Zurück zur Übersicht

Zwei Möglichkeiten, Passwörter sicher zu senden (und warum E-Mails nicht dazu zählen)

16.05.2017

Wenn wir für unsere Kunden tätig werden, benötigen wir immer wieder Zugangsdaten. Egal, ob zum Server, zum Hosting-Paket, zum Drittanbieter oder fürs Shop-Backend, alles ist immer mit einer Benutzername-Passwort-Kombination gegen unberechtigte Zugriffe geschützt. Und es führt kein Weg daran vorbei, uns diese Kombinationen auf dem einen oder anderen Weg zu übermitteln.

Dass E-Mail dafür der unsicherste Weg ist, hab ich hier schon das eine oder andere Mal erwähnt. Ich will es aber nochmal deutlicher sagen, weil wir immernoch öfter Zugangsdaten per E-Mail bekommen, als man es glauben sollte:

E-Mails sind kein geeigneter Weg zu Übertragung von Zugangsdaten!

Es sei denn, Sie verwenden ein Verschlüsselungstool wie GnuPG, mit dem die E-Mail nur für Absender und Empfänger lesbar gemacht wird, für alle anderen aber aus sinnlosen Hyroglyphen besteht. Aber das ist eher unwahrscheinlich, denn das hat sich noch nicht so recht durchgesetzt bislang, weil die Einrichtung doch etwas komplizierter ist (und es deswegen niemand nutzt, und sich deswegen der Aufwand nicht lohnt, da beißt sich die Katze in den Schwanz, wie man so schön sagt).

E-Mails werden also (in den allermeisten Fällen) im Klartext versendet, können von Dritten, die sich in den Empfang stellen, mitgelesen werden.

Auf den ersten Blick scheinen passwortgeschützte Dateien, die als E-Mail Anhang versendet werden, eine clevere Alternative zu sein. Das sind sie jedoch nicht unbedingt, gerade Office-Dateien sind hier sogar noch gefährlicher. Denn in den älteren Dateiversionen kann sich Schadsoftware verstecken, die automatisch installiert wird, wenn man die Datei öffnet. Besser ist es, solche Anhänge zu ignorieren. Außerdem ergibt sich hier ein weiteres Problem - wie übermittelt man das Passwort, das für das Öffnen der Datei benötigt wird?

Lösung 1 - Medienbruch

Eine wichtige Grundregel für die gesicherte Übertragung von Zugangsdaten ist es, die Kombinationen aus Benutzernamen und Passwort immer getrennt zu senden, und zwar möglichst auf unterschiedlichem Wege. Benutzername per E-Mail, Passwort per Skype. Benutzername per Fax, Passwort per Telefon. Oder so.

Zwei nacheinander versendete Mails, die eine mit dem Benutzernamen, die andere mit dem Passwort, lösen dieses Problem übrigens nicht ganz. Das ist zwar schon etwas besser, als beides in eine einzige Mail zu packen, das Mitlesen-Problem löst man damit jedoch nicht.

Lösung 2 - gesicherte Datenübertragung

Während die gesicherte Übertragung von E-Mails noch auf sich warten lässt, weil sie aktuell noch eine große technische Herausforderung darstellt, ist sie für Websites ja schon ordentlich ausgereift. Kunden können heutzutage in aller Regel mit relativ gutem Gefühl die Kreditkarten-Daten im Shop angeben. Das Mitlesen der Daten ist dank SSL-Verschlüsselung (oder besser gesagt TLS) nicht mehr möglich.

Diesen Umstand machen wir uns zunutze und haben uns gedacht - warum lassen wir nicht genau so die Zugangsdaten von unseren Kunden übertragen. Und so machen wir es ja auch - ein geschütztes Formular nimmt die Daten in Empfang, überträgt sie verschlüsselt und somit mitlese-geschützt an unseren Server, wo sie kurzfristig binär kodiert (sicher) gespeichert werden, um dann von uns auf umgekehrten Wege wieder abgerufen zu werden, ebenfalls SSL-verschlüsselt und mitlese-geschützt.

Den Link zum Formular zum sicheren Übertragen der Zugangsdaten finden Sie in unserer E-Mail Signatur.

 

Kategorien: Recht & Sicher | Schlagworte: Sichere Passwörter, Sicherheit

Sharing is caring - teile den Beitrag

Tipps + News für deinen Online-Shop

Abonniere den Grips-Letter, und erhalte Ideen und Impulse für deinen Shopware oder OXID Shop, die dir helfen, sichtbarer zu werden, deinen Umsatz zu steigern und Zeit, Geld und Nerven zu sparen. Für 0 Euro direkt in dein Postfach!

Du kannst dich jederzeit wieder abmelden. Mehr dazu findest du in unserer Datenschutzerklärung.

Kommentare

Maik sagt:

24.04.2018 um 09:29 Uhr

Vor allem für die, die häufiger Zugänge versenden, diese zeitlich begrenzen und verwalten wollen, könnte https://www.sicher-teilen.de/ spannend sein.

Antworten

Beitrag kommentieren

Wie alle anderen Websites verwendet auch unsere Cookies. Wenn du unsere Website verwendest, stimmst du dem zu.

Folgende Cookies zulassen:

Alle akzeptieren

Mehr Infos


Welche Cookies werden gesetzt?

Marketing
_fbp Dieses Cookie verwendet Facebook, um Werbeprodukte anzuzeigen.
Notwendig
PHPSESSID Behält die Einstellungen der Seite des Benutzers bei allen Seitenanfragen bei.
robin_marketing_popup Sorgt dafür, dass das Marketing-Popup nicht bei jedem Seitenwechsel erneut aufpoppt.
dwa_cookie_noticed Speichert die Einwilligungen zu den Cookies für ein Jahr. Dieser Cookie kann zurückgesetzt werden, wenn die Einwilligung entzogen werden soll.
Statistik
_pk_id Matomo - Cookie zum Speichern einiger Details über den Benutzer, z. B. der eindeutigen Besucher-ID (anonymisiert), notwendig zum Zählen wiederkehrender Besucher. - Speicherdauer 13 Monate
_pk_ses Matomo-Cookie zur Speicherung Sessionabhängiger Nutzerdaten - Speicherdauer 30 Minuten

Weggabelung

Lohnt sich ein Umstieg von
OXID eShop auf Shopware?