A melhor maneira de comunicar senhas e credenciais com segurança aos clientes?

6

Frequentemente, acabo fazendo a administração do servidor para clientes como parte do desenvolvimento de aplicativos da web, sempre configuro o acesso para mim mesmo usando um par de chaves SSH . Eu geralmente acabo escolhendo uma senha aleatória para a conta root e enviando por e-mail para meus clientes. O cliente às vezes nem precisa ter acesso, eu só quero ter certeza e não ser o único detentor das chaves no caso de não estar disponível, ou elas mudarem para outro desenvolvedor.

Para clientes não técnicos, qual é a melhor maneira de gerenciar, armazenar e comunicar senhas importantes e credenciais?

Pessoalmente, eu uso Lastpass , mas pedir um cliente para se inscrever para compartilhar uma senha que não pode ser usada pelo navegador parece um pouco off.

    
por Daniel Beardsley 23.06.2010 / 16:49

4 respostas

3

Se eu for o único administrador de uma organização e ninguém mais tiver a habilidade ou inclinação técnica para gerenciar os sistemas, minha preferência pessoal é demonstrar que as senhas funcionam e, em seguida, entregá-las ao cliente no papel. caixa (eu uso caixas de KeySure link ).

Se eu for atropelado por um ônibus, saia ou me liberte, tudo que eles precisam fazer é abrir a caixa e eles têm todas as senhas que eu configurei / alterei.
Se eu ainda estiver por perto e notar que a caixa de chaves foi quebrada, sei que alguém tem as senhas que não deveriam (ou alguém que deveria tê-las tocando coisas sem me avisar) - Isso oferece alguma proteção contra significa gente tentando "consertar" um problema e destruir um ambiente estável.

Em empresas maiores como a que estou agora, a parte de trás do nosso livro Operações do Site contém uma página de senhas (criptografadas por PGP) para coisas que não usam autenticação baseada em chave. As senhas são acessíveis para os executivos de nível C da empresa, bem como para os administradores sênior & desenvolvedores, seja cortando e colando de um PDF do livro Ops do Site ou no pior caso, cuidadosamente, re-digitando o bloco criptografado.

    
por 23.06.2010 / 17:12
1

Você pode usar algo como um arquivo .ZIP protegido por senha por meio do link com um download e uma data de expiração únicos. Você pode ligar e fornecer a senha do zip e da caixa de depósito pelo telefone e enviar o link por e-mail.

Também enviei mensagens de texto ou telefonei para metade da senha, enviei um e-mail para a outra metade ou uma combinação de ambas.

    
por 23.06.2010 / 16:58
0

Como parece que você reformulou sua pergunta, se estiver no site, eu pegaria uma cópia do KeyPass e a instalaria. em uma chave USB ou em seu servidor. Ele usa criptografia Blowfish, não requer instalação e pode armazenar todas as suas senhas em um local seguro.

    
por 23.06.2010 / 18:59
-3

O Skype IM usa criptografia, portanto, se o cliente usa isso, isso pode funcionar para você.

    
por 27.01.2012 / 21:42