Original:https://tidbits.com/article/16558

Задумчивое, подробное освещение Mac, iPhone и iPad, а также контент-сеть TidBITS для консультантов Apple.

Безопасное совместное использование паролей с помощью одноразовой секретности

Вам когда-нибудь нужно было отправить кому-то пароль? Возможно, новый доброволец помогает обновить веб-сайт вашего клуба, или вам нужно предоставить кому-то доступ к учетной записи Twitter вашей организации. Отправка сообщения электронной почты со всей необходимой информацией для входа - самый худший способ сделать это, поскольку он объединяет имя пользователя и пароль учетной записи в удобном пакете, который потенциально может быть взломан в пути, просматривается на разблокированном Mac или случайно отправлен на неправильный контакт. Даже использование сообщений, которые имеют безопасный механизм транспорта, не является идеальным решением, поскольку кто-то, кроме получателя, может позже просмотреть историю разговоров и увидеть учетные данные учетной записи.

Лучшим подходом было бы отправить имя пользователя (и любые URL-адреса для входа) в электронную почту, а затем отправить пароль отдельно в сообщениях, не сказав, что это то, что вы делаете. Таким образом, у кого-то с доступом к компьютеру получателя будет больше проблем с подключением двух бит данных. Но этот метод не является надежным, и вся необходимая информация для входа может по-прежнему жить в различных доступных местах.

Лучшее решение предлагает бесплатный веб-сайт, с которым я столкнулся недавно, называется One-Time Secret . Концептуально одноразовый секрет прост. Вы вводите секретный контент, например пароль, нажмите кнопку, и сайт вернет ссылку, которую можно использовать только один раз, чтобы получить секретный контент. Если ссылка не используется в течение 7 дней, она истекает. Ссылки выглядят следующим образом:

https://onetimesecret.com/secret/azlfhb73410b2pl648epu5ajywxx9bs

Чтобы использовать одноразовый секрет , зайдите на его веб-сайт, вставьте соответствующий пароль из своего менеджера паролей в поле «Секретное содержание идет здесь» и нажмите кнопку «Создать секретную ссылку».


Скопируйте созданную ссылку и отправьте ее получателю.


Как вы это решаете, это зависит от важности учетной записи. В большинстве случаев, когда хакеры активно не нацеливаются на вас, а соответствующая учетная запись не защищает конфиденциальные данные, вероятно, правильно отправить имя пользователя и ссылку на пароль в отдельных сообщениях электронной почты, чтобы они не могли быть легко подключены. Для большей безопасности отправьте имя пользователя по электронной почте и ссылку на пароль через «Сообщения» (или наоборот). Какой бы метод вы ни выбрали, следуйте за получателем, чтобы убедиться, что они смогли получить пароль и сохранить его в своем менеджере паролей.


Это наблюдение является ключевым. Поскольку ссылку на одноразовый секретный пароль можно использовать только один раз, если получатель не может получить к нему доступ, это убедительные доказательства того, что кто-то еще это сделал. Если это произойдет, немедленно замените этот пароль!

Эти способы передачи пароля страдают от одной серьезной проблемы: что, если кто-то перехватывает весь трафик между вами и вашим получателем? Или, что еще хуже, скомпрометировал компьютер получателя таким образом, что злоумышленник может читать весь трафик электронной почты и текстовых сообщений? Вряд ли, я знаю, но вы можете повысить безопасность в режиме тайм-аута, чтобы решить эту возможность. По сути, вы будете защищать свой пароль с помощью другого пароля.

Для этого, когда вы создаете ссылку на пароль, введите слово или фразу в поле Passphrase (упрощайте ввод, поскольку вы не собираетесь передавать его как текст). Затем позвоните своему получателю - через телефон, Skype, FaceTime Audio, Google Hangouts, Slack или что-то еще - и передайте кодовую фразу. Когда они используют одноразовую секретную ссылку, которую вы отправляете, им будет предложено ввести эту кодовую фразу, которую только они могли бы знать, поскольку она была перенесена совершенно по-другому. Для обеспечения максимальной безопасности вы можете косвенно передавать кодовую фразу с информацией, которую только вы могли бы понять («Это псевдоним, который мы используем для ведущего разработчика»). Да, плащ и кинжал, я знаю.


Другим преимуществом использования кодовой фразы является то, что One-Time Secret использует ее для шифрования секретного контента . Без использования ключевой фразы One-Time Secret должен хранить ваш частный контент до его получения, создавая 7-дневное окно, в течение которого сайт может быть взломан. Конечно, до тех пор, пока вы отправляете только пароли, без имен пользователей или другой информации для входа, должна быть исчезающая вероятность того, что пароль будет связан с правильной учетной записью. Но если вы беспокоитесь об этом, просто используйте кодовую фразу, чтобы зашифровать ваш контент и лично передать кодовую фразу.

При использовании без учетной записи ваши секреты истекают через 7 дней и могут содержать максимум 25 КБ текста. Если вы зарегистрируетесь на бесплатную учетную запись, срок действия увеличивается до 14 дней, и вы можете передавать до 50 КБ текста. Эти максимальные размеры означают, что вы можете использовать одноразовый секрет для сообщений, отличных от паролей, но помните, что получатель всегда может создать копию текста. Другим преимуществом регистрации для учетной записи является то, что One-Time Secret может отправлять свои ссылки по электронной почте получателям за вас, так как кажется, что письмо приходит от вас. Это не большая победа над копированием и вставкой ссылки вручную, но она может быть полезна в некоторых ситуациях.


Если вы отправите кому-то секрет и немедленно пожалеете об этом, на экране подтверждения появится кнопка «Сжигать», которая позволит вам удалить свой секрет, чтобы получатель по ссылке не имел никакого представления о том, в чем секрет.


Для системных администраторов, которые могут сбросить пароли пользователей, но не хотят знать новые пароли, One-Time Secret предлагает кнопку «Или создать случайный пароль». Он предназначен для упрощения процесса создания и совместного использования пароля, сделав его одним шагом.

Sysadmins и разработчики также оценят тот факт, что код One-Secret Secret является открытым исходным кодом, поэтому вы можете установить его локально и даже иметь API и клиентские библиотеки. Это может быть бессмысленным для тех, кто не является программистом, но практический результат состоит в том, что те, кто беспокоится об использовании интернет-сервиса, могут размещать его на защищенном сервере, а если есть неприятные бэкдоры или другие проблемы с тайной тайм-аута, кто-то Мог бы открыть их к настоящему времени.

(После того, как эта статья впервые появилась на нашем веб-сайте, мне сообщили о конкурирующем веб-приложении, названном d-note , которое утверждает, что имеет лучшую безопасность. Оно также является открытым исходным кодом и содержит инструкции по установке на вашем собственном сервере. Примечание не может генерировать случайные пароли для sysadmins, он может создать QR-код, который вы отправляете получателю, который сканирует его, чтобы открыть секретный пароль, а не следовать ссылке.)

Один конец в стороне. Проблема, которую я решаю с помощью One-Time Secret, - это редкий, одноразовый обмен паролями с людьми, чья техническая настройка я редко знаю. Если вы хотите регулярно делиться паролями, лучшие управляющие паролями, такие как 1Password и LastPass, упрощают совместное использование, если все используют одно и то же приложение. В идеальном мире 1Password и LastPass будут интегрировать код из One-Time Secret или d-note в будущие версии, чтобы обеспечить совместное использование паролей ad-hoc.

Я не могу сказать, что я регулярно использую тайм-тайм, но мне это очень понравилось, особенно при совместном использовании паролей с нетехническими друзьями, поскольку он забивает домой необходимость использования надежных паролей и не связывает их или не сохраняет их ненадежно , Попробуйте в следующий раз, когда вам нужно поделиться паролем!

Jamf Now - это решение для управления мобильными устройствами по требованию для
Ваши устройства Apple работают. Мы делаем управление простым и
Доступным, поэтому предприятия могут поддерживать своих пользователей. Нет необходимости в ИТ!
Создайте свою бесплатную учетную запись сегодня в < http://jamf.com/tb >!

Комментарии о совместном использовании паролей с одноразовой секретностью
(Комментарии закрыты.)

Dennis Fazio 2016-06-13 13:08
Если я собираюсь позвонить получателю, чтобы явным образом дал им кодовую фразу, чтобы расшифровать текст пароля, почему бы мне просто не дать им оригинальный пароль и пропустить все проблемы с веб-сайтом?
Адам Энгст An apple icon for a TidBITS Staffer 2016-06-13 15:14
Потому что очень сложно сказать каждый символ в 20-символьном случайном пароле. И если они ошибаются, вам нужно все это повторить.
Dennis Fazio 2016-06-13 13:18
Обычно я использую iMessage, который, как мне сказали, зашифрован до конца, а также на серверах Apple, каковы мои риски с этим методом (если я не использую свой Mac, который может иметь регистратор клавиатуры)?

Помогло бы нам, если бы мы оба удалили сообщение после подтверждения получения, чтобы удалить его с серверов?
Адам Энгст An apple icon for a TidBITS Staffer 2016-06-13 15:15
Удаление сообщения с обеих сторон помогло бы, так как оно устраняет возможность кого-то заниматься серфингом или иметь возможность просматривать стенограмму позже.
Роберт Морган 2016-06-21 10:51
Интересно, все ли мы становимся чересчур параноиками относительно отдаленной возможности того, что несанкционированный пользователь может получить доступ к нашей учетной записи. Быть осторожным в отношении наших паролей к нашим финансовым счетам - это одно, но с кем мы когда-либо делились ими? Я не могу предусмотреть сценарий, в котором кто-то захочет войти в мою учетную запись Twitter, и даже так, какой вред они могут сделать.
Адам Энгст An apple icon for a TidBITS Staffer 2016-06-21 11:02
Проблема в том, что вы никогда не знаете, какая информация может быть раскрыта или что может произойти, если кто-то может войти в одну из ваших учетных записей. В худшем случае это приведет к эффекту домино, где они могут попасть на несколько учетных записей, включая онлайн-банкинг.

Скорее всего, можно взять машину за отправку спама или участие в ботнете. Например, у моего местного бегущего клуба есть веб-сайт, к которому нужно обратиться нескольким людям, поэтому мы используем одноразовый секрет для совместного использования этого пароля. Учитывая, что это волонтерская организация, необходимость восстанавливаться после взлома может занять много времени.
Адам Энгст An apple icon for a TidBITS Staffer 2017-07-13 14:53
Для тех, кто хотел бы прочитать эту статью на португальском языке, вот перевод:

http://www.homeyou.com/~edu/compartilhe-as-senhas