Come posso raccogliere le password dei miei clienti?

Naviga le tue risposte
2

Sono uno sviluppatore web che spesso assume il controllo del sito web dei clienti. I clienti mi inviano spesso la loro password CPanel via e-mail. So che questo è male, ma non conosco un'alternativa sicura.

Questo è quello che ho trovato ...

  1. Ho creato un modulo "credenziali" sul mio server dedicato crittografato SSL che accetta SOLO la password (nessun riferimento al dominio o al nome utente che chiedo via email)

  2. Il modulo invia la password al mio script php che crittografa la password con aes-256-ctr e la salva in una directory di sola scrittura sotto la directory pubblica del server. Il nome file sarà casuale del client, nessun numero ID sequenziale in modo da poterlo abbinare al dominio.

  3. Ho quindi SCP il file sul mio computer e lo ho eliminato immediatamente dal server web. Nessuna password verrà mantenuta qui.

  4. Ho salvato la password in un archivio password crittografato su una chiavetta USB crittografata.

Conosco fondamentalmente, poiché la password può essere decodificata non al 100%, ma è fondamentale che io possa leggere questa password come testo semplice.

Posso farlo meglio?

    
posta NightTrevor 03.08.2017 - 11:09
fonte

2 risposte

3

Se utilizzi una crittografia simmetrica, come AES, il server può decrittografarli poiché il codice simmetrico utilizza la stessa chiave per la crittografia e la decrittografia.

Un miglioramento consiste nell'utilizzare la crittografia asimmetrica come PGP. È possibile inserire la chiave pubblica nel server, che consente al server di crittografare i messaggi dai client, quindi scaricare i messaggi crittografati e decrittografarli con la chiave privata sul proprio computer.

Ancora meglio è se i tuoi client si cifrano contro la tua chiave pubblica, quindi il server non gestisce mai il testo in chiaro nemmeno momentaneamente (può anche essere qualsiasi normale server di posta), farlo correttamente è molto più complicato di quanto sembri ma è il più sicuro quando fatto bene.

Per praticità, ti suggerirei di utilizzare un gestore di password online con funzionalità di condivisione delle password, come Lastpass.

    
risposta data 03.08.2017 - 16:31
fonte
0

Non

Innanzitutto, quali password stai tentando di raccogliere? Se è l'accesso SSH, tu e i tuoi clienti dovreste usare comunque pubkey. Nel caso di pubkey potresti fornire loro la tua chiave pubblica e chiedere di aggiungerla al file .ssh / authorized_keys.

Se si tratta di un accesso FTP ... beh, la password viene comunque rimossa in testo chiaro, quindi forse non usare FTP.

Se questo è un portale web come un login su un sito wordpress ... dovrebbero davvero creare un account per te e darti l'accesso.

Le password condivise non sono MAI una buona idea. Anche se non fai nulla di malevolo, lo stesso cliente potrebbe aver hackerato il suo conto in banca e dato che usano la stessa password per tutto ... e tu sei l'unica altra persona che lo conosce ...

solo non

    
risposta data 03.08.2017 - 17:06
fonte

Leggi altre domande sui tag

Perché Windows Firewall ha così tante regole di eccezione per impostazione predefinita? Hai un codice di conferma paypal quando non ho nemmeno un account? [chiuso]