客户如何轻松安全地向我发送密码？[关闭]

我经常需要从客户端获取FTP，SSH，MySQL，Authorize.net等的密码。

他们安全地向我发送密码的简便方法是什么？甚至无需他们也不需要登录名/密码？

加密的IM会话很容易与非技术人员建立。电话打扰了我的注意力，需要安排。（无论如何，VOIP呼叫安全吗？）

理想选择：非技术人员发送加密电子邮件的简便方法。PGP / GPG不会削减它，除非Outlook具有一些超级简单的内置向导。（你永远都不会知道...？）

好：我可以托管和运行基于SSL的基于Web的安全消息系统（希望使用PHP）。我一直找不到这样的东西。

也许我问的是错误的事情或错误的方式。任何建议表示赞赏！

您对基于Web的邮件系统的想法可以在安装了SSL Web服务器和GPG的任何系统上用几十行HTML和PHP（主要是html）来实现。它实际上只是一个非常简单但专门的formmail类型程序。您甚至可以破解一个现有的formmail CGI脚本，以插入对GPG的调用（假设还不存在，请尝试使用Google搜索for formmail + GPG）

• 如果尚未这样做，请在工作站上安装gpg并创建公用和专用密钥
• 创建一个php页面，该页面显示一个接受消息的表单（文本字段），使用您的公钥用gpg对其进行加密，然后通过电子邮件发送给您。在脚本中硬编码您的电子邮件地址（即发件人不允许指定发送给谁）
• 在现有的SSL服务器上安装php页面，或仅为该任务创建一个。自签名证书足以胜任此工作。
• 在需要他们向您发送登录名和密码时，告诉您客户的网址。

顺便说一句，雷鸟有Enigmail插件，这使得使用GPG加密非常容易。但是对于休闲用户来说，这仍然可能带来太多麻烦。

PGP很受欢迎。

您也可以尝试在池塘开会的可靠方法，最好两个人都穿着风衣。

这是文本文件和电话之间的组合：

让您的客户端将密码放在纯文本文件中，然后将文本文件放入受密码保护的zip文件中。（7zip是免费的开放源代码）。让他们通过电子邮件将加密的.zip / .rar / .7z文件发送给您，然后使用其用户名和zip文件的密码进行呼叫。

这样可以防止任何人打开zip文件，即使他们打开了，也只是一个密码，如果没有其他任何信息（例如用户名和使用位置），它就不会给您任何东西。

此外，这是通过电子邮件将“禁止”文件类型（例如.exe）发送给扫描附件和内部zip的电子邮件客户端的方法。在这种情况下，我通常只在电子邮件中包含压缩文件的密码，通常是“密码”。但是，足以阻止电子邮件软件检查内容。

不要使事情复杂化，也不要高估客户发送给您的内容的重要性。

如果任何一台计算机都在运行密钥记录器，则没有任何加密方法可以保护这些宝贵的密码。

我不会通过Internet发送真正敏感的密码（例如管理员的密码），但是不会发送您提到的应用程序？确保他们没有机会抓住别人可能会拦截您的电子邮件的做法是不值得的。

如果您的客户担心，他们有几种选择：

1. 了解如何发送加密的电子邮件。
2. 如果可能，发送传真。
3. 蜗牛邮件？（大声笑）
4. 使用语音字母在电话中清楚地说出

在分片Dropbox中设置密码安全文件，以便客户端可以根据需要添加密码。

乔尔在这里描述了这项技术

那Cryptocat呢？安全，易于使用，您只需要一个浏览器。有关详细信息，请参见“ 关于”页面。

正如伊恩·邓恩（Ian Dunn）所指出的那样，该系统存在一个缺陷，即攻击者可能伪装成您的客户端。在这种情况下，唯一的安全性就是聊天室的名称，该名称随后将成为密码。问题转移了，但没有解决。

但是，我经常需要向客户发送30多个字符沙拉（我们称其为密码），而我通常在通过电话与他们交谈时使用crypto.cat来交换凭据。这对我来说似乎很安全，客户可以使用CTRL+C。

您可能要尝试使用NoteShred。该工具几乎可以满足您的确切需求。您可以创建安全笔记，将链接和密码发送给某人，并在他们阅读后将其“切碎”。记事不见了，您会通过电子邮件收到通知，以通知您您的信息已被破坏。

它是免费的，不需要任何注册。

https://www.noteshred.com

Skype的即时消息已加密。

现在，这里是必要的警告：Skype不是开源的，因此您不知道他们是否做得很糟糕，或者是否安装了政府后门程序，或者是否将所有消息复制到IT部门的Bob中，但是现有的最佳证据表明这是安全。

通过蜗牛邮件发送的加密USB密钥上的文本文件如何处理

此过程并非在所有情况下都有效，但我认为这对多用户系统（例如CMS或托管控制面板）是有益的：

1. 客户通过电话给您打电话。
2. 当您在电话上时，客户端将登录到系统并专门为您创建一个新的管理员帐户，而不是让您访问其现有帐户。
3. 他们为初始密码选择了一个相对简单，随机（但超过15个字符）的密码短语（例如，本周末开车到波特兰或我的耳机在哪里）
4. 他们通过电话告诉您密码短语。
5. 您立即登录到系统，并将密码重置为真正可靠的密码，例如＃] t'x：} = o ^ _％Zs3T4 [＆＃FdzL @ y> a26pR“ B / cmjV。
6. 您将最终密码存储在密码管理器中。

这种方法的优点是：

1. 对于客户而言，这相对简单。他们只需要知道如何在系统上创建帐户即可。如果他们遇到麻烦，可以在通话时引导他们进行操作。
2. 这对您来说也相对简单。您不必处理设置和共享加密文件，托管自定义表单应用程序等问题。
3. 它使用密码短语（而不是密码），因此临时密码易于通过电话进行通信，但也相对安全。
4. 最终密码永远不会传输（当然，除了重设密码表单外，但应由系统加密）。
5. 客户端永远不会知道最终密码，因此他们不会意外地将其公开给攻击者。当然，他们仍然可以公开自己帐户的密码，但是事后的事后调查可以将漏洞渗透到他们的帐户，而不是您的帐户；）

初始密码短语是链中最薄弱的环节，因为它的熵相对较低，并且无法通过电话传输。但是，它仍然具有约100位的熵，并且只能生存15-90秒。在我看来，除非您正在从事高度敏感的工作，或者您知道自己当前正被一名优秀的黑客作为攻击目标，否则这已经足够了。

该线程中的一些人建议创建一个Web应用程序来完成此操作。实际上，有些人甚至创造了自己的。坦白说，依靠陌生人来提供这样的服务并不是一个好主意。我实现了一个基本的Web应用程序，该应用程序使用户能够通过简单的Web界面交换密码，并根据MIT许可证免费提供。

在这里查看：https : //github.com/MichaelThessel/pwx

在您自己的基础架构中进行设置需要花费几分钟，您可以仔细检查源代码。我一直在与客户一起使用自己的安装程序达数月之久，即使是非技术人员也可以立即购买。

如果您想在不首先安装的情况下测试该应用程序，可以在这里查看：

https://pwx.michaelthessel.com

如何通过旧的短信发送密码？这非常简单，只要您不在文本中提供任何其他信息，就很难弄清楚它的去向。

这需要更多的努力，但也可以节省客户端时间：

使用Roboform之类的工具对其进行设置，但将数据存储在Web上以便您访问。当他们登录某个地方时，RF会保存密码，并且您可以使用该密码。

缺点：
*不确定Roboform的在线存储的安全性*您随后可以访问所有客户端密码，并且他们可能不喜欢该主意。

将Outlook或Thunderbird与S / MIME一起使用很容易，但更好的方法是让他们给您打电话并为您读取密码-如果您想变得很棒，请让他们向您阅读其中的一部分，然后以文本形式发给您并通过电子邮件发送给您另一部分。

如果使用是非常临时的，例如一次性故障排除或文件传输，则此安全级别可能是不必要的。让客户暂时将密码更改为您知道的密码，进行工作，然后让客户再次更改密码。即使发现了临时密码，在将其用于恶意目的之前也将作废。

我的一个朋友专门出于以下原因创建了此网站：https : //pwshare.com

对于我和托管世界中的朋友来说，这是个快速向客户发送密码的好工具。

在“关于”页面上：https: //pwshare.com/about PWShare使用称为RSA的公共/专用密钥加密规范。当客户端想要发送密码时，从服务器请求公共密钥。

然后，客户端在将密码发送到服务器之前对密码进行加密。因此，服务器不知道或存储解密的密码。

只有使用包含私钥标识符和密码的链接，才能解密密码。

我建议使用像axcrypt之类的东西。它非常直观，因此即使是技术上有挑战的人也可以使其正常工作。

在此处下载AxCrypt

使用AxCrypt时，您或您与之打交道的任何人都可以创建带有所有密码/敏感信息的文件，然后使用密码对其进行加密。我总是建议至少通过电话或亲自交流密码短语（这是最佳选择）。AxCrypt使用了不错的加密技术，因此可以确保它可以将除了最坚决的对手之外的所有攻击者拒之门外。AxCrypt最好的部分是它作为资源管理器扩展集成到Windows中。在Windows资源管理器中，您所需要做的就是右键单击文件以对其进行加密/解密/

狩猎愉快！