Wie gebe ich Passwörter bewusst und sicher weiter

Es ist doch so, schon Mama hat uns früher, als wir noch klein waren, gesagt: „Hörst du Junge, gibt niemals ein Passwort weiter!“ Und doch sehen wir uns manchmal in der Notwendigkeit ein Passwort weitergeben zu müssen. Nun was wenn ich euch sage, die Welt ist nicht nur Schwarz/Weiß, sondern ist gibt einen Graubereich, in dem es teilweise vertretbar ist ein Passwort weiterzugeben? Denn gerade als Webworker gibt es diese Situation schon mal. Die Frage die hierbei aber wichtig ist: Wie kann ich das Passwort sicher übermitteln?

Heute habe ich einen Tweet von Bego gesehen, der mich zu diesem Post motiviert hat. Er hat nämlich genau die Frage gestellt, welche wohl die beste Methode sei geheime Login Daten an einen Klienten weitergeben zu können. Ich habe ihm in zwei kurzen Tweets geantwortet möchte aber meine Gedanken hier noch etwas ausführen.

Passwörter weiter geben

Zu erst einmal, meine privaten/firmlichen Passwörter sind hoch komplex, so dass ich sie selber nicht kenne. Ich speicher diese in einem Passwort Manager und gebe diese Passwörter auch niemals weiter. Denn es gibt keinen Grund warum eine dritte Person ein Passwort von mir haben sollte.

Grundregel: Keiner sollte nach euren Passwörtern fragen. Das schließt jegliche Mitarbeiter von Firmen oder Hotlines ein. Denn wenn ein „Mitarbeiter“ z.B. von eurer Bank ein Passwort von euch haben möchte ist es ein Betrug. Wenn die Person wirklich dort arbeiten würde hätte sie einen dedizierten Zugang für die Arbeit und braucht euer Passwort gar nicht!

Wann gebe ich Passwörter weiter

Das heißt im Umkehrschluss, ich gebe wenn überhaupt nur Passwörter weiter, die nicht zu meinen privaten/firmlichen Passwörtern gehören. Um konkret zu werden ein Beispiel: Als Webworker setze ich u.A. auch neue Kundensysteme auf, dabei lege ich auch neue Passwörter fest für verschiedene Systeme (WordPress, Datenbank, Hoster, etc.). Nur wo ich der Meinung bin, der Kunde sollte den Zugang dazu haben, gebe ich Passwörter weiter. Dabei schätze ich aber immer ab, ob der Kunde den Zugang wirklich braucht oder es nicht besser wäre ich behalte das Passwort alleine, weil ich eh die Person bin die damit interagieren würde. Dann braucht der Kunde sich damit nicht beschäftigen und kann auch nichts kaputt machen.

Es gibt also Situationen in denen ich Passwörter ganz bewusst weitergebe. Nach welcher Prämisse ich nun vorgehe beschreibe ich jetzt. Weiterlesen →

Mails aus WordPress mit Mailtrap.io abfangen

Als Entwickler wird man irgendwann auch mal mit Mails in Kontakt kommen. Entweder man schreibt selber Templates und die müssen getestet werden oder man hat eine große Userbase und bei verschiedenen Aktionen werden Mails an die hinterlegten Mail Adressen verschickt. Was dabei nicht passieren darf ist, dass eine Test-Mail zu einem End Nutzer geschickt wird. Denn nur das Live System sollte End Nutzern tatsächlich Mails schicken.

Nun kenne ich das Problem aber, dass man eine WordPress Webseite für Kunden verwaltet und die Seite wächst und damit auch die Anzahl der User. Beim Entwickeln und Testen möchte man natürlich so nah an den echten Daten dran sein, damit die Tests so realistisch ausgeführt werden wie möglich. Wenn man hierbei aber nicht aufpasst werden ruck zuck einige Mails an die Nutzer geschickt, die im besten falls sich nur wundern.

Die Frage ist nun, wie kann ich verhindern, dass aus Versehen eine Mail durch kommt und den Nutzer verwirrt? Man kann zum einen die E-Mail Adressen in der Test DB ändern, aber das wäre ganz schön aufwendig (ja ich weiß, es gibt dafür Scripte und Tools). Statt dessen können wir die Mails einfach mit Mailtrap.io abfangen. Weiterlesen →

Conferencia.io

Konferenzen sind eine tolle Sache um Leute aus der Branche zu treffen, sich über neue Themen zu informieren und um alte Gesichter wieder zu treffen. Deshalb machen WordCamps so viel Spaß und begeistern Menschen auf der ganzen Welt. Nun hat David Bisset eine Webseite ins Leben gerufen, die die Konferenz-Erfahrung noch stärker machen soll.

Conferencia.io heißt das schicke Ding und wird von David Bisset verwaltet und entwickelt. Derzeit befindet sich das Projekt noch in einer Beta, aber man kann schon sehr viel damit tun. David hat bereits im Mai in seinem Blog die Seite vorgestellt und damit live geschaltet. Ich habe mir das Tool etwas näher angeschaut und kann euch schon ein paar Dinge zeigen. Weiterlesen →

ClimbPress: Eine Event-Idee

Oh man, das will man jeden Tag bloggen und nimmt sich das ausgerechnet in der Adventszeit vor. War ja klar, dass ich es nicht schaffe. Aber ich gebe nicht auf und möchte euch den Post von gestern nachreichen. Schließlich gibt es ja auch Tage, wo man 2 Türchen am heimischen Adventskalender öffnet 😉 Heute möchte ich einen weitern Gedanken mit euch teilen. Es geht um eine Event Idee die ich habe bzw. eine Konzept-Idee die man auf viele Bereiche ausweiten kann.

Ich habe hier im Blog schon mal über SkiPress berichtet. Das war ein Event, welches zwei Dinge miteinander Verbunden hat: WordPress und Skifahren (bzw. Snowboarden). Diese Idee fand ich damals schon interessant und ich wäre sehr gerne hingefahren. Ähnliche Konzepte habe ich auch schon in anderen Ländern mitbekommen u.A. in den USA. Nur bei uns gibt es dies noch nicht.

Seit gut einem Monat gehe ich regelmäßig mehrmals die Woche bouldern oder klettern. Ich bin gerade total begeistert vom Sportklettern. Endlich eine Sportart die mir richtig viel Spaß macht. Als ich meine Freude über das Bouldern getwittert habe hat Carlos gleich mal geantwortet und schrieb:

https://twitter.com/carlos_cflex/status/797356136743706625

Weiterlesen →

Post-Passwörter verlängert in WordPress 4.7

Vor wenigen Tagen habe ich euch über die neue Funktion in WordPress 4.7 informiert, Videos als Header zu verwenden. Heute möchte ich euch auf eine kleine Sache aufmerksam machen, die auch mir entgangen wäre hätte ich nicht auf Twitter einen Retweet von Frank Bültge gesehen.

https://twitter.com/Coffeechains/status/806738580341014528

Der Tweet von @Coffeechains ist leider etwas missverständlich formuliert und dadurch entstand eine Diskussion auf Twitter. Dass die Passwortlänge auf 255 Zeichen erhöht wurde ist korrekt, aber hier sind nicht User-Passwörter gemeint, sondern Post-Passwörter.

Zum Glück konnte Dominik uns diesbezüglich aufklären und verwies uns gleich zum richtigen Patch auf Trac. Weiterlesen →