Wie gebe ich Passwörter bewusst und sicher weiter

Es ist doch so, schon Mama hat uns früher, als wir noch klein waren, gesagt: „Hörst du Junge, gibt niemals ein Passwort weiter!“ Und doch sehen wir uns manchmal in der Notwendigkeit ein Passwort weitergeben zu müssen. Nun was wenn ich euch sage, die Welt ist nicht nur Schwarz/Weiß, sondern ist gibt einen Graubereich, in dem es teilweise vertretbar ist ein Passwort weiterzugeben? Denn gerade als Webworker gibt es diese Situation schon mal. Die Frage die hierbei aber wichtig ist: Wie kann ich das Passwort sicher übermitteln?

Heute habe ich einen Tweet von Bego gesehen, der mich zu diesem Post motiviert hat. Er hat nämlich genau die Frage gestellt, welche wohl die beste Methode sei geheime Login Daten an einen Klienten weitergeben zu können. Ich habe ihm in zwei kurzen Tweets geantwortet möchte aber meine Gedanken hier noch etwas ausführen.

Passwörter weiter geben

Zu erst einmal, meine privaten/firmlichen Passwörter sind hoch komplex, so dass ich sie selber nicht kenne. Ich speicher diese in einem Passwort Manager und gebe diese Passwörter auch niemals weiter. Denn es gibt keinen Grund warum eine dritte Person ein Passwort von mir haben sollte.

Grundregel: Keiner sollte nach euren Passwörtern fragen. Das schließt jegliche Mitarbeiter von Firmen oder Hotlines ein. Denn wenn ein „Mitarbeiter“ z.B. von eurer Bank ein Passwort von euch haben möchte ist es ein Betrug. Wenn die Person wirklich dort arbeiten würde hätte sie einen dedizierten Zugang für die Arbeit und braucht euer Passwort gar nicht!

Wann gebe ich Passwörter weiter

Das heißt im Umkehrschluss, ich gebe wenn überhaupt nur Passwörter weiter, die nicht zu meinen privaten/firmlichen Passwörtern gehören. Um konkret zu werden ein Beispiel: Als Webworker setze ich u.A. auch neue Kundensysteme auf, dabei lege ich auch neue Passwörter fest für verschiedene Systeme (WordPress, Datenbank, Hoster, etc.). Nur wo ich der Meinung bin, der Kunde sollte den Zugang dazu haben, gebe ich Passwörter weiter. Dabei schätze ich aber immer ab, ob der Kunde den Zugang wirklich braucht oder es nicht besser wäre ich behalte das Passwort alleine, weil ich eh die Person bin die damit interagieren würde. Dann braucht der Kunde sich damit nicht beschäftigen und kann auch nichts kaputt machen.

Es gibt also Situationen in denen ich Passwörter ganz bewusst weitergebe. Nach welcher Prämisse ich nun vorgehe beschreibe ich jetzt.

Regel 1: Nicht via (unverschlüsselter) Mail

Die wichtigste Regel für mich ist: Ich sende niemals Passwort, Username und ggf. noch Login URL zusammen in einer unverschlüsselten Mail. Da unverschlüsselte Mails wie Postkarten fungieren, also jeder kann sie lesen, ist das eine sehr unsichere variante.

Regel 2: Verschlüssel die Mail

Die in meinen Augen beste Methode wäre eine verschlüsselte Mail zu senden. Mit PGP oder S/MIME kann man inzwischen einfach Mails verschlüsseln und so auch sicherheitskritische Daten verschicken. Leider kann ich das nur tun, wenn der Empfänger auch mit der Technologie soweit vertraut ist dass er sie verwenden kann und mir einen Schlüssel zum verschlüsseln anbietet.

Wenn dies nicht der Fall ist, was bei Kunden oftmals der Fall ist, komme ich zu meiner dritten Regel.

Regel 3: Trenne Passwort vom Rest

Falls ich keine verschlüsselte Mail senden kann, trenne ich das Passwort von den restlichen Informationen. Ich schicke dann eine Mail mit allen nötigen Informationen an die Person, wo kann man sich anmelden, um welchen Login geht es hier überhaupt, wie ist der Nutzername, etc. aber ohne Passwort. Ich schreibe in die Mail dann rein, dass ich das Passwort über einen zweiten Kanal verschicken werde, um die Sicherheit zu erhöhen.

Welchen Kanal ich dabei verwende mach ich vom Empfänger ab. Entweder ich gebe das Passwort telefonisch durch, nutze einen Messenger Dienste oder ich verwende onetimesecret.com (siehe unten). Wenn der Messenger z.B. Threema, Signal, Telegram, etc. ist wäre das schön, weil dann könnte man den Chat verschlüsseln und somit das Passwort sicher übertragen.

Regel 4: Passwort Kommentarlos übermitteln

Sollte ich das Passwort nun, bedingt durch Regel 3, über einen anderen Kanal übermitteln mache ich das in der Regel kommentarlos. D.h. ich sende wirklich nur das Passwort als Zeichenkette. Ich schreibe nicht dazu wofür das ist oder verweise auf die Mail oder Ähnliches. Denn was diese komische Zeichenkette bedeutet weiß der Empfänger ja bereit durch die Mail und erwartet diese.

Warum mache ich das? Ich kann eben nicht garantieren, dass nur der Empfänger das Passwort sieht. Vielleicht schaut ihm gerade ein Kollege über die Schulter oder in der U-Bahn sitz ein gelangweilter Fahrgast und liest heimlich mit. Zudem ist das Passwort jetzt im Chat Verlauf gespeichert und für längere Zeit abrufbar. Somit wäre es auch denkbar, dass irgendjemand sich das Handy schnappt und interessiert den Chat Verlauf nachliest. Aus diesem Grund übermittel ich das Passwort kommentarlos um nicht mehr Informationen preiszugeben als nötig.

Tipp: onetimesecret.com

Ich habe vor einige Zeit mal den Service onetimesecret.com gefunden und nutze ihn inzwischen öfters um geheime Informationen weiterzugeben. Mit dem Service kann man einen Text speichern, der ein mal und wirklich nur ein mal über einen Link verfügbar ist. Sobald er Link angeklickt und das „Geheimnis“ angesehen wurde ist der Link nicht mehr verfügbar und die Nachricht wurde auf dem Server gelöscht. Zudem kann man das Geheimnis noch zusätzlich mit einer Passphrase schützen.

Mit onetimesecrete.com kann man Text schnell, einfach und sicher übermitteln. Dabei ist der Text nur ein einziges mal abrufbar.

Auch hier halte ich mich an die Regel 4! Ggf. kombiniere ich dann noch den Chat und setzte ein Passwort für den Link und sende dieses per Chat an den Empfänger.

Grundsätzlich gilt, da ihr den Code so nicht überprüfen könnt müsst ihr davon ausgehen (sicherheitstechnisch), dass die Websiten Betreiber mitlesen können. Deshalb ist Regel 4 so wichtig. Laut Webseite heißt es aber, wenn ihr eine zusätzliche Passphrase verwendet wird das Geheimnis verschlüsselt auf dem Server und auch die Webseiten Betreiber können nicht mitlesen.

Fazit

Ich versuche so selten wie möglich Passwörter zu übermitteln. Wenn möglich lass ich das Passwort vom System, z.B. WordPress, erzeugen, welches dann eine Mail an den Nutzer schickt. So bekomme ich das Passwort erst gar nicht mit. Aber falls doch folge ich die einfachen Regeln und guck, dass ich das Passwort so sicher wie möglich übermittel ohne den Empfänger total zu überfordern, indem ich ihn „zwinge“ PGP zu installieren. Wichtig für mich ist das Passwort und den Usernamen zu trennen.

Es ist nach wie vor ein Passwort dabei gilt es es geheim zu halten und das gilt auch wenn ich es weitergebe.

Wie habt ihr denn für euch die Problematik geklärt, falls ihr mal Passwörter übermitteln müsst? Nutzt ihr eine ähnliche Strategie oder ist es euch total Wurst und ich sendet alles unverschlüsselt via Mail? Für eure Meinung habe ich extra ein Kommentarfeld 🙂

Author: Hans-Helge

Als studierter Informatiker arbeitet Hans-Helge gerne als freiberuflicher WordPress Entwickler und betreut neben eigenen Projekten viele andere Webseiten u.A. im ehrenamtlichen Bereich.

12 Kommentare

  1. Nützlicher Artikel, vielen Dank.

    Ich schicke das PW oft einzeln als Bild, das ich vorher gehörig verzerre. Außerdem bekommt das Bild einen unverfänglichen Namen, meistens aus dem Foodbereich 😛

    Bliebe noch zu ergänzen, dass die User*in ihr Passwort sofort ändern sollte. Das beinhaltet, dass man erklärt, WARUM. Und (auch wenn’s fast niemand mehr hören will) – ich füge dann immer in einem Satz dazu, WAS ein sicheres Passwort ist.

    Antworten

    1. Das man sein Passwort ändern sollte ist ein guter Hinweis, den ich meistens auch noch gebe, weil es ja nicht im Interesse sein sollte, dass ich das Passwort (noch) weiß.

      Was ein sicheres Passwort ist erkläre ich in der Regel nicht. Aber ich glaube ich müsste mir dafür mal ein Text Snippet basteln, dass ich einfach in solche Mails schnell rein kopieren kann.

      Antworten

  2. Ich empfehle im (geschlossenen) Plugin-Support bisher immer https://revealit.me/. Das Tool stammt von einem Entwickler aus demselben Haus wie die Plugins, die ich supporte. Im Gegensatz zum oben beschriebenen Tool, hat es allerdings keine Option für eine zusätzliche Passphrase. Eine solche macht auch nur Sinn, wenn ich sie getrennt von der URL des Secrets versende, oder? Auf jeden Fall danke für die Vorstellung der Alternative, schaue ich mir an!

    Antworten

    1. Danke für die Alternative. revealit.me kannte ich selber nicht, aber es ist ja immer gut wenn es mehrere Möglichkeiten gibt.

      Die Passphrase musst du natürlich zusätzlich mitteilen. Man könnte aber auch eine Nachricht mit Passphrase schützen und dann die Passphrase ohne Passphrase mit onetimesecret.com verschicken. Wie viel Sinn das macht muss jeder selber entscheiden ^^

      Antworten

    2. Mein erster Gedanke war ja „Was nützt es, wenn ich statt des Passworts einen Link zum Passwort schicke“. Dann aber rasch mal ausprobiert und mit Entzücken festgestellt, dass sich die geheime Geheimbotschaft Mission-Impossible-mäßig nach dem allerersten Aufruf von selbst löscht. Sollte die Mitteilung also abgerufen werden, bevor der eigentliche Empfänger sie abrufen konnte, wird man zumindest gewarnt. Sollte jemand anschließend versuchen, sie abzurufen, gibt es nichts mehr zu sehen. Für die einfache Übermittlung von (temporären) Zugangsdaten sollte das ausreichen. Danke für den Tipp!

      Antworten

  3. Das kommt ehrlich gesagt immer darauf an. Innerhalb von meinem Team verwenden wir 1Password (bin günstig an ein Abo ran gekommen), da fällt das also schon mal weg.

    Privat dann meistens über Telegram die Info „Hey, ich brauche das Passwort für XYZ“ und versendet wird es dann wie du es machst kommentarlos, der Weg variert aber. Manchmal sage ich auch, dass man z. B. die Anzahl der Zeichen nehmen soll und dann in der Mitte aufteilt, das heißt, ich verdrehe Passwörter auch mal. Der Empfänger weiß aber, wie er es richtig zusammen setzt. Dann kann man Passwörter auch mal per Mail senden.

    Beispiel:

    Original: 67fTmNmaRG3D6Tp9
    Ich versende: RG3D6Tp967fTmNma

    Antworten

  4. Oh, hier sind ja schon interessante Tipps zusammengekommen. Dass jeder da sein eigenes Rezept hat, zeigt auch sehr schön, dass es bisher keinen standardisierten Weg gibt, um vertrauliche Daten auszutauschen. Liegt das daran, dass PGP bzw. GPG für den Laien verdammt kompliziert ist?
    Neben den Messaging-Diensten wie Threema oder Signal (verschlüsselte 1:1-Kommunikation) wurden mir auch noch die Anbieter von verschlüsselten E-Mail-Briefkästen (z.B. ProtonMail und Tutanota) genannt. Der/die EmpfängerIn erhält einen Link zu einer Website, die eine vertrauliche Information erst nach Eingabe eines Passworts freigibt. Aber wie man das nun wieder kommuniziert …  😉

    Antworten

  5. Danke für die vielen guten Tipps und Hinweise.
    Ich versende in der Regel auch Passwörter getrennt vom Rest und kommentarlos.
    Leider habe ich im Kundenbereich schon auch das Problem, dass die Kundinnen und Kunden sehr wenig web-affin sind und sowas wie PGP sie hoffnungslos überfordern würde.
    Selbst einen Link zu haben, der nur einmal funktioniert, halte ich für viele für schwierig. 😉

    Was mir in der letzten Zeit untergekommen ist: Beim Support von einigen Premium-Plugins wird man gelegentlich aufgefordert, WordPress oder FTP Credentials zu hinterlegen.
    Ich mach das dann schon immer extra auf der Website. Manchmal bekomme ich dann eine Mail, die alles nochmal bestätigt, schön offen und klar zu lesen… 🙁
    Böses Foul, finde ich.
    (Gut, ich lege immer spezielle Nutzerkonten an, die ich dann sofort wieder entferne.. Trotzdem.)

    Antworten

    1. Wenn du dem Betreiber der Webseite dieses Problem mitteilt, macht er vielleicht etwas. Das ist nicht unbedingt ein Umstand, an den ich sofort denken würde, dass das unsicher ist.

      Antworten

      1. Ich hab es in die Bewertung geschrieben, die diese Support-Foren ja in der Regel auch abfragen. Ich hoffe sehr, dass das etwas bewirkt. :O

        Antworten

  6. Wenn ich kann übermittele ich meine PWs via Teamviewer und dann via copy past.
    Einfach eine Textdatei auf dem Desktop (Schreibtisch) des andern anlegen PW rein fertig. Oder am besten gleich in den PW-Manager.
    PHP für Otto Normalos, ja – nein.
    Eher funktionieren könnte eine kostenlose E-Mail zum Beispiel bei https://protonmail.com/. Egal welchen Dienst ihr benutzt, solange die Verschlüsslung nicht OpenSorce ist, ist diese unsicher. Womit Whatsapp raus ist. Natürlich ist alles besser als per E-Mail. Selbst kommentarlos oder verdreht ist alles Bannane. Eine E-Mail liegt unter Umständen auch Monate oder gar Jahre lang auf dem Server (IMAP).
    Vielleicht einfach mal wieder einen Brief mit der Post schicken, kann ja auch ein USB-Stick drin sein oder ne speicherkarte. Diese wiederum verschlüsselt, das PW dafür könnt ihr jetzt Problemfrei per E-Mail senden (wenn der Brief angekommen ist).
    Viel Erfolg.

    Antworten

    1. Teamviewer ist durchaus ein nützliches Tool. Ich nutze es im privaten Umfeld auch sehr gerne. Allerdings, sobald es um Kunden geht, und dann bewegen wir uns im gewerblichen Umfeld, kann ich Teamviewer nicht verwenden, weil ich keine Lizenz dafür erworben habe. Zudem finde ich, ist es immer doof dem Kunden bzw. dem Gegenüber (wer auch immer das sein mag) etwas installieren zu lassen, was die vielleicht gar nicht möchte.

      Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.