melhor maneira de enviar uma senha - por mensagem de texto?

3

Quando eu preciso enviar uma senha para alguém, geralmente envio todas as informações, exceto a senha (ou seja, servidor e usuário) através de um determinado canal (e-mail, mensagens instantâneas, etc.) e a própria senha (sem explicação é para) por mensagem de texto.

Isso é aceitável ou existe um método melhor?

    
por JoelFan 17.02.2011 / 07:22

6 respostas

3

O destinatário pretendido pode precisar repetir a solicitação se não receber a mensagem. No entanto, você deve considerar que é bastante comum que as pessoas recebam e-mails e mensagens instantâneas em seus telefones, para que a comunicação não seja tão separada quanto você possa imaginar. Considerando que uma solicitação pode ser iniciada a partir do telefone, não é tão seguro assim.

    
por 17.02.2011 / 08:00
3

Enquanto compartilho algumas das preocupações de outros correspondentes, também observo um argumento de pragmatismo.

Eu tenho que emitir muitas senhas para pessoas em outros países. Eu não os conheço; Não tenho como entrar em contato com eles cara a cara; Eu não posso contratar um mensageiro para entregar uma senha a cada vez; e os atrasos do correio (que também não é de forma alguma um serviço de pessoa para pessoa garantida) são considerados inaceitáveis.

Então, o que é um sysadmin para fazer? Eu tenho que obter senhas para as pessoas de alguma forma , ou ninguém nunca será capaz de fazer o login.

Então, por algum tempo eu fiz como você faz. Eu preciso de um número de telefone GSM para cada nova solicitação de senha (ou alteração) validada, e eu envio a senha por SMS para esse número; nome de usuário, endereços de sistema, etc., todos passam por e-mail do sistema de tíquetes que eles usaram para registrar a solicitação. A única ruga que eu adicionei é a pré-expiração da senha, que exige que ela seja alterada no primeiro login. No Linux, faço isso com chage -d 0 username após definir a senha e no Solaris com passwd -f username .

Isso significa que o token não é infinitamente reutilizável se for divulgado; um chapéu preto que vem através da mensagem de texto descartada só saberá o que a senha costumava ser. Isso também significa que, se alguém conseguir primeiro, eu vou descobrir, porque o usuário legítimo não conseguirá fazer o login depois que o black hat chegar lá e modificá-lo primeiro.

Ainda não é perfeito, e ainda há maneiras de falhar, mas ainda não encontrei nada melhor. Alguém?

    
por 17.02.2011 / 09:24
3

Eu acho que você pode se surpreender com o quão comum é esta prática e, de forma realista, é bastante aceitável para muitos casos. No entanto, como você obviamente já suspeita, está longe do ideal.

Idealmente, a comunicação deve ser criptografada usando alguma forma de segredo pré-compartilhado, mas é claro que o próprio compartilhamento desse segredo apresenta problemas. PGP / GPG é uma ótima solução para o problema. Isso costumava ser uma prática bastante comum, mas, tanto quanto eu posso dizer, não é muito usado hoje em dia, embora eu não consiga entender por que não. A última vez que verifiquei o GPG estava disponível gratuitamente para todas as principais plataformas.

    
por 17.02.2011 / 09:46
2

Você deve ter uma maneira de ter certeza de que seu correspondente é o único que sabe a senha:

  • a mensagem de texto chega à pessoa certa
  • a mensagem de texto não foi lida por mais ninguém, durante e após a transmissão. Suponha que o seu correspondente tenha colocado a mensagem de texto na parte de trás de seu teclado depois de recebê-lo
  • seu correspondente (e mais ninguém) alterou a senha. Se a senha não foi alterada, há pelo menos duas pessoas que conhecem a senha: você e seu correspondente.

Você também precisa de uma maneira de saber se um dos pontos anteriores não aconteceu e, nesse caso, uma maneira de desativar o acesso ao recurso protegido.

Se for aceitável ou não, depende do recurso que você gostaria de proteger. Se você quer apenas proteger as fotos das últimas férias e só importa que elas não sejam livremente visíveis pelos mecanismos de busca na Internet, mas exijam uma senha para acessá-las, é provavelmente menos importante do que o acesso a documentos confidenciais do seu site. empresa.

    
por 17.02.2011 / 07:59
2

Uma criptografia assimétrica (por exemplo, RSA) é provavelmente a maneira mais segura.

Seu amigo envia a chave pública que você usará para criptografar senhas. Então, seu amigo usa a chave privada para descriptografá-lo.

Encontrei essa dor e decidi criar uma ferramenta simples para resolver essa dor: link

Ele usa o Javascript para fazer a criptografia RSA. Portanto, sua senha nunca sai da sua máquina ou da do seu amigo. Além disso, as chaves são destruídas quando você sai da página.

Uma ressalva é que, se você sair da página, perderá sua chave privada ... então essa ferramenta pode ser melhor para enviar senhas por mensagens instantâneas (não por e-mail)

    
por 26.12.2014 / 15:17
0

Pode querer considerar alguma forma de autenticação de dois fatores. A validação de identidade responde anteriormente faz sentido e é uma preocupação válida.

Outra opção que faço algumas vezes é tirar uma foto de uma senha escrita, usar MMS ou qualquer outra coisa. Não é tão fácil "detectar" no caso de rootkits / malware que você pode estar tentando evitar.

    
por 23.06.2016 / 17:29

Tags