi clienti possono utilizzare.

In assenza di ciò, puoi semplicemente cambiare la password ogni volta che invii le credenziali in modo non sicuro, memorizzando la nuova, strong password nel tuo gestore di password.

Puoi cogliere questa opportunità per educare i tuoi clienti: "Ho cambiato la password perché non è sicura quando più di una persona lo sa". Possono quindi cambiarlo in qualcos'altro dopo aver terminato.

    
risposta data 25.07.2013 - 03:44
fonte

Leggi altre domande sui tag

HMAC-SHA256 e HMAC-SHA512 sono in grado di agire come sostituzione in sostituzione di HMAC-SHA1 in HOTP / TOTP? Posso limitare PHP include () a specifici alberi di directory?