thomasanderson
Goto Top

Passwörter per Mail übertragen?

Hallo Leute,

wie übertragt Ihr Eure Passwörter oder auf welchem Weg fühlt Ihr Euch am sichersten?

1. Passwörter per Mail im Klartext? Nein, ist klar ;).

2. Passwörter per Mail mit Zip (AES 256) und ausreichendem PW (10-12 Stellen, Sonderzeichen, Buchstaben, Zahlen)? Klingt sicher, aber es bleibt halt bei der Emailübertragung.

3. Zugangsdaten einsehbar per Mail & das Passwort telefonisch? Bei komplexen Passwörtern geschehen so oft Fehler & Kunden sind genervt. Besser die Zugangsdaten auch verschlüsseln?

Und los.

Danke für die Ideen! Bitte keine utopischen Vorschläge ala verschweißtes Metallpaket mit Fingerprint-Scanner und Hochsicherheitstransport.

Content-Key: 240136

Url: https://administrator.de/contentid/240136

Ausgedruckt am: 29.03.2024 um 11:03 Uhr

Mitglied: Chonta
Chonta 05.06.2014 aktualisiert um 10:34:35 Uhr
Goto Top
Hallo,

was für Passwörter?

Die Schwachstelle in der Sicherheit ist immer der Benutzer der das Paswort bekommt (aufschrieben auf Zettel z.B.)

Wenn ihr z.B. einen eigenen Mailserver habt und nur die Passwörter nur an eigene Nutzer geht, können die Passwörter auch per Mail verschickt werden im Klartext.
Es darf nur nicht möglich sein, das sich ein Benutzer über eine nicht verschlüsselte Verbindung Zugriff auf das Postfach verschafft.

Je nach anwendung sollten diese Passwörter aber nur initialpasswörter sein, die danach beim ersten einloggen vom Benutzer geändert werden müssen. (Speichern der Benutzerpasswörter in einem Passwortmanager z.B. Keepass2)

Gruß

Chonta
Mitglied: ThomasAnderson
ThomasAnderson 05.06.2014 um 10:37:15 Uhr
Goto Top
Hallo Chonta,

Passwörter für Externe, Kunden, Fremde.

Für bestimmte Komponenten kann für diese nach dem Login keine Änderungen erzwungen werden.
Es handelt sich nicht im User Passwörter.

Die Passwörter werden denke ich mal am einfachsten nur per Telefon weitergegeben?

Ansonsten müsste man im Zip Fall, ja das PW mit einem PW verschlüsseln, welches man dann wieder per Telefon weitergibt.
Im Beispiel AES müsste das 10 Zeichen +, und eine hohe Komplexität aufweisen.
Also ob ich das Passwort jetzt direkt über Email mit 7-Zip übertrage und per Telefon, oder nur per Telefon sollte doch egal sein :D?

Nicht aufschreiben & Passwortmanager ist klar, aber das ist dann wiederrum (z.B.) Kundensache.
Mitglied: Snowman25
Snowman25 05.06.2014 um 11:24:37 Uhr
Goto Top
Hallo @ThomasAnderson,

Wie wäre es mit Einmal-Links, welche das Passwort über eine HTTPS-Verschlüsselung im Browser anzeigt / aktiviert?
Ist halt schon wesentlich mehr Aufwand, so ein System zu implementieren.

Intern übergeben wir Passwörter normalerweise auf einem Zettel.

Gruß,
@Snowman25
Mitglied: ThomasAnderson
ThomasAnderson 05.06.2014 um 13:30:50 Uhr
Goto Top
Wer solch einen Link abfängt, hat das Passwort ja dann trotzdem?
Mitglied: Snowman25
Snowman25 05.06.2014 um 13:41:37 Uhr
Goto Top
Zitat von @ThomasAnderson:

Wer solch einen Link abfängt, hat das Passwort ja dann trotzdem?
Stimmt. Aber das vermeidet, dass ein Passwort im Klartext übertragen wird oder mithilfe von Textsuchen entsprechende Mails herausgefiltert werden könnten.

Ausserdem werden solche Mails vom Empfänger normalerweise recht schnell nach dem Empfang geöffnet. Eine Automation würde die Mail erst speichern und ein Mensch müsste den Link öffnen. Denn wenn ein entsprechender Sniffer alle Links in einer E-Mail öffnen würde, wäre die Maschine schnell am hecheln, sobald ein Newsletter reinkommt.
Noch dazu würde es der User merken, wenn der Link bereits abgelaufen wäre, da dieser nicht mehr funktionieren würde. Dies zieht dann eine Rückmeldung bei euch nach, weil der User ja sein Passwort nicht hat.

Gruß,
@Snowman25
Mitglied: ThomasAnderson
ThomasAnderson 05.06.2014 um 13:54:18 Uhr
Goto Top
Hast Du Namen zu solchen Systemen?

Problem ist eben, dass die Hälfte der Kunden keinen Radius hat und es auch keine passenden OTP Lösungen oder Ähnliches gibt.
Da muss das System einfach klassisch mit Passwörtern verwaltet werden.
Mitglied: Snowman25
Snowman25 05.06.2014 um 15:08:27 Uhr
Goto Top
Sorry, leider kenne ich keine entsprechenden Systeme beim Namen. Könnte es aber als Apache-Modul geben?
Mitglied: AnkhMorpork
AnkhMorpork 05.06.2014 um 16:24:34 Uhr
Goto Top
Ähh ... was war denn nun die Lösung?

ANKH
Mitglied: ThomasAnderson
ThomasAnderson 06.06.2014 um 13:08:38 Uhr
Goto Top
Gibt keine Lösung, bin auf versehen draufgekommen und das lässt sich nicht rückgängig machen. face-smile
Mitglied: AnkhMorpork
AnkhMorpork 06.06.2014 um 15:43:23 Uhr
Goto Top
Zitat von @ThomasAnderson:

Gibt keine Lösung, bin auf versehen draufgekommen und das lässt sich nicht rückgängig machen. face-smile

Doch: Mehr / Beurteilung zurücksetzen