¿Cómo puedo recopilar las contraseñas de mis clientes?

Navega tus respuestas
2

Soy un desarrollador web que a menudo toma el control del sitio web actual de los clientes. Los clientes a menudo me envían su contraseña de CPanel por correo electrónico. Sé que esto es malo, pero no conozco una alternativa segura.

Esto es lo que he encontrado ...

  1. He creado un formulario de "credenciales" en mi servidor dedicado cifrado con SSL que acepta SOLAMENTE la contraseña (no se hace referencia al dominio o nombre de usuario que solicito por correo electrónico)

  2. El formulario publica la contraseña en mi script php que encripta la contraseña con aes-256-ctr y la guarda en un directorio de solo escritura debajo del directorio público del servidor. El nombre del archivo será el número de identificación aleatorio, no secuencial del cliente, de modo que pueda coincidir con el dominio.

  3. Luego, SCP el archivo a mi máquina y lo elimino inmediatamente del servidor web. No se guardarán contraseñas aquí.

  4. Guardo la contraseña en un almacén de contraseñas cifradas en una memoria USB cifrada.

Lo sé fundamentalmente, porque la contraseña se puede descifrar, no es 100% segura, pero es fundamental que finalmente pueda leer esta contraseña como texto sin formato.

¿Puedo hacerlo mejor?

    
pregunta NightTrevor 03.08.2017 - 11:09
fuente

2 respuestas

3

Si está usando un cifrado simétrico, como AES, entonces el servidor puede descifrarlos ya que el cifrado simétrico usa la misma clave para el cifrado y descifrado.

Una mejora es utilizar el cifrado asimétrico como PGP. Puede poner la clave pública en el servidor, lo que le permite cifrar los mensajes de los clientes, luego descargará los mensajes cifrados y los descifrará con la clave privada en su propia máquina.

Aún mejor si sus clientes se cifrarían contra su clave pública, de modo que el servidor nunca maneja el texto sin formato ni siquiera momentáneamente (incluso puede ser cualquier servidor de correo regular), hacerlo de manera correcta es mucho más complicado de lo que parece, pero es lo más seguro cuando se hace bien.

Sin embargo, por razones prácticas, sugeriría usar un administrador de contraseñas en línea que tenga la función de compartir contraseñas, como Lastpass.

    
respondido por el Lie Ryan 03.08.2017 - 16:31
fuente
0

No lo hagas

En primer lugar, ¿qué contraseñas está intentando recopilar? Si se trata de acceso SSH, usted y sus clientes DEBERÍAN utilizar pubkey de todos modos. En el caso de pubkey, puede darles su clave pública y pedirles que la agreguen al archivo .ssh / authorized_keys

Si se trata de acceso a FTP ... bueno, de todos modos, la contraseña se ha cambiado en texto sin cifrar, así que tal vez no use FTP.

Si se trata de un portal web como un inicio de sesión en un sitio de wordpress ... realmente deberían crear una cuenta para ti y darte acceso.

Las contraseñas compartidas NUNCA son una buena idea. Incluso si no haces nada malicioso, ese mismo cliente podría ser pirateado en su cuenta bancaria y dado que usan la misma contraseña para todo ... y tú eres la única otra persona que lo sabe ...

simplemente no lo hagas

    
respondido por el CaffeineAddiction 03.08.2017 - 17:06
fuente

Lea otras preguntas en las etiquetas

Modelado de amenazas de vigilancia aplicado a categorías sociales ¿Ocurre el secuestro de sesión / suplantación de IP en tiempo real?