zoomed
Goto Top

Best practice: Passwörter an Kunden senden?

Hi zusammen,

da wir keine Passwörter im Email-Klartext versenden wollen, würde mich mal interessieren wie ihr das macht?
Nutzt ihr irgendwelche Tools dafür?
Ist so etwas wie snappass sicher?
https://snappass.symplasson.de/

Ich danke euch.

Gruß
Rene

Content-Key: 638925

Url: https://administrator.de/contentid/638925

Ausgedruckt am: 28.03.2024 um 19:03 Uhr

Mitglied: tikayevent
tikayevent 08.01.2021 um 16:48:44 Uhr
Goto Top
Ich steh häufiger mit anderen Firmen in Kontakt und tausche mit denen Preshared Keys für VPNs aus, also effektiv das Gleiche. Früher hat man das telefonisch gemacht, mittlerweile nimmt man da einfach einen Messenger mit Ende-zu-Ende-Verschlüsselung oder eine SMS. Wichtig ist halt, dass man nicht darauf schließen kann, was es ist und dass es strikt getrennt ist.

Im Gegenzug spricht aber nichts gegen den Versand per E-Mail, wenn weitere, zwingend notwendige, Teile der Zugangsdaten auf einem anderen Weg übermittelt werden und nicht aufgrund von Hinweisen rekonstruierbar sind.

Das Problem, bei deinem Link ist halt, dass jemand schon vorher das Passwort abfangen könnte. Wenn eine Mail mit einem solchen Link im Postfach liegen bleibt, weil der Empfänger gerade dienstbar ist, dann fällt ein solcher Diebstahl nicht auf. Der Empfänger bekommt dann halt am Ende nur die Info "Passwort gelöscht", häufig zu spät.
Mitglied: zoomed
zoomed 08.01.2021 um 16:55:13 Uhr
Goto Top
Wow, viele neue Aspekte. Danke!
Dann hilf es auch nicht Benutzername und Passwort getrennt in 2 Mails zu versenden?
Mitglied: tikayevent
tikayevent 08.01.2021 um 17:13:07 Uhr
Goto Top
Nein, wenn einer Zugriff auf die Mails hat, egal ob im Client, dem Server oder auf der Leitung, sind die Zugangsdaten bei fehlender Ende-zu-Ende-Verschlüsselung kompromitiert.

Die Verbindung zwischen Mailservern ist heute zwar schon sehr oft verschlüsselt, aber es erfolgt keine Überprüfung, ob das Zertifikat gültig ist und ob der richtige Server erreicht wurde. Den Servern ist es auch egal, ob die Verbindung verschlüsselt oder unverschlüsselt ist. Mailserver wollen eine Mail loswerden, egal wie.
Mitglied: StefanKittel
StefanKittel 08.01.2021 um 17:46:17 Uhr
Goto Top
Hallo,

was Tolles habe ich bisher auch nicht gefunden.

Ich nutze:
A) Email mit Kennwortgeschützer 7zip-Datei, Das Kennwort dann als Bild per SMS, WhatsApp, Post, Fax oder mündlich
B) Datei direkt auf dem Server des Kunden ablegen

Stefan
Mitglied: zoomed
zoomed 08.01.2021 um 18:02:21 Uhr
Goto Top
ok, ich verstehe: im Prinzip brauche ich einfach ein 2. Medium.
bei dir eben musste ich schmunzeln, weil du ja im Prinzip den Inhalt der zip-Datei schon per Telefon SMS usw. mitteilen könntest face-smile
Mitglied: it-fraggle
it-fraggle 08.01.2021 um 18:04:00 Uhr
Goto Top
Zitat von @zoomed:
da wir keine Passwörter im Email-Klartext versenden wollen, würde mich mal interessieren wie ihr das macht?
Als Textdatei in einer passwortgeschützten ZIP-Datei und das Passwort für die ZIP-Datei telefonisch mitteilen. Alternativ kann man es auch per verschlüsselter E-Mail (SMIME/PGP) senden.
Ist so etwas wie snappass sicher?
https://snappass.symplasson.de/
Sobald du das Passwort an irgendwen anderes übermittelst, ist es nicht mehr sicher. Und das gilt in meinen Augen auch für Passwortdienste.
Mitglied: Dani
Dani 08.01.2021, aktualisiert am 09.01.2021 um 02:18:42 Uhr
Goto Top
Guten Abend Rene,
die EU-DGSVO regelt den geschäftlichen Versand von Passwörtern. Kurz um: Es müssen zwei getrennte Kanäle verwendet werden. Diensten, wie du vorgeschlagen hast, würde ich nie geschäftliche Daten wie Passwörter, Zertifikate, etc... anvertrauen. Auch wenn das Hosting in Deutschland erfolgt.

Auf dessen Basis haben wir eine Eigenentwicklung im Einsatz. Das Prinzip ist recht simpel. Ich rufe eine Weboberfläche auf, gebe die E-Mail-Adresse und Mobilfunknummer des Empfängers, das vorher telefonisch definierte Passwort sowie den Text den ich übermitteln möchte, ein. Anschließend verschicke ich die Nachricht.

Der Empfänger erhält per E-Mail den Link zu der Nachricht. Authentifiziert sich mit dem Passwort und dem Einmalcode, der per SMS verschickt wurde. Sobald die Nachricht aufgerufen wurde, wird diese inkl. alle (Meta)daten unwiderruflich auf unserem Server gelöscht.


Gruß,
Dani
Mitglied: StefanKittel
StefanKittel 09.01.2021 um 02:04:35 Uhr
Goto Top
Kurzer Nachtrag

Seit einiger Zeit bekommen Kunden einen "Willkommens-Zettel" persönlich übergeben.
Darauf steht unter anderen auch ein zufälliges Kennwort was ich für diese Zwecke dann verwenden.
Leider finden viele diese wichtige Unterlage später nicht wieder face-sad

Stefan
Mitglied: 137960
137960 09.01.2021 um 09:11:54 Uhr
Goto Top
1. Zu einem Kommentar hier, der sich auf die DSGVO bezieht:
Die DSGVO "regelt" das nicht. Zumindest nicht direkt. Es gibt keine "Regeln" in der DSGVO, wo steht, dass man Passwörter über einen zweiten Kanal versenden muss. Und die DSGVO unterscheidet nicht zwischen "geschäftlich" und "privat", sondern zwischen "personenbezogen" und "nicht personenbezogen".

Allerdings bezieht die DSGVO auch die "technischen und organisatorischen Maßnahmen" mit ein. Wenn die so unzureichend sind, dass Unberechtigte Passwörter erhalten, mit denen sie (nicht nur!) personenbezogene Daten einsehen können, dann haben unsere Aufsichtsbehörden dazu eine feste Meinung, die dazu führen kann, dass man am Ende ein Bußgeld bezahlen muss.

Letztendlich muss der Schutz des Passworts und das Passwort selbst angemessen sein.

2. Wichtige, unverschlüsselte Passwörter immer auf einem zweiten Kanal übertragen. Egal, welcher das ist. Zweckmässig kann eine SMS sein. Statt dessen auch ein Messenger. Manch einer schreibt das Passwort auf eine Papierseite und hält es während einer Skype-Konferenz hoch, damit das Gegenüber das Passwort abschreiben kann face-wink

Abgesehen davon frage ich mich mal wieder, warum kein S/MIME oder PGP bzw. GnuPG benutzt wird. Das ist kostenlos und das einzige, was man machen muss, ist den öffentlichen Schlüssel auszutauschen. Selbst wer PGP nicht regelmäßig benutzen möchte, kann mal eben GnuPG installieren und einen neuen, eigenen Schlüssel erstellen. Das dauert nur Sekunden.
Mittlerweile gibt es sogar Dienstleister, die den eigenen, selbst erstellten Schlüssel "zertifizieren", indem sie den PGP-Schlüssel beglaubigen, der vorher mit dem nPA (neuer Personalausweis) unterschrieben wurde. Siehe "Fraunhofer" und "Volksverschlüsselung".
Mitglied: Th0mKa
Th0mKa 09.01.2021 aktualisiert um 12:36:21 Uhr
Goto Top
Zitat von @137960:

Selbst wer PGP nicht regelmäßig benutzen möchte, kann mal eben GnuPG installieren und einen neuen, eigenen Schlüssel erstellen. Das dauert nur Sekunden.

Moin,

ich weiß ja nicht in was für einer Firma du arbeitest, aber es gibt da draußen Firmen da ist "mal eben installieren" nicht unter 6 Monaten machbar, weil man u. a. das ein oder andere Gremium (Betriebsrat, CAB, etc. ) einbeziehen muss und das Programm bevor es auf deinem PC ankommt noch durch die Abnahmeumgebung(en) muss.

/Thomas
Mitglied: Visucius
Visucius 10.01.2021 um 09:17:41 Uhr
Goto Top
Es geht doch nicht darum, PGP einzurichten.

Es geht darum, auch später (Archiv, Rechnerwechsel, verschiedene Clients, ...) lesbaren Zugriff auf die Mails zu haben.