Es ist doch so, schon Mama hat uns früher, als wir noch klein waren, gesagt: „Hörst du Junge, gibt niemals ein Passwort weiter!“ Und doch sehen wir uns manchmal in der Notwendigkeit ein Passwort weitergeben zu müssen. Nun was wenn ich euch sage, die Welt ist nicht nur Schwarz/Weiß, sondern ist gibt einen Graubereich, in dem es teilweise vertretbar ist ein Passwort weiterzugeben? Denn gerade als Webworker gibt es diese Situation schon mal. Die Frage die hierbei aber wichtig ist: Wie kann ich das Passwort sicher übermitteln?
Heute habe ich einen Tweet von Bego gesehen, der mich zu diesem Post motiviert hat. Er hat nämlich genau die Frage gestellt, welche wohl die beste Methode sei geheime Login Daten an einen Klienten weitergeben zu können. Ich habe ihm in zwei kurzen Tweets geantwortet möchte aber meine Gedanken hier noch etwas ausführen.
What is the best way to secretly exchange credentials with your clients, if they don't use PGP mail encryption? Threema? Keybase.io?
— Bego Mario Garde (@pixolin) January 30, 2017
Passwörter weiter geben
Zu erst einmal, meine privaten/firmlichen Passwörter sind hoch komplex, so dass ich sie selber nicht kenne. Ich speicher diese in einem Passwort Manager und gebe diese Passwörter auch niemals weiter. Denn es gibt keinen Grund warum eine dritte Person ein Passwort von mir haben sollte.
Grundregel: Keiner sollte nach euren Passwörtern fragen. Das schließt jegliche Mitarbeiter von Firmen oder Hotlines ein. Denn wenn ein „Mitarbeiter“ z.B. von eurer Bank ein Passwort von euch haben möchte ist es ein Betrug. Wenn die Person wirklich dort arbeiten würde hätte sie einen dedizierten Zugang für die Arbeit und braucht euer Passwort gar nicht!
Wann gebe ich Passwörter weiter
Das heißt im Umkehrschluss, ich gebe wenn überhaupt nur Passwörter weiter, die nicht zu meinen privaten/firmlichen Passwörtern gehören. Um konkret zu werden ein Beispiel: Als Webworker setze ich u.A. auch neue Kundensysteme auf, dabei lege ich auch neue Passwörter fest für verschiedene Systeme (WordPress, Datenbank, Hoster, etc.). Nur wo ich der Meinung bin, der Kunde sollte den Zugang dazu haben, gebe ich Passwörter weiter. Dabei schätze ich aber immer ab, ob der Kunde den Zugang wirklich braucht oder es nicht besser wäre ich behalte das Passwort alleine, weil ich eh die Person bin die damit interagieren würde. Dann braucht der Kunde sich damit nicht beschäftigen und kann auch nichts kaputt machen.
Es gibt also Situationen in denen ich Passwörter ganz bewusst weitergebe. Nach welcher Prämisse ich nun vorgehe beschreibe ich jetzt. „Wie gebe ich Passwörter bewusst und sicher weiter“ weiterlesen