Was ist ein sicherer Weg, um Passwörter über das Internet zu senden?

12

Ich suche nach dem besten Weg, um Passwörter sicher über das Internet zu senden. Optionen, die ich angeschaut habe, sind PGP und verschlüsselte RAR-Dateien. Es gibt keine anderen realen Parameter, als ohne allzu großes Risiko über das Internet von Punkt a nach Punkt b zu gelangen.

security password Jim B
quelle
4
Das mag seltsam klingen, aber warum sollte man das Passwort nicht per SMS senden, da jemand Skype empfohlen und angerufen hat? (Angenommen, die andere Seite hat ein Mobiltelefon, aber hey, wer hat heutzutage kein Mobiltelefon?)
Darius

Antworten:

25

PGP oder eine andere asymmetrische Verschlüsselungsmethode wäre der richtige Weg.

  1. beide seiten müssen ihren öffentlichen schlüssel veröffentlichen
  2. Signieren Sie Ihre Nachricht mit Ihrem eigenen privaten Schlüssel
  3. verschlüsseln Sie mit dem öffentlichen Schlüssel des anderen
  4. Übertragen Sie die Datei
  5. Nur der private Schlüssel des anderen kann die Nachricht entschlüsseln
  6. Ihr öffentlicher Schlüssel kann zur Validierung der Nachricht verwendet werden

=> sicher & privat

Lexu
quelle
+1 gute Erklärung.
MSANFORD
+1. Mir gefällt das sogar besser als meine eigene Antwort, weil es die Details enthält, wie es gemacht werden soll.
Milan Babuškov
Dies ist wahrscheinlich der beste Weg. Ich hatte gehofft, dass der Client etwas nicht installieren muss, aber dies ist die beste Antwort.
Jim B
+1 für GPG / PGP. Asymmetrische Verschlüsselung ist hier wirklich die beste Option.
Bran the Blessed
9

Jeder Mechanismus, der asymmetrische Schlüssel verwendet (wie SSL oder PGP), ist gut. Grundsätzlich bedeutet dies, dass Sie die Daten (in Ihrem Fall das Kennwort) mit dem öffentlichen Schlüssel einer anderen Person verschlüsseln. Sie können sie nur entschlüsseln, indem Sie auf den privaten Schlüssel zugreifen (was nur der Empfänger tut).

Das einzige, was Sie sich über PGP Sorgen machen müssen, ist, wem Sie vertrauen, da es leicht zu Spoofing kommen kann, wenn Benutzer ihre eigenen Schlüssel signieren.

Weitere Informationen hierzu finden Sie im Abschnitt zum Web of Trust im Wikipedia-Eintrag für PGP.

Milan Babuškov
quelle
2
Nur um denjenigen zu helfen, die nicht wissen, was dies ist und sie googeln, lautet der Begriff "asymmetrischer" Schlüssel (nicht asynchron), was bedeutet, dass beide Hälften des Schlüssels nicht gleich aussehen. :)
msanford
+1, da asymmetrische Schlüsselverschlüsselung die beste Lösung ist und auch eine Möglichkeit bietet, die Identität des Empfängers zu überprüfen (während eine verschlüsselte RAR dies nicht wirklich tut.)
msanford
1
+1 für die Erwähnung des asymmetrischen Schlüssels. Ich habe auch Ihren Beitrag bearbeitet, um den Tippfehler zu korrigieren.
KPWINC
8

Wie wäre es, den Empfänger mit Skype anzurufen ?

ceejayoz
quelle
2
+1, weil dies eigentlich keine schlechte Idee ist und zu wenig genutzt wird. Sicher, wenn Sie viele Schlüssel zum
Ausgeben haben,
1
Skype funktioniert gut, solange sich der Empfänger in der Nähe der gleichen Zeitzone befindet. Normalerweise würde ich nur mit POTS anrufen, aber diese Optionen sind einfach nicht verfügbar.
Jim B
Sind Sie im Ernst? Sicher "besser" als einfacher Text, aber niemand sollte so etwas empfehlen ...
lajarre
@lajarre Care zu erklären? Für die meisten Menschen wird Skype eine völlig akzeptable Methode sein.
Ceejayoz
@ceejayoz Wenn ich es richtig verstanden habe, empfiehlt diese Antwort dem OP, dem anderen Empfänger ein Passwort mit seiner Stimme über Skype mitzuteilen. Ich denke, meine Reaktion (die meiner Meinung nach die richtige ist, wenn Sie mit Ihren Passwörtern paranoid sein sollten) beruht auf der Tatsache, dass Skype proprietär ist. Bist du ein guter Hacker, um zu wissen, ob es sicher ist? Oder vertrauen Sie den Skype-Leuten? ZRTP-basierte Software wäre eine sichere Antwort. Ich bin nicht sicher, was "akzeptabel [für die meisten Leute]" bedeutet ...
lajarre
2

Sie sollten auch sicherstellen, dass der Empfänger das Kennwort ändern muss, bevor Sie den Dienst verwenden können, für den er bestimmt ist. Authentifizieren Sie die Änderung mit dem gesendeten Einmalkennwort. Dies bietet einen weiteren Schutz vor Diebstahl - und / oder eine etwas bessere Chance, einen zu entdecken, wenn der Dieb ihn ändern musste, sodass dem echten Benutzer der Zugriff verweigert wird ^^

Oskar Duveborn
quelle
1

Senden Sie einen einmaligen Link, der auf eine Seite (mit SSL) verweist, auf der das Kennwort erstellt werden kann. Wenn jemand den Link entdeckt, ist es wahrscheinlich zu spät, um ihn zu verwenden. Sie benötigen eine Art Reset-Funktion, nur für den Fall, dass der Link abgefangen und vor dem beabsichtigten Empfänger verwendet wird.

Wayne Sheppard
quelle
1

Wenn Sie Windows verwenden, sollten Sie Security Now 201: SecureZip anhören

AFAIK SecureZip implementiert / automatisiert den oben beschriebenen asymmetrischen Verschlüsselungsansatz .

Lexu
quelle
1

Vielleicht möchten Sie NoteShred ausprobieren. Es ist ein Tool, das genau auf Ihre Bedürfnisse zugeschnitten ist. Sie können eine sichere Notiz erstellen, jemandem den Link und das Passwort senden und sich nach dem Lesen "zerreißen" lassen. Die Notiz ist weg und Sie erhalten eine E-Mail-Benachrichtigung, in der Sie darüber informiert werden, dass Ihre Daten zerstört wurden.

Es ist kostenlos und erfordert keine Anmeldung.

https://www.noteshred.com

Cheyne
quelle
1

Wenn es einmalig ist, können Sie mein Tool verwenden: http://tanin.nanakorn.com/labs/secureMessage

Für die RSA-Verschlüsselung wird Javascript verwendet. Daher verlässt Ihr Passwort niemals den Computer Ihres Freundes. Weitere Informationen finden Sie unter FAQ auf der obigen Seite.

Um dies regelmäßig zu tun, ist es besser, PGP- oder SSH-Schlüssel zu verwenden, damit Sie nicht jedes Mal ein neues Schlüsselpaar generieren müssen.

Tanin
quelle
0

Ich neige dazu, synchrone Methoden für die Passwortübertragung zu verwenden. Oft schreibe ich einfach eine IM und sage ihnen, dass das Passwort, auf das sie warten, xxxxxx ist. Auf diese Weise gibt es keine Identifikation des Servers, auf dem das Passwort funktioniert, und ich kann es senden, wenn ich weiß, dass die Person dort sitzt, um das Passwort sofort zu ändern.

Catherine MacInnes
quelle
Darüber hinaus können Sie mit IM einen OTR-fähigen Client wie Pidgin oder Adium verwenden oder Skype zum Verschlüsseln von IMs verwenden (obwohl ich nicht sicher bin, welche Stufe ich habe).
Msanford
0

Sie geben nicht viele Details darüber an, was benötigt wird, aber ich behalte meine Passwörter in einer Keepass-Datei, die in einer Dropbox gespeichert ist.

Greeblesnort
quelle
0

Wir haben nur eine Web- und eine mobile App herausgebracht, um einiges davon zu erledigen. Es erstellt zufällige URLs für Anmeldeinformationen, ähnlich einem URL-Shortener, unter Verwendung von HTTPS und einer Hash- / AES-Verschlüsselungsmethode für die Speicherung. Es gibt eine einfache API für Entwickler, hier ist unsere Beschreibung, vielleicht ist es die einfache Lösung, die Sie brauchen. Http://blog.primestudiosllc.com/security/send-time-limited-secure-logins-with-timebomb-it


quelle
-2

Ein HTTPS-verschlüsseltes Webformular funktioniert möglicherweise gut. Ich würde mir Sorgen um die RAR-Datei machen, denn wenn jemand die gesamte Datei erfasst, könnte er das Passwort brutal erzwingen, bis es kaputt geht. Das Aufzeichnen und Zusammenstellen eines HTTPS-Streams ist nicht einfach, insbesondere bei einer großen Schlüsselgröße. Sie könnten dann in einer verschlüsselten Datenbank oder etwas anderem gespeichert und möglicherweise auch nur über ein sicheres Webformular abgerufen werden.

PGP würde auch funktionieren, wenn Sie die privaten Schlüssel sicher austauschen könnten und darauf vertrauen könnten, dass diese am anderen Ende nicht gefährdet sind.

Matt
quelle
Irgendwelche Gedanken darüber, wie man weiß, wer dieses Webformular / diese Webseite dann anfordert? Wenn der Benutzer das Kennwort noch nicht kennt, kann er sich auch nicht authentifizieren.
Arjan
3
Asymmetrische Schlüsselverschlüsselungsverfahren wie PGP / GPG sind speziell so konzipiert, dass Sie Ihre privaten Schlüssel NICHT austauschen müssen. Sie tauschen Ihre öffentlichen Schlüssel aus, die als öffentlich bezeichnet werden, weil sie genau so öffentlich sein sollten. Es ist nicht erforderlich, Ihre öffentlichen Schlüssel zu verbergen, sondern nur Ihre privaten.
Mikael Auno
1
Entschuldigung, ich habe die ursprüngliche Frage falsch verstanden. Ich nahm an, dass dies für eine interne Sache und nicht für neue Benutzer oder etwas war. Die Verschlüsselung mit öffentlichen Schlüsseln wäre der richtige Weg, um das zu erreichen, was Sie wollen, denke ich.
Matt