作为咨询公司，如何安全地询问客户的密码？

Question

在我作为开发人员的工作中，我需要来自客户的用户名/密码组合，以确保第三方服务上的设置是正确的，以处理我们正在构建的网站/应用程序。例如，我们在游戏网站上使用的支付提供商。

问他们的用户名和密码以保证安全的好方法是什么？如果我给他们发一封电子邮件，当然，他们只会给我发一封带有密码的纯文本电子邮件，但是那不安全。

更新：

我看到我的问题被误解了，所以我要补充一个例子：

假设我是一家软件公司CoolSoft的开发人员。另一家公司(让我们称他们为游戏公司)想让我们为他们创建一个网站。这个网站将使用第三方服务支付和客户支持，我们需要集成。游戏公司在支付提供商和客户支持提供商之间建立账户。但它们完全不是技术性的，我们需要它们的凭证来设置正确的回调URL，等等。他们如何安全地将他们的密码发送给我们，这样我们就可以修复他们帐户上的设置(我们从来没有见过面)？

Answer 1

你没有。

当你教用户告诉他们的用户名和密码给某人时，你会训练他们容易受到网络钓鱼或其他社会工程攻击的攻击。

相反，设计系统时，管理员可以查看和编辑这些设置，而不需要用户凭据。

当您遇到这样的情况时，您确实需要从用户的角度来查看问题的疑难解答，请用户为您输入密码，然后让他们向您展示问题。这可以亲自完成，也可以通过远程管理工具完成。

当客户拥有与第三方解决方案集成所需的应用程序凭据时，开发应用程序时，非技术用户可以轻松使用用户界面来设置这些凭据。无论如何，您都需要这样做，以防客户需要更改它们，而且您无法使用。

在应用程序部署在他们自己的服务器上之前，用户不必输入这个命令。在开发过程中，您应该在您的终端使用一个测试帐户来与第三方进行接口。您肯定不想给您的客户带来任何成本，因为您在第三方支付界面上运行了一些测试，这些测试没有按照您预期的方式进行。

Answer 2

有许多“团队密码管理器”允许团队共享、更改和撤销对凭据的访问。大多数都是有报酬的(或者小团队是免费的)，但这可能是最好的方式。它们通常提供加密，以及对特定凭据的访问控制。

Answer 3

我看到的唯一可行的选择(还没有提到，奇怪)是让客户端设置帐户(S)具有适当的权限，让您在这些系统/互联网服务上使用。这样，他们处理供应商的关系和付款，但您有帐户，可以访问您所需。

正如菲利普的回答所述，您根本不要求或参与共享密码。这一切都很糟糕，因为当其他人使用共享帐户时，如果出了问题，你就会把自己置于被指责的境地。(“我知道我的员工永远不会这么做，你是我们唯一和你分享密码的人，所以肯定是你们中的一个人做的！”)