10
Passwörter per Mail übertragen?
Hallo Leute,
wie übertragt Ihr Eure Passwörter oder auf welchem Weg fühlt Ihr Euch am sichersten?
1. Passwörter per Mail im Klartext? Nein, ist klar ;).
2. Passwörter per Mail mit Zip (AES 256) und ausreichendem PW (10-12 Stellen, Sonderzeichen, Buchstaben, Zahlen)? Klingt sicher, aber es bleibt halt bei der Emailübertragung.
3. Zugangsdaten einsehbar per Mail & das Passwort telefonisch? Bei komplexen Passwörtern geschehen so oft Fehler & Kunden sind genervt. Besser die Zugangsdaten auch verschlüsseln?
Und los.
Danke für die Ideen! Bitte keine utopischen Vorschläge ala verschweißtes Metallpaket mit Fingerprint-Scanner und Hochsicherheitstransport.
wie übertragt Ihr Eure Passwörter oder auf welchem Weg fühlt Ihr Euch am sichersten?
1. Passwörter per Mail im Klartext? Nein, ist klar ;).
2. Passwörter per Mail mit Zip (AES 256) und ausreichendem PW (10-12 Stellen, Sonderzeichen, Buchstaben, Zahlen)? Klingt sicher, aber es bleibt halt bei der Emailübertragung.
3. Zugangsdaten einsehbar per Mail & das Passwort telefonisch? Bei komplexen Passwörtern geschehen so oft Fehler & Kunden sind genervt. Besser die Zugangsdaten auch verschlüsseln?
Und los.
Danke für die Ideen! Bitte keine utopischen Vorschläge ala verschweißtes Metallpaket mit Fingerprint-Scanner und Hochsicherheitstransport.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 240136
Url: https://administrator.de/contentid/240136
Ausgedruckt am: 23.11.2024 um 01:11 Uhr
10 Kommentare
Neuester Kommentar
Hallo,
was für Passwörter?
Die Schwachstelle in der Sicherheit ist immer der Benutzer der das Paswort bekommt (aufschrieben auf Zettel z.B.)
Wenn ihr z.B. einen eigenen Mailserver habt und nur die Passwörter nur an eigene Nutzer geht, können die Passwörter auch per Mail verschickt werden im Klartext.
Es darf nur nicht möglich sein, das sich ein Benutzer über eine nicht verschlüsselte Verbindung Zugriff auf das Postfach verschafft.
Je nach anwendung sollten diese Passwörter aber nur initialpasswörter sein, die danach beim ersten einloggen vom Benutzer geändert werden müssen. (Speichern der Benutzerpasswörter in einem Passwortmanager z.B. Keepass2)
Gruß
Chonta
was für Passwörter?
Die Schwachstelle in der Sicherheit ist immer der Benutzer der das Paswort bekommt (aufschrieben auf Zettel z.B.)
Wenn ihr z.B. einen eigenen Mailserver habt und nur die Passwörter nur an eigene Nutzer geht, können die Passwörter auch per Mail verschickt werden im Klartext.
Es darf nur nicht möglich sein, das sich ein Benutzer über eine nicht verschlüsselte Verbindung Zugriff auf das Postfach verschafft.
Je nach anwendung sollten diese Passwörter aber nur initialpasswörter sein, die danach beim ersten einloggen vom Benutzer geändert werden müssen. (Speichern der Benutzerpasswörter in einem Passwortmanager z.B. Keepass2)
Gruß
Chonta
Hallo Chonta,
Passwörter für Externe, Kunden, Fremde.
Für bestimmte Komponenten kann für diese nach dem Login keine Änderungen erzwungen werden.
Es handelt sich nicht im User Passwörter.
Die Passwörter werden denke ich mal am einfachsten nur per Telefon weitergegeben?
Ansonsten müsste man im Zip Fall, ja das PW mit einem PW verschlüsseln, welches man dann wieder per Telefon weitergibt.
Im Beispiel AES müsste das 10 Zeichen +, und eine hohe Komplexität aufweisen.
Also ob ich das Passwort jetzt direkt über Email mit 7-Zip übertrage und per Telefon, oder nur per Telefon sollte doch egal sein :D?
Nicht aufschreiben & Passwortmanager ist klar, aber das ist dann wiederrum (z.B.) Kundensache.
Passwörter für Externe, Kunden, Fremde.
Für bestimmte Komponenten kann für diese nach dem Login keine Änderungen erzwungen werden.
Es handelt sich nicht im User Passwörter.
Die Passwörter werden denke ich mal am einfachsten nur per Telefon weitergegeben?
Ansonsten müsste man im Zip Fall, ja das PW mit einem PW verschlüsseln, welches man dann wieder per Telefon weitergibt.
Im Beispiel AES müsste das 10 Zeichen +, und eine hohe Komplexität aufweisen.
Also ob ich das Passwort jetzt direkt über Email mit 7-Zip übertrage und per Telefon, oder nur per Telefon sollte doch egal sein :D?
Nicht aufschreiben & Passwortmanager ist klar, aber das ist dann wiederrum (z.B.) Kundensache.
Hallo @ThomasAnderson,
Wie wäre es mit Einmal-Links, welche das Passwort über eine HTTPS-Verschlüsselung im Browser anzeigt / aktiviert?
Ist halt schon wesentlich mehr Aufwand, so ein System zu implementieren.
Intern übergeben wir Passwörter normalerweise auf einem Zettel.
Gruß,
@Snowman25
Wie wäre es mit Einmal-Links, welche das Passwort über eine HTTPS-Verschlüsselung im Browser anzeigt / aktiviert?
Ist halt schon wesentlich mehr Aufwand, so ein System zu implementieren.
Intern übergeben wir Passwörter normalerweise auf einem Zettel.
Gruß,
@Snowman25
Wer solch einen Link abfängt, hat das Passwort ja dann trotzdem?
Stimmt. Aber das vermeidet, dass ein Passwort im Klartext übertragen wird oder mithilfe von Textsuchen entsprechende Mails herausgefiltert werden könnten.
Ausserdem werden solche Mails vom Empfänger normalerweise recht schnell nach dem Empfang geöffnet. Eine Automation würde die Mail erst speichern und ein Mensch müsste den Link öffnen. Denn wenn ein entsprechender Sniffer alle Links in einer E-Mail öffnen würde, wäre die Maschine schnell am hecheln, sobald ein Newsletter reinkommt.
Noch dazu würde es der User merken, wenn der Link bereits abgelaufen wäre, da dieser nicht mehr funktionieren würde. Dies zieht dann eine Rückmeldung bei euch nach, weil der User ja sein Passwort nicht hat.
Gruß,
@Snowman25
Ausserdem werden solche Mails vom Empfänger normalerweise recht schnell nach dem Empfang geöffnet. Eine Automation würde die Mail erst speichern und ein Mensch müsste den Link öffnen. Denn wenn ein entsprechender Sniffer alle Links in einer E-Mail öffnen würde, wäre die Maschine schnell am hecheln, sobald ein Newsletter reinkommt.
Noch dazu würde es der User merken, wenn der Link bereits abgelaufen wäre, da dieser nicht mehr funktionieren würde. Dies zieht dann eine Rückmeldung bei euch nach, weil der User ja sein Passwort nicht hat.
Gruß,
@Snowman25
Hast Du Namen zu solchen Systemen?
Problem ist eben, dass die Hälfte der Kunden keinen Radius hat und es auch keine passenden OTP Lösungen oder Ähnliches gibt.
Da muss das System einfach klassisch mit Passwörtern verwaltet werden.
Problem ist eben, dass die Hälfte der Kunden keinen Radius hat und es auch keine passenden OTP Lösungen oder Ähnliches gibt.
Da muss das System einfach klassisch mit Passwörtern verwaltet werden.
Sorry, leider kenne ich keine entsprechenden Systeme beim Namen. Könnte es aber als Apache-Modul geben?
Ähh ... was war denn nun die Lösung?
ANKH
ANKH
Gibt keine Lösung, bin auf versehen draufgekommen und das lässt sich nicht rückgängig machen. 
Zitat von @ThomasAnderson:
Gibt keine Lösung, bin auf versehen draufgekommen und das lässt sich nicht rückgängig machen.
Gibt keine Lösung, bin auf versehen draufgekommen und das lässt sich nicht rückgängig machen.
Doch: Mehr / Beurteilung zurücksetzen
