在开发 Web 应用程序的过程中,我经常需要为客户进行服务器管理,因此我总是使用SSH 密钥对。我通常会为 root 帐户选择一个随机密码,然后将其通过电子邮件发送给我的客户。有时客户甚至不需要拥有访问权限,我只是想确保自己不是唯一一个拥有密钥的人,以防我不在,或者他们换了另一个开发人员。
对于非技术客户,管理、存储和传达重要密码的最佳方式是什么和凭证?
就我个人而言,我使用最后通行证但是要求客户注册并共享一个无法通过浏览器使用的密码似乎有点不对。
答案1
如果我是一个组织中唯一的管理员,而没有其他人具备管理系统的技术技能或意愿,我个人的偏好是向客户证明密码是有效的,然后以纸质形式将其放在可打开的盒子中交给客户(我使用 KeySure 盒子http://www.keysure.net/keycontroller.html)。
如果我被公交车撞到、辞职或被开除,他们只需打开盒子,就能知道我设置/更改的所有密码。
如果我还在附近,并且注意到钥匙盒被打开了,我就知道有人知道密码,但他不应该知道(或者有人应该知道密码,却在不告诉我的情况下触碰东西)——这可以防止好心人试图“解决”问题并破坏稳定的环境。
在像我现在所在的大型公司中,我们的站点运营手册的背面有一页(PGP 加密)密码,用于不使用基于密钥的身份验证的内容。公司的 C 级官员以及高级管理员和开发人员都可以访问这些密码,他们可以通过从站点运营手册的 PDF 中剪切和粘贴,或者在最坏的情况下,通过仔细重新输入加密块来访问。
答案2
你可以使用类似受密码保护的 .ZIP 文件http://drop.io具有一次性下载和有效期。您可以打电话告诉他们 zip 和 dropbox 的密码,然后通过电子邮件将链接发送给他们。
我还通过短信或电话发送了一半密码,通过电子邮件发送了另一半,或者两者结合。
答案3
因为看起来你已经重新表述了你的问题,如果你在现场,我会拿一份密钥通并将其安装在 USB 密钥或服务器上。它使用 Blowfish 加密,无需安装,并且可以将所有密码存储在一个安全的地方。
答案4
Skype IM 使用加密技术,因此如果您的客户端使用该技术,那么它可能对您有用。