¿Cuál es la mejor manera de enviar y recibir muchas credenciales de inicio de sesión?

5

Actualmente soy un desarrollador web para una empresa con muchos clientes remotos diferentes. Hay muchos nombres de usuario y contraseñas que necesito saber para poder hacer mi trabajo. Cuando comencé, pude obtener una buena cantidad de credenciales al leerlas en la computadora de mi jefe. Los guardé en mi computadora, en 1Password. Sin embargo, a medida que pasaba el tiempo, fue más conveniente para mi jefe enviar por correo electrónico las credenciales que no tenía, a veces sobre https, a veces no. Además, a veces los propios clientes necesitan enviarme sus credenciales de inicio de sesión, por ejemplo, para que pueda acceder a su cuenta de alojamiento.

Parece que obtengo nuevas credenciales con bastante frecuencia. Algunos de los clientes con los que trabajo no son demasiado informáticos, pocos lo son. ¿Hay alguna forma sencilla de mejorar la seguridad en este sistema? Dudo que la mayoría de mis clientes sepan cómo cifrar sus credenciales con sus claves privadas. He estado trabajando para esta compañía durante aproximadamente 6 meses y ya tuve que ayudar a un cliente a limpiar su sitio porque fue hackeado. Sin embargo, para ser justos, no estoy seguro de la frecuencia con la que piratean a nuestros clientes.

¿Hay algo que pueda hacer para mejorar este sistema o simplemente estamos condenados?

    
pregunta 425nesp 25.07.2013 - 01:04
fuente

2 respuestas

5

Primero, no puede enviar correos electrónicos a través de HTTPS. HTTPS es un protocolo de sitio web, no un protocolo de correo electrónico. Los intercambios de correo electrónico cifrados requieren que los servidores de correo se comuniquen mediante TLS o SSL. La mejor manera de intercambiar credenciales, si es absolutamente necesario hacerlo, es cifrarlas con una contraseña larga y segura o, mejor aún, una clave precompartida o usar una clave segura que se comparte mediante criptografía asimétrica para evitar que la clave ser accesible a alguien que lee el correo electrónico.

Secure FTP también es otra opción viable si tiene un sitio FTP seguro que se puede usar. De nuevo, se deben usar contraseñas de alta seguridad.

SFTP es probablemente el más simple, ya que puedes instalar un cliente bastante simple para que puedan cargarlo. La mayoría de las configuraciones de cifrado de correo electrónico serán demasiado complicadas para un usuario promedio, lamentablemente.

La forma más sencilla y sencilla sería utilizar algún tipo de sitio web HTTPS que les permita enviar las credenciales y protegerlas con una clave aleatoria que se cifraría con una clave pública que solo permita que la clave de credenciales se descifre después de la Las credenciales se eliminan de la máquina conectada a la web.

    
respondido por el AJ Henderson 25.07.2013 - 01:18
fuente
2

Respaldo la sugerencia de AJ Henderson de alguna aplicación de mensajería HTTPS no basada en correo electrónico que sus clientes puedan usar.

A falta de eso, simplemente podría cambiar la contraseña cada vez que se le envíen las credenciales de forma insegura, almacenando la nueva contraseña segura en su administrador de contraseñas.

Puede aprovechar esta oportunidad para educar a sus clientes: "Cambié la contraseña porque no es segura cuando más de una persona lo sabe". Luego pueden cambiarlo a otra cosa después de que hayas terminado.

    
respondido por el scuzzy-delta 25.07.2013 - 03:44
fuente

Lea otras preguntas en las etiquetas