• Moderatrice

    Come passare le password ai clienti in piena sicurezza?

    Ultimamente, mi rendo conto che

    • dimentico le password
    • tendo a mettere la stessa (MALISSIMO)
    • clienti che le dimenticano di continuo e non salvano mai le mail con cui le mando

    Avete consigli di software e magari di qualche script criptato per far accedere ai clienti per le proprie password?
    Sarebbe fantastico la vista tabellare.

    Ho clienti un po troppo dummy


    G 1 Risposta
  • Bannato Super User

    @caygri-com

    Una persona che conosco quando ha effettuato degli acquisti su internet ha ricevuto le password via sms, dunque ha ricevuto prima email con gli allegati (documentazione, file, archivi, etc) ma la password l'hanno inviata via sms (dunque documenti e password vengono inviati in modo separato).

    Un Saluto


    la Elena 1 Risposta
  • Moderatrice

    @guadagnaeuro non sto cercando opt..o doppia autentificazione ma un modo per passare tutte le password ai clienti.
    Ho trovato privtnote.com e anche un servizio che si chiama confidential.


  • User Attivo

    Ciao , parto dal presupposto che in teoria non dovresti avere alcuna password di nessuno, GDPR privacy e cosi via... quindi la famosa password di wordpress per dirne una, dovrebbe essere creata e inviata al cliente, o resettata dal sistema, non creata copiata e inviata ecc, ma capisco che la cosa può risultare noiosa...anche se molto pericolosa, sopratutto se poi siti o servizi vengono bucati e il cliente ti fa causa perche "avevi" anche tu le sue password... e poi vai a verificare e certificare che il tuo pc non è stato bucato ( sopratutto se si tengono le pwd dentro un file word, excel, o peggio google sheet, ...)

    fatta pa premessa, per le mie minime competenze di sicurezza imparate da sistemisti vari nel tempo, e quindi esorto a correggermi qualora sbagliassi considerazioni, qualsiasi cosa mandi in chiaro attraverso internet o telefono, è intercettabile, quindi andrebbero usati per lo meno software criptati o che inviano dati non in chiaro

    gia il fatto che mandi le password dei clienti via mail è molto a rischio...anche perche come dicevo sopra il giorno che si finisse per vie legali è una ammissione di colpa. e quindi potresti usare la cosa come deterrente per i clienti "poco intelligenti" o "pigri".

    l'unica soluzione che consiglio e che adotto felicemente da anni è 1password ( oppure Lastpass)

    • per te, decidi 1 password globale che ti serve per sbloccare la cassaforte, e dentro ci memorizzi tutte le password, licenze o note che vuoi, categorizzate o meno, utilizzabile con app, estensione web, o dal sito, su tutti i dispositivi che vuoi, e ti da pure l'autocompletamento
      -per il cliente , in versione piu semplice anche lui puo usarlo per metterci dentro le proprie password o altro, ecco magari ad un cliente puo andare meglio LastPass, gratuito e piu semplice da usare

    alternative criptate sinceramente non ne conosco, mi verrebbe da dire di mandargli un excel o zip protetto da password...ma se il cliente non si ricorda la password generale siamo al punto di partenza... e poi che dire... non penso ci voglia molto a crakkare zip e excel.. ( ricordi del passato)

    su 1passowrd c'è una funzione che ti crea il link di una password salvata, che si puo inviare, ma non so se poi chi riceve il link deve avere lo stesso account 1passowrd o basta che ne ha uno diverso

    altri servizi come privtnote.com:
    https://onetimesecret.com/
    https://safenote.co/
    https://yopass.se/


  • Moderatrice

    concordo in pieno...ma come un cliente vuole avere una password "fisica" e ho clienti molto dummie è questo il mio problema.
    Attualmente con il mio crm ho un modulo password per encriptazione.
    Iniziano ad essere un po troppe password ehehe


  • User

    Ciao @caygri-com , i tuoi clienti sono in grado di criptare le email? In caso negativo, puoi chieder loro di usare Telegram. In entrambi i casi hai una crittografia "end to end". Cioè i due attori:

    • Si sono scambiati le loro chiavi pubbliche e hanno ognuno una chiave privata;
    • Ogni messaggio è criptato usando la propria chiave privata e la chiave pubblica del ricevente;
    • Non è possibile decriptare un messaggio senza possedere la chiave privata del ricevente.

    Spero che la spiegazione non ti abbia annoiata, ma il punto è che nessun servizio di terze parti (nemmeno Telegram) può decriptare i tuoi messaggi.

    Questo in teoria. In pratica mi sento di dartelo per certo se usi programmi open source, ma non nel caso di Telegram. Ho lavorato con molte persone che vengono dai paesi dell'ex Unione Sovietica e non ce n'è uno che si fidi di Telegram e del suo creatore...

    Tornando al punto: questo sistema va bene per inviare una "One Time Password". Dopodichè però dovresti avere un sistema che obblighi l'utente a cambiare password al primo accesso. Questo è il sistema più sicuro per scambiarsi le password - anche se si può facilmente argomentare che usare le password come sistema di autenticazione non è davvero sicuro. Ma questo è un altro discorso.


  • User Attivo

    La password la devi fare gestire solo ed esclusivamente al cliente.
    Nel tuo database deve essere criptata in maniera che non possa essere decriptata.
    Se il cliente la perde puoi sempre fornire un link di reset via email o SMS (a patto che siano già presenti nel tuo database) .
    Una volta ricevuto il link l'utente imputa la nuova password.
    P.s. sarebbe corretto che anche email e numero SMS siano criptati nel tuo database e spero lo faccia anche il tuo provider SMS ed email...
    Oramai la privacy è importante... Gestisco db di siti dove non esiste nulla di non criptato e anche comprendere il sistema di chiavi richiede un bel po' di tempo...

    Inviare la password in chiaro al cliente non è assolutamente sicuro.. poi vabbè se lui la salva su un foglio di Word sul desktop sono affari suoi.. ma tu dormi sonni tranquilli.


  • User Attivo

    Aggiungo.. se vuoi maggior sicurezza potresti inviare il link via email ed una chiave per confermare il cambio password via SMS.. ma mi pare esagerato


  • Staff Tecnico

    Ciao @caygri-com

    Io solitamente salvo le password in un Password Manager (1Password, Enpass, etc) e poi per passarle si possono utilizzare servizi come https://0bin.net/ che puoi anche installarti self-hosted


  • Moderatrice

    forse non mi sono spiegata...a parte le password d'accesso del sito coem mandate ad esempio le password dei server?
    ftp? etc


    federico.razzoli shazarak 2 Risposte
  • User

    @caygri-com ha detto in Come passare le password ai clienti in piena sicurezza?:

    forse non mi sono spiegata...a parte le password d'accesso del sito coem mandate ad esempio le password dei server?
    ftp? etc

    Ok, allora è diverso perchè l'utente è più avanzato.

    In generale, gli accessi non richiedono una password. Per esempio, per l'FTP, l'SSH, etc, si può usare l'autenticazione basata sulla chiave. Te lo consiglio: le password sono insicure per natura.
    https://superuser.com/questions/333856/ftp-authentication-with-public-key

    Potresti guardare come funziona GitHub per farti un'idea: ti registri via web, ma poi per usare git devi entrare nel tuo profilo e inserire le tue chiavi pubbliche.

    Qualora tu debba inviare una password per forza, ti consiglio come spiegato prima di farlo via email criptata, e la password dovrebbe essere una one time password da cambiare al primo accesso. Quando dimentichi la password per un sito istituzionale (sia in Italia sia in UK), il recupero password usa questo sistema.


  • Moderatrice

    i miei clienti non sanno nemmeno cos'è git mi sa ce mi arrendo al famoso file excel via email e pace


  • User

    Ok, dimentica git (era un esempio di servizio basato su chiavi ssl). Se sono stato chiaro, credo di averti risposto.


  • User Attivo

    @caygri-com argh! la battuta è "se i clienti sono astemi di tecnologia perche mandare loro accessi ai server?" :d:
    in generale, su windows puoi usare questo: https://keepass.info/
    crei tutte le credenziali che ti pare li dentro e lo proteggi con una passphrase. mandi il database criptato al cliente , se lo installa , se lo apre con la pasword che gli dici al telefono ( tanto per fare un esempio) e li dentro trova tutto quello che li serve
    certo è che se il cliente nemmeno è capace di installare un programma e fare due click,.. argh.. stampi le credenziali su un foglio e gliele dai a mano. hhiih


  • Moderatrice

    il mio problema non è dove le salvo io ma come le passo!
    il mio cliente più vicino geograficamente è a 400km!


  • User Attivo

    Potresti magari usare un software di criptaggio.. inviare i contenuti criptati via email e magari usare un mezzo di comunicazione differente per la password del cript... https://www.axcrypt.net/pricing/


  • User

    Sì ma si torna sempre alla necessità di criptare qualcosa senza usare un'altra password, quindi usando le chiavi. Quindi non è più semplice usare le mail criptate come suggerivo io?


  • User

    Leggo che molti rispondono di inviare una password che poi il cliente cambierà, ma se caygri è una webdesigner, dovrà avere sempre le password sottomano per poter intervenire sul sito e/o gestire l'hosting.
    Io invio sempre via mail al cliente un documento con tutte le credenziali d'accesso all'hosting, alla bacheca Wordpress, etc. perché sono dati suoi che potrebbe voler dare un domani a un diverso webdesigner.
    Effettivamente forse dovrei proteggere meglio questo invio. Quindi seguo con interesse la discussione.


  • User

    Le password non dovrebbero essere condivise tra più persone. Se l'hosting non permette di creare più utenti per accedere alla dashboard, è un problema.

    @webstuff se risolvi questo problema la tua soluzione è accettabile. Il cliente vede tutte le password in chiaro, ma per usarle ha bisogno di un'altra password. Non è molto diverso da usare un password manager.

    Però a costo di ripetermi ti consiglio di verificare se puoi usare un'autenticazione basata sulle chiavi.


  • Moderatrice

    di norma, i miei clienti non sanno nemmeno quelle password a cosa servono 😂


    shazarak g.lanzi 2 Risposte