O que os outros fazem para proteger senhas de FTP? Meu cenário não parece tão único para contratar desenvolvedores da Web e empresas de marketing / design na web, mas ter dificuldade em encontrar as respostas que eu gosto online.
O cenário:
Eu tenho acesso a muitos sites FTP, em servidores diferentes e a nenhum servidor que possuo ou controle. A maioria das pessoas que me fornecem essas credenciais tem habilidades técnicas muito limitadas, e várias não sabem como alterar uma senha ou configurar uma conta separada para mim. Menos de 1% usa SFTP ou SSL sobre FTP, portanto, na maioria das vezes, as senhas de "texto simples" são transmitidas.
Se essas senhas caírem nas mãos erradas, isso se torna uma verdadeira bagunça, parcialmente porque pode levar dias para alterar a senha ou desabilitar a conta / etc. Por isso, posso gastar muito tempo limpando o site infectado, apenas para infectá-lo novamente, até que eles finalmente descubram como alterar a senha.
Ideias que tive até agora:
Use o KeePass apenas para armazenar senhas criptografadas e se sentir "seguro o suficiente". Eu não gosto dessa idéia, porque qualquer vírus que assiste ao tráfego de rede ainda pode ver todas as minhas senhas de FTP. Um vírus pode estar no meu sistema por semanas ou meses e ter muitas senhas.
Tenha um PC separado que eu use somente para FTP e armazene senhas nele com o KeePass. O principal problema aqui é que eu preciso ser capaz de trabalhar em qualquer lugar, em casa / remoto / etc, e eu não quero carregar dois laptops comigo. Eu precisaria de acesso remoto à área de trabalho, provavelmente, mas, em seguida, um hacker poderia obter a senha RDP com um keylogger / etc e remoto para esse PC. Eles também podem obter a senha do KeePass e o arquivo (uma vez que tenham a senha do RDP).
Um PC com o VMware. Nunca faça nada no "host" (não-VM) para que ele nunca "obtenha" um vírus e tenha uma VM em que eu trabalhe, e outra somente para FTP (que também nunca deve receber um vírus). Soa como a melhor rota até agora, mas o hardware necessário para rodar uma VM assim, e ainda ter velocidade decente, parece caro. Só para mim (sem contar com outros funcionários) eu precisaria de 3 dessas caixas, porque eu gosto de ter um PC desktop no trabalho, em casa e na minha cabine.
Um PC com todas as informações de FTP armazenadas nele, E SEM ACESSO a ele, exceto via FTP / SFTP ou algum protocolo / programa proprietário. Este "servidor" seria como um proxy FTP ou algo assim, exceto que também injetaria as informações de login antes de enviar para o servidor FTP real. Assim, o cliente FTP no meu PC enviaria apenas o host / URL e o nome do usuário, mas sempre enviaria "senha" ou "em branco" como senha, e o "proxy" do FTP procuraria a senha real em um banco de dados. e modifique o fluxo antes de enviar para o servidor real. Eu só poderia atualizar o banco de dados de senhas do servidor (console) e nunca executaria nenhum aplicativo / etc. no servidor.
Um cliente FTP que permite controle remoto. Então eu poderia instalá-lo em uma caixa muito segura e depois controlá-lo remotamente de outro. Pelo menos, se outra pessoa obtivesse acesso a controle remoto, ainda assim não conseguiria obter as senhas dela, de modo que elas só pudessem invadir os sites, mas não continuassem a fazer isso repetidamente.
Conclusão (até agora):
O 4 e o 5 são os únicos que começam a parecer seguros para mim (desde que o proxy ou o cliente controlado remotamente não tenham vulnerabilidades), mas não creio que nenhum deles exista. Eu acho que 5 poderia ser algo como um site que hospeda um cliente FTP para você, então você faz login e gerencia suas contas FTP (mas nunca tem uma maneira de recuperar uma senha, depois de entrar nela), e faz todo o seu FTP coisas através deles. Assim, enquanto o servidor estiver seguro, as informações e o tráfego da sua conta também são. Talvez um provedor "Web para FTP"? Eu gostaria que a interface fosse realmente fácil, como copiar / colar, como eu posso fazer com a maioria dos clientes FTP - isso pode ser um problema no mercado, eu acho. Um hacker poderia obter minhas informações de login para este serviço e usá-lo para sites do lixo, mas pelo menos não poderia obter as credenciais de FTP.
Antes de dizer "apenas use o software antivírus" ... tivemos as versões mais recentes do Avast e do MS Security Essentials em dois PCs diferentes, e os dois ainda foram infectados por algo que enviou várias senhas de FTP para a Ucrânia . Muito embaraçoso para nós, ter que pedir aos clientes para trocarem as senhas FTP, e ter que esperar vários dias para que alguns deles descobrissem como (enviar e-mails para suas empresas de hospedagem, porque eles não têm suporte por telefone, e foi mais um fim de semana ).
p.s.- Somos um escritório baseado em Windows, portanto, procurando por soluções baseadas em Windows ... ou pelo menos clientes baseados em Windows podem acessar (se um servidor Unix).
Isso não é problema seu. Se uma terceira parte escolher apenas fornecer métodos não seguros para você usar, não será sua culpa se o servidor estiver comprometido.
Melhor solução: treine-os sobre o motivo da insegurança e solicite a contratação de terceiros para resolver o problema. Se você tiver dado a eles um aviso justo para a insegurança do protocolo FTP e eles ainda escolherem usar o FTP, então essa é a escolha deles e você deve respeitá-lo.
Como você afirma em sua pergunta, o FTP não é seguro. Senhas de texto não criptografado são um desastre esperando para acontecer. O melhor que você pode fazer é se conectar apenas a servidores FTP em redes confiáveis, por exemplo, não wifi público. Se você precisar se conectar ao servidor FTP e não puder confiar na rede, encaminhe sua conexão FTP por meio de algo seguro, como uma conexão VPN ou um túnel SSH, para um servidor que você controla. O ideal é que esta máquina esteja o mais próxima possível do servidor FTP. Procurar por "encaminhamento de porta SSH com o PuTTY", usando o PuTTY para encaminhar para um VPS Linux barato, é provavelmente a solução mais fácil.