homeyou

Você já precisou enviar uma senha para alguém? Talvez um novo voluntário esteja ajudando a atualizar o site do seu clube, ou você precisa dar a alguém acesso à conta do Twitter da sua organização. Enviar uma mensagem de e-mail com todas as informações de login necessárias é a pior maneira possível de fazer isso, pois coloca o nome de usuário e a senha da conta em um pacote conveniente que potencialmente pode ser cheirado em trânsito, visto em um Mac desbloqueado ou encaminhado acidentalmente para O contato errado. Mesmo o uso de Mensagens, que possui um mecanismo de transporte seguro, não é ideal, uma vez que alguém que não seja o destinatário poderia escanear mais tarde o histórico de conversas e ver as credenciais da conta.

Uma melhor abordagem seria enviar o nome de usuário (e quaisquer URLs de login) no e-mail e, em seguida, enviar a senha separadamente em Mensagens, sem dizer que é o que você está fazendo. Dessa forma, alguém com acesso ao computador do destinatário teria mais problemas para conectar os dois bits de dados. Mas esse método não é infalível e todas as informações de login necessárias ainda podem ser transmitidas em vários locais acessíveis.

Uma solução melhor é oferecida por um site gratuito que eu corri recentemente, chamado Secretário-de-uma só vez. Conceitualmente, One-Time Secret é simples. Você insere algum conteúdo secreto como uma senha, clique em um botão e o site retorna um link que pode ser usado apenas uma vez para recuperar seu conteúdo secreto. Se o link não for usado dentro de 7 dias, ele expira. Links são assim:

https://onetimesecret.com/secret/azlfhb73410b2pl648epu5ajywxx9bs

Para usa Secretário-de-uma só vez, visite seu site, cole a senha relevante do seu gerenciador de senhas no campo "Conteúdo secreto vai aqui" e pressione o botão Criar um link secreto.

Copie o link gerado e envie-o para o destinatário.

Como você escolhe fazer isso depende da importância da conta. Para a maioria das situações, onde os hackers não estão ativamente segmentados para você e a conta em questão não protege dados confidenciais, provavelmente é bom enviar o nome de usuário e o link para a senha em mensagens de e-mail separadas para que não possam ser conectadas facilmente. Para mais segurança, envie o nome de usuário via e-mail e o link da senha via Mensagens (ou vice-versa). Seja qual for o método que você escolher, acompanhe o destinatário para se certificar de que eles foram capazes de recuperar a senha e armazene-a em seu gerenciador de senhas.

Esse acompanhamento é fundamental. Uma vez que um link secreto de senha única pode ser usado apenas uma vez, se o destinatário não conseguir acessá-lo, isso é uma evidência sólida que alguém fez. Se isso acontecer, altere essa senha imediatamente!

Essas maneiras de transferir uma senha sofrem de uma grande preocupação - e se alguém estiver interceptando todo o tráfego entre você e seu destinatário? Ou pior, comprometeu o computador do destinatário, de modo que o atacante possa ler todo o tráfego de mensagens de texto e mensagens de texto? Improvável, eu sei, mas você pode aumentar a segurança no One-Time Secret para resolver esta possibilidade. Em essência, você protegerá sua senha com outra senha.

Para fazer isso, quando você estiver criando seu link de senha, digite uma palavra ou frase no campo Passphrase (facilite o tipo, uma vez que você não vai comunicá-lo como texto). Em seguida, ligue para o destinatário - por telefone, Skype, FaceTime Audio, Google Hangouts, Slack ou o que quer que seja - e transmita a senha de forma audível. Quando eles usam o link secreto único que você envia, eles serão solicitados para essa frase secreta, que só eles poderiam saber, uma vez que foi transferida de uma maneira completamente diferente. Para o máximo em segurança, você pode comunicar a frase secreta de forma indireta com informações apenas que os dois provavelmente entenderão ("É o apelido que usamos para o desenvolvedor líder"). Sim, coisas de manto e punhal, eu sei.

A outra vantagem de usar uma frase-senha é que One-Time Secret usa para criptografar o conteúdo secreto. Sem usar uma frase secreta, o One-Time Secret deve armazenar seu conteúdo privado até que seja recuperado, criando uma janela de 7 dias durante a qual o site poderia ser invadido. Claro, desde que você esteja enviando apenas senhas, sem nomes de usuários ou outras informações de login, deve haver uma pequena chance de a senha estar conectada com a conta certa. Mas se você se preocupar com isso, basta usar uma frase secreta para criptografar seu conteúdo e comunicar a frase secreta pessoalmente.

Quando usado sem uma conta, seus segredos expiram após 7 dias e podem conter um máximo de 25 KB de texto. Se você se inscrever para uma conta gratuita, o tempo de expiração aumenta para 14 dias, e você pode comunicar até 50 KB de texto. Esses tamanhos máximos significam que você pode usar o One-Time Secret para mensagens que não sejam senhas, mas lembre-se de que o destinatário sempre pode criar uma cópia do texto. A outra vantagem de se inscrever para uma conta é que One-Time Secret pode enviar seus links por e-mail para destinatários para você, fazendo parecer que o e-mail vem de você. Esta não é uma grande vitória ao copiar e colar o link manualmente, mas pode ser útil em algumas situações.

Se você enviar um segredo para alguém e se arrepender imediatamente, a tela de confirmação fornece um botão Burn It que permite que você elimine seu segredo, de modo que o destinatário que segue o link não tenha idéia do que o segredo foi.

Para sysadmins que podem redefinir senhas de usuários, mas não querem conhecer as novas senhas, One-Time Secret oferece um botão "Ou Gerar A Random Password". Pretende-se simplificar o processo de criação e partilha de uma palavra, tornando-se um único passo.

Sysadmins e desenvolvedores também apreciarão o fato de que o código do One-Time Secret é de código aberto, para que você possa instalá-lo localmente e até possui bibliotecas de API e clientes. Isso pode ser sem sentido para aqueles que não são programadores, mas o resultado prático é que aqueles que se preocupam com o uso de um serviço de Internet podem hospedá-lo em um servidor seguro e, se houvesse backdoors desagradáveis ou outros problemas com One-Time Secret, alguém Poderia ter descoberto até agora.

(Depois que este artigo apareceu pela primeira vez em nosso site, fui informado de um aplicativo da Web concorrente chamado d-nota, que afirma ter uma melhor segurança. É também código aberto, e vem com instruções para instalar em seu próprio servidor. Embora d-note não possa gerar senhas aleatórias para sysadmins, ele pode criar um código QR que você envia para o destinatário, que a digitaliza para revelar a senha secreta em vez de seguir um link.)

Um final de lado. O problema que eu resolvo com One-Time Secret é um compartilhamento de senha incomum e incomum com pessoas cuja configuração técnica eu raramente conheço. Se você quiser compartilhar senhas com mais regularidade, os gerenciadores de senhas melhores 1Password e LastPass simplifique o compartilhamento, desde que todos usem o mesmo aplicativo. Em um mundo ideal, 1Password e LastPass integrariam o código de One-Time Secret ou d-note em versões futuras para fornecer compartilhamento de senha ad-hoc também.

Não consigo dizer que uso o One-Time Secret regularmente, mas eu me tornei bastante apaixonado, especialmente quando compartilho senhas com amigos não técnicos, já que ele mata a necessidade de usar senhas fortes e não se comunicar ou armazená-las com insegurança . Experimente a próxima vez que você precisa compartilhar uma senha!