Di solito utilizzo gli SMS. Sebbene non sia perfettamente sicuro, è più sicuro dell'email e generalmente adeguato. Ha il vantaggio principale di non richiedere alcuna configurazione, come lo scambio di chiavi PGP.

Puoi renderlo più sicuro inviando metà della password tramite e-mail e metà tramite SMS. In alternativa (come suggerito da Michael Kropat) inviare un file con la password crittografata simmetricamente tramite e-mail e inviare tramite SMS la password di decrittografia.

Per le chiavi SSH, è necessario trasferire solo la chiave pubblica. Se concedi a un utente l'accesso a un server, dovrebbe inviarti la sua chiave pubblica, invece di inviargli una chiave privata. Devi ancora confermare che la chiave ricevuta è autentica, ma non devi mantenerla riservata.

Quando devo inviare qualcosa una sola volta, ho utilizzato One Time Secret. È un'app Web open source che ti consente di inserire informazioni che possono essere visualizzate solo una volta. Dopo che il destinatario ha aperto la pagina, le informazioni vengono eliminate e l'unica cosa rimasta nei registri della chat o nella posta elettronica è un collegamento non valido.

Non è solido come l'intero team che utilizza PGP, ma è molto più facile da configurare o spiegare. Sono stato in grado di usarlo per inviare informazioni di accesso a persone abbastanza non tecniche e lo trovano facile da usare.

Come è stato già detto nel commento, questo è un classico caso d'uso per GPG / PGP. Tutti creano una chiave, le scambiate in modo arbitrario e poi verificate le impronte digitali per telefono, una chat video o qualsiasi altro canale con una ragionevole protezione contro la manomissione dei dati.

Potete anche firmarvi a vicenda 'chiavi per creare una piccola rete di fiducia. Ad esempio, se hai già verificato e firmato le chiavi dello sviluppatore A e dello sviluppatore B, A e B possono fidarsi l'uno dell'altro senza dover verificare nuovamente le chiavi.

Per le chiavi SSH, faccio in modo che generino la chiave e mi inviino la chiave pubblica, quindi possiamo semplicemente confrontare le impronte digitali al telefono.

È possibile utilizzare il metodo lento di spedire loro (per posta) le chiavi su una chiave USB ma che nell'era odierna non è pratico. Quello che faccio in situazioni come questa è che ho un server web dedicato alle operazioni NOC che uso per memorizzare le chiavi in ​​una directory che creerò per chiunque abbia bisogno di inviare le chiavi. Blocca il server web con le regole mod_security e .htaccess per consentire SOLO all'individuo che desidero di vedere quella directory (tramite IP).

La mia struttura è qualcosa di simile alla seguente. Supponiamo di dover creare una chiave per diciamo un gruppo dev in Cina, creerò una directory basata sul checksum del loro nome / gruppo, ecc:

  [myoto @ mymachine ~] # mkdir `md5 -s devchina | awk '{print $ 4}' `[myoto @ mymachine ~] # cd` md5 -s devchina | awk '{print $ 4}' `[myoto @ mymachine ~ / 4b4dda9422c2de29f9a0364f1bd8494d] # cp / path / to / ssh_keys / what_I_want_2_copy.  

Questo assicura che nessuno possa imbattersi in una directory usando qualcosa di simile Nikto / Wikto, ecc. Le regole .htaccess e mod_security mi consentono di controllare chi accede a quella directory e posso ripulirlo dopo aver visto tramite i log, le chiavi sono state copiate.

Probabilmente non è necessario inviare chiavi segrete ssh in giro.

L'individuo remoto dovrebbe generare una coppia di chiavi alla sua estremità, mantenere la chiave segreta e inviarti la chiave pubblica.

La chiave pubblica non è un segreto, quindi non è un problema inviarla in chiaro. Solo la chiave privata è segreta e non è necessario trasmetterla perché la possiedono già.

Quindi aggiungi la loro chiave pubblica all'elenco delle chiavi autorizzate.

l'unico problema che potresti avere è determinare che la chiave pubblica che hai ricevuto proviene davvero dalla persona a cui vuoi dare accesso.

Se hai altre informazioni segrete che devi condividere, beh, ora entrambi avere un accesso sicuro al server condiviso in modo da poterlo utilizzare.

Se entrambi configurate un account con LastPass, questo servizio vi consente di condividere le vostre password (e altre informazioni protette) con altre parti.

Se ognuno di loro può configurare un account con un sito di condivisione file sicuro, puoi condividere i file con ciascuno di loro. Se vuoi farlo da solo, puoi configurare qualcosa come OwnCloud con crittografia abilitata e utilizzarlo come mezzo per lo scambio di file sicuro con più persone purché utilizzi SSL per l'istanza OwnCloud e puoi fare una distribuzione sicura delle credenziali fuori banda .

Il problema principale è che stiamo inviando le password normalmente a utenti semplici, che hanno problemi ad aprire una mail firmata con gpg.

Qual è il problema reale peggiorato da quel nostro lavoro / stipendio / progetto dipende dal loro giudizio, da quanto sono felici di collaborare con noi. Inoltre, la nostra prima priorità è rendere questa password il più semplice possibile per loro. Mi dispiace dirlo, ma in realtà è più importante ridurre la possibilità di un breakin dallo 0,1% allo 0,01% nel prossimo mese.

Normalmente faccio quanto segue:

• Invio tutto (nome utente, informazioni di accesso aggiuntive) in una semplice e-mail non crittografata, tranne la password effettiva
• Mi riferisco alla password effettiva come " Ti ho inviato questo SMS "
• E mando un SMS contemporaneamente alla posta, solo con la semplice password, senza alcun commento.

Con PGP / GPG (e la maggior parte delle altre risposte suggerite) devi risolvere il problema di autenticazione per prevenire attacchi man in the middle. Gli SMS non dovrebbero essere considerati salvati, poiché la crittografia GSM è stata a lungo violata.

Userei OTR (non posso pubblicare più link, solo google).

Con alcuni client di chat, come pidgin. Puoi anche utilizzare alcuni canali non sicuri, come Facebook, chat di Google, ICQ, cosa mai, stabilire una connessione crittografata, autenticarti tramite build in SMP e quindi scambiare informazioni riservate.

Vorrei utilizzare una sorta di portale online sicuro da cui gli utenti remoti possono accedere / scaricare le informazioni sensibili. Per dare loro l'accesso al portale, consiglio l'autenticazione a due fattori con una password temporanea (sicura) che deve essere modificata quando la si utilizza una volta (ma l'autenticazione a due fattori garantisce che anche se l'e-mail con il passaggio temporaneo è compromessa, c'è è ancora un pin sms).

Innanzitutto, spero che tu abbia impostato le tue credenziali in modo che l'utente DEVE cambiarle durante il primo accesso, in modo che chi le ha impostate non possa più conoscerle.

Se un ufficio remoto ha un amministratore fidato, invia a quell'amministratore un set crittografato di chiavi / password monouso da condividere con altri utenti, quindi puoi semplicemente chiedere loro di utilizzare la password # 12 per il loro accesso iniziale.

A seconda del modello di minaccia (sei preoccupato per gli attori a livello di stato-nazione, cioè stai lavorando con un ufficio estero nel Paese 4, che potrebbe svolgere attività di spionaggio commerciale per conto dei tuoi concorrenti locali), questo è in realtà un caso classico in cui chiamare qualcuno in un la rete fissa è un'ottima soluzione.

Basta chiamare qualcuno su una linea fissa e comunicargli le credenziali di accesso iniziali per telefono funziona molto bene.

Oltre a ciò, GPG è sempre un modo classico di facendo questo, come molte persone hanno risposto. Ho esempi di utilizzo della chiave pubblica e di utilizzo simmetrico più sicuro rispetto a quello predefinito in questa risposta su Superuser.com.

A seconda dei requisiti normativi, OTR è un metodo per crittografare le comunicazioni, in particolare IM (vedere Pidgin come esempio) che consente anche l'autenticazione "segreto condiviso"; potresti condividere una password facile da digitare sul telefono mentre sei su IM per convalidare la sessione di messaggistica istantanea non ha un uomo nel mezzo, o utilizzare alcuni aspetti del lavoro che stanno facendo che sarebbe difficile per qualcun altro mantenere di.

Se disponi già di un modo per inviare email a cui ti fidi solo del destinatario e a cui possono accedere gli amministratori della tua rete / posta elettronica e puoi fidarti di alcuni altri prodotti / società, allora potresti utilizzare un " servizio di posta elettronica sicuro come Cisco Registered Envelope Service o un altro.

In particolare per chiavi SSH o password estremamente lunghe e difficili, puoi combinarle; è possibile crittografare, magari utilizzando la modalità simmetrica GPG (vedere il collegamento sopra), utilizzando una password sicura, quindi fornire quella password tramite il telefono o un altro metodo, in modo che possano decrittografare l'effettivo token di autenticazione / chiave SSH / certificato / ecc.