Zwei Möglichkeiten, Passwörter sicher zu senden (und warum E-Mails nicht dazu zählen)

16.05.2017

Wenn wir für unsere Kunden tätig werden, benötigen wir immer wieder Zugangsdaten. Egal, ob zum Server, zum Hosting-Paket, zum Drittanbieter oder fürs Shop-Backend, alles ist immer mit einer Benutzername-Passwort-Kombination gegen unberechtigte Zugriffe geschützt. Und es führt kein Weg daran vorbei, uns diese Kombinationen auf dem einen oder anderen Weg zu übermitteln.

Dass E-Mail dafür der unsicherste Weg ist, hab ich hier schon das eine oder andere Mal erwähnt. Ich will es aber nochmal deutlicher sagen, weil wir immernoch öfter Zugangsdaten per E-Mail bekommen, als man es glauben sollte:

E-Mails sind kein geeigneter Weg zu Übertragung von Zugangsdaten!

Es sei denn, Sie verwenden ein Verschlüsselungstool wie GnuPG, mit dem die E-Mail nur für Absender und Empfänger lesbar gemacht wird, für alle anderen aber aus sinnlosen Hyroglyphen besteht. Aber das ist eher unwahrscheinlich, denn das hat sich noch nicht so recht durchgesetzt bislang, weil die Einrichtung doch etwas komplizierter ist (und es deswegen niemand nutzt, und sich deswegen der Aufwand nicht lohnt, da beißt sich die Katze in den Schwanz, wie man so schön sagt).

E-Mails werden also (in den allermeisten Fällen) im Klartext versendet, können von Dritten, die sich in den Empfang stellen, mitgelesen werden.

Auf den ersten Blick scheinen passwortgeschützte Dateien, die als E-Mail Anhang versendet werden, eine clevere Alternative zu sein. Das sind sie jedoch nicht unbedingt, gerade Office-Dateien sind hier sogar noch gefährlicher. Denn in den älteren Dateiversionen kann sich Schadsoftware verstecken, die automatisch installiert wird, wenn man die Datei öffnet. Besser ist es, solche Anhänge zu ignorieren. Außerdem ergibt sich hier ein weiteres Problem - wie übermittelt man das Passwort, das für das Öffnen der Datei benötigt wird?

Lösung 1 - Medienbruch

Eine wichtige Grundregel für die gesicherte Übertragung von Zugangsdaten ist es, die Kombinationen aus Benutzernamen und Passwort immer getrennt zu senden, und zwar möglichst auf unterschiedlichem Wege. Benutzername per E-Mail, Passwort per Skype. Benutzername per Fax, Passwort per Telefon. Oder so.

Zwei nacheinander versendete Mails, die eine mit dem Benutzernamen, die andere mit dem Passwort, lösen dieses Problem übrigens nicht ganz. Das ist zwar schon etwas besser, als beides in eine einzige Mail zu packen, das Mitlesen-Problem löst man damit jedoch nicht.

Lösung 2 - gesicherte Datenübertragung

Während die gesicherte Übertragung von E-Mails noch auf sich warten lässt, weil sie aktuell noch eine große technische Herausforderung darstellt, ist sie für Websites ja schon ordentlich ausgereift. Kunden können heutzutage in aller Regel mit relativ gutem Gefühl die Kreditkarten-Daten im Shop angeben. Das Mitlesen der Daten ist dank SSL-Verschlüsselung (oder besser gesagt TLS) nicht mehr möglich.

Diesen Umstand machen wir uns zunutze und haben uns gedacht - warum lassen wir nicht genau so die Zugangsdaten von unseren Kunden übertragen. Und so machen wir es ja auch - ein geschütztes Formular nimmt die Daten in Empfang, überträgt sie verschlüsselt und somit mitlese-geschützt an unseren Server, wo sie kurzfristig binär kodiert (sicher) gespeichert werden, um dann von uns auf umgekehrten Wege wieder abgerufen zu werden, ebenfalls SSL-verschlüsselt und mitlese-geschützt.

Den Link zum Formular zum sicheren Übertragen der Zugangsdaten finden Sie in unserer E-Mail Signatur.

Sharing is caring - teile den Beitrag

Ähnliche Beiträge

• Tausche Passwort gegen Schokoriegel
• Firefox sicherer machen: Addon "Secure Login"
• Schütze deinen Shop vor Hacking-Angriffen
• Simsalabim - sicherer OXID-Adminbereich in 3 Schritten
• Kostenloses OXID Modul für Datensicherungen

Beitrag kommentieren