Best practice: Passwörter an Kunden senden?

Mitglied: zoomed

zoomed (Level 1) - Jetzt verbinden

08.01.2021 um 16:40 Uhr, 1285 Aufrufe, 11 Kommentare, 1 Danke

Hi zusammen,

da wir keine Passwörter im Email-Klartext versenden wollen, würde mich mal interessieren wie ihr das macht?
Nutzt ihr irgendwelche Tools dafür?
Ist so etwas wie snappass sicher?
https://snappass.symplasson.de/

Ich danke euch.

Gruß
Rene
Mitglied: tikayevent
08.01.2021 um 16:48 Uhr
Ich steh häufiger mit anderen Firmen in Kontakt und tausche mit denen Preshared Keys für VPNs aus, also effektiv das Gleiche. Früher hat man das telefonisch gemacht, mittlerweile nimmt man da einfach einen Messenger mit Ende-zu-Ende-Verschlüsselung oder eine SMS. Wichtig ist halt, dass man nicht darauf schließen kann, was es ist und dass es strikt getrennt ist.

Im Gegenzug spricht aber nichts gegen den Versand per E-Mail, wenn weitere, zwingend notwendige, Teile der Zugangsdaten auf einem anderen Weg übermittelt werden und nicht aufgrund von Hinweisen rekonstruierbar sind.

Das Problem, bei deinem Link ist halt, dass jemand schon vorher das Passwort abfangen könnte. Wenn eine Mail mit einem solchen Link im Postfach liegen bleibt, weil der Empfänger gerade dienstbar ist, dann fällt ein solcher Diebstahl nicht auf. Der Empfänger bekommt dann halt am Ende nur die Info "Passwort gelöscht", häufig zu spät.
Bitte warten ..
Mitglied: zoomed
08.01.2021 um 16:55 Uhr
Wow, viele neue Aspekte. Danke!
Dann hilf es auch nicht Benutzername und Passwort getrennt in 2 Mails zu versenden?
Bitte warten ..
Mitglied: tikayevent
08.01.2021 um 17:13 Uhr
Nein, wenn einer Zugriff auf die Mails hat, egal ob im Client, dem Server oder auf der Leitung, sind die Zugangsdaten bei fehlender Ende-zu-Ende-Verschlüsselung kompromitiert.

Die Verbindung zwischen Mailservern ist heute zwar schon sehr oft verschlüsselt, aber es erfolgt keine Überprüfung, ob das Zertifikat gültig ist und ob der richtige Server erreicht wurde. Den Servern ist es auch egal, ob die Verbindung verschlüsselt oder unverschlüsselt ist. Mailserver wollen eine Mail loswerden, egal wie.
Bitte warten ..
Mitglied: StefanKittel
08.01.2021 um 17:46 Uhr
Hallo,

was Tolles habe ich bisher auch nicht gefunden.

Ich nutze:
A) Email mit Kennwortgeschützer 7zip-Datei, Das Kennwort dann als Bild per SMS, WhatsApp, Post, Fax oder mündlich
B) Datei direkt auf dem Server des Kunden ablegen

Stefan
Bitte warten ..
Mitglied: zoomed
08.01.2021 um 18:02 Uhr
ok, ich verstehe: im Prinzip brauche ich einfach ein 2. Medium.
bei dir eben musste ich schmunzeln, weil du ja im Prinzip den Inhalt der zip-Datei schon per Telefon SMS usw. mitteilen könntest :-) face-smile
Bitte warten ..
Mitglied: it-fraggle
08.01.2021 um 18:04 Uhr
Zitat von zoomed:
da wir keine Passwörter im Email-Klartext versenden wollen, würde mich mal interessieren wie ihr das macht?
Als Textdatei in einer passwortgeschützten ZIP-Datei und das Passwort für die ZIP-Datei telefonisch mitteilen. Alternativ kann man es auch per verschlüsselter E-Mail (SMIME/PGP) senden.
Ist so etwas wie snappass sicher?
https://snappass.symplasson.de/
Sobald du das Passwort an irgendwen anderes übermittelst, ist es nicht mehr sicher. Und das gilt in meinen Augen auch für Passwortdienste.
Bitte warten ..
Mitglied: Dani
08.01.2021, aktualisiert 09.01.2021
Guten Abend Rene,
die EU-DGSVO regelt den geschäftlichen Versand von Passwörtern. Kurz um: Es müssen zwei getrennte Kanäle verwendet werden. Diensten, wie du vorgeschlagen hast, würde ich nie geschäftliche Daten wie Passwörter, Zertifikate, etc... anvertrauen. Auch wenn das Hosting in Deutschland erfolgt.

Auf dessen Basis haben wir eine Eigenentwicklung im Einsatz. Das Prinzip ist recht simpel. Ich rufe eine Weboberfläche auf, gebe die E-Mail-Adresse und Mobilfunknummer des Empfängers, das vorher telefonisch definierte Passwort sowie den Text den ich übermitteln möchte, ein. Anschließend verschicke ich die Nachricht.

Der Empfänger erhält per E-Mail den Link zu der Nachricht. Authentifiziert sich mit dem Passwort und dem Einmalcode, der per SMS verschickt wurde. Sobald die Nachricht aufgerufen wurde, wird diese inkl. alle (Meta)daten unwiderruflich auf unserem Server gelöscht.


Gruß,
Dani
Bitte warten ..
Mitglied: StefanKittel
09.01.2021 um 02:04 Uhr
Kurzer Nachtrag

Seit einiger Zeit bekommen Kunden einen "Willkommens-Zettel" persönlich übergeben.
Darauf steht unter anderen auch ein zufälliges Kennwort was ich für diese Zwecke dann verwenden.
Leider finden viele diese wichtige Unterlage später nicht wieder :-( face-sad

Stefan
Bitte warten ..
Mitglied: yoppi1
09.01.2021 um 09:11 Uhr
1. Zu einem Kommentar hier, der sich auf die DSGVO bezieht:
Die DSGVO "regelt" das nicht. Zumindest nicht direkt. Es gibt keine "Regeln" in der DSGVO, wo steht, dass man Passwörter über einen zweiten Kanal versenden muss. Und die DSGVO unterscheidet nicht zwischen "geschäftlich" und "privat", sondern zwischen "personenbezogen" und "nicht personenbezogen".

Allerdings bezieht die DSGVO auch die "technischen und organisatorischen Maßnahmen" mit ein. Wenn die so unzureichend sind, dass Unberechtigte Passwörter erhalten, mit denen sie (nicht nur!) personenbezogene Daten einsehen können, dann haben unsere Aufsichtsbehörden dazu eine feste Meinung, die dazu führen kann, dass man am Ende ein Bußgeld bezahlen muss.

Letztendlich muss der Schutz des Passworts und das Passwort selbst angemessen sein.

2. Wichtige, unverschlüsselte Passwörter immer auf einem zweiten Kanal übertragen. Egal, welcher das ist. Zweckmässig kann eine SMS sein. Statt dessen auch ein Messenger. Manch einer schreibt das Passwort auf eine Papierseite und hält es während einer Skype-Konferenz hoch, damit das Gegenüber das Passwort abschreiben kann ;-) face-wink

Abgesehen davon frage ich mich mal wieder, warum kein S/MIME oder PGP bzw. GnuPG benutzt wird. Das ist kostenlos und das einzige, was man machen muss, ist den öffentlichen Schlüssel auszutauschen. Selbst wer PGP nicht regelmäßig benutzen möchte, kann mal eben GnuPG installieren und einen neuen, eigenen Schlüssel erstellen. Das dauert nur Sekunden.
Mittlerweile gibt es sogar Dienstleister, die den eigenen, selbst erstellten Schlüssel "zertifizieren", indem sie den PGP-Schlüssel beglaubigen, der vorher mit dem nPA (neuer Personalausweis) unterschrieben wurde. Siehe "Fraunhofer" und "Volksverschlüsselung".
Bitte warten ..
Mitglied: Th0mKa
09.01.2021, aktualisiert um 12:36 Uhr
Zitat von yoppi1:

Selbst wer PGP nicht regelmäßig benutzen möchte, kann mal eben GnuPG installieren und einen neuen, eigenen Schlüssel erstellen. Das dauert nur Sekunden.

Moin,

ich weiß ja nicht in was für einer Firma du arbeitest, aber es gibt da draußen Firmen da ist "mal eben installieren" nicht unter 6 Monaten machbar, weil man u. a. das ein oder andere Gremium (Betriebsrat, CAB, etc. ) einbeziehen muss und das Programm bevor es auf deinem PC ankommt noch durch die Abnahmeumgebung(en) muss.

/Thomas
Bitte warten ..
Mitglied: Visucius
10.01.2021 um 09:17 Uhr
Es geht doch nicht darum, PGP einzurichten.

Es geht darum, auch später (Archiv, Rechnerwechsel, verschiedene Clients, ...) lesbaren Zugriff auf die Mails zu haben.
Bitte warten ..
Heiß diskutierte Inhalte
Wünsch Dir was
Das ist ja nicht auszuhalten, dass ich für jeden googlen soll
NordicMikeVor 15 StundenAllgemeinWünsch Dir was22 Kommentare

Ich beantrage, dass bei jeder Beitragserstellung eine Checkbox angeklickt werden muss, mit dem Text: Ja, ich habe bereits danach gegoogelt. Ansonsten soll der "Senden" ...

Rechtliche Fragen
Adobe Flash erneut aktivieren, IT-Sicherheit + Datenschutz
anteNopeVor 1 TagFrageRechtliche Fragen14 Kommentare

Hallo zusammen, ich weiß es ist noch nicht Freitag aber mir ist hier gerade die Kinnlade bis in den Keller gefallen. Opel (ja der ...

Windows 10
Wie kann ich mehrere PCs gleich aufsetzten (mit User)
dressaVor 1 TagFrageWindows 1010 Kommentare

Hallo miteinander. Wie kann ich mehrere PCs (über 200) gleich aufsetzten. Ich habe etwa 4 Modele die sich nur von der Baugeneration unterscheiden. Also ...

Flatrates
Mobilfunktarife für die Firma (günstig)
gelöst ingo1988Vor 1 TagFrageFlatrates13 Kommentare

Hallo, kann mir jemand weiterhelfen im Bezug auf Mobilfunktarife für Unternehmen? Ich suche nämlich günstige Angebote im Telekom oder Vodafone Netz, ähnlich wie Lidl ...

Microsoft
Wie verteilt Ihr Software im AD auf die Clients? GPO?
Der-PhilVor 1 TagFrageMicrosoft14 Kommentare

Hallo! Die Kernfrage steht eigentlich schon im Titel: Wie verteilt ihr Software und haltet sie aktuell auf den Clients? Bislang mache ich das alles ...

Hardware
Homelab - Gebrauchte Server Hardware?
gelöst kernl33Vor 18 StundenFrageHardware16 Kommentare

Hallo zusammen, ich plane mir für mein Homelab einen 19 Zoll Server (2-4HE) anzulegen, es soll ein Hypervisor mit diversen VMs laufen. Hier zu ...

Cloud-Dienste
Server über zwei WAN Leitungen mit Load Balancing verfügbar machen
tobitobsnVor 1 TagFrageCloud-Dienste13 Kommentare

Moin zusammen, ich plane, einen Server im WAN über zwei Leitungen (Kabel und DSL) zwecks Ausfallsicherheit und Load Balancing verfügbar zu machen. Es sind ...

Festplatten, SSD, Raid
SATA Treiber für HP
ben1300Vor 10 StundenFrageFestplatten, SSD, Raid15 Kommentare

Hallo zusammen, ich habe einen PC von HP (Seriennummer: CZC3475D5D) Wollte hier Windows 7 Prof. installieren - es fehlt der SATA Treiber Leider kann ...