Passwörter versenden, ohne die Sicherheit zu kompromittieren

[sia]

Hallo Leute,

Habe in meinem Berufsalltag schon des Öfteren die Problemstellung gehabt, diversen wichtigen Personen Passwörter per eMail zu senden. Trotz des wiederholten Hinweises, dass das eine sehr, sehr dumme Idee ist, kommt immer wieder der Wunsch auf.

Bisher habe ich das entweder so gelöst, dass ich eine verschlüsselte 7z-Datei mit einer Passwortliste versendet habe, die der Empfänger dann mit einem Passwort, dass ich über einen anderen Kanal (OTR-verschlüsseltes Jabber, SMS) versendet habe, öffnen kann. Diese landet dann vermutlich unverschlüsselt auf dem Desktop und wird fleißig weiterverteilt, was mir natürlich auch ein Dorn im Auge ist.

Auch das ist natürlich nicht das Gelbe vom Ei, allerdings ist mir auch keine bessere Lösung bekannt. Twitter hatte mal eine nette Entwicklung namens Mitro, welches aber nicht mehr weiterentwickelt wird. Der Open Source Code wird von Passopolis weiter gepflegt, aber ein unabhängiges Audit wurde noch nicht durchgeführt.

Außerdem kann man das ja auch wieder nicht auf den iPhones nutzen, wenn der Mensch mal unterwegs Zugriff auf ein missionskritisches Datenbanksystem benötigt.


Wie habt ihr das gelöst? Wie kann man Passwörter sicher weitergeben, ohne die Integrität derselben zu kompromittieren?
Was kann man gegen Notizzettel mit Passwörtern an Bildschirmen tun?

 

[Gelöschtes Mitglied 1550]

Ich nutze zum Versenden von Passwörtern entweder PWX oder PWShare.

PWX könnte man sich auch selbst hosten.

Wie die User die Passwörter letztlich abspeichern und/oder weiterverbreiten liegt nicht in deiner Macht.

Was kann man gegen Notizzettel mit Passwörtern an Bildschirmen tun?

Das ist imho kein IT-Problem, sondern ein Management-Problem. Ich kenne einige Firmen die es einfach mit Betriebsvereinbarung und der Androhung von Abmahnungen lösen, wenn's nicht anders geht.

 

[BurnerR]

Das ist imho kein IT-Problem, sondern ein Management-Problem.

This. Im Prinzip ist es das typische Problem wie man best/good practices bei Kollaboration umsetzt. Thematisch mit rein in vorbereitende Meetings und dann das beste hoffen ;-D.
Passwortsafes sind ja good practice und komfortabel, aber alle Beteiligten dazu zu bringen die zumindest installiert zu haben und bedienen zu können kann natürlich eine eigene Kunstform sein.

PWX / PWShare / privnote würde mir Bauchschmerzen bereiten, falls nicht self-hosted. Das sind Dienste die ich mehr für den Austausch privater oder leicht sensibler Informationen sehe, nicht für den Austausch geheimer Informationen.

 

[mathmos]

Was kann man gegen Notizzettel mit Passwörtern an Bildschirmen tun?

Erfahrungsgemäß werden diese Zettel oft von Leuten genutzt die genervt sind, alle x Tage ihr Passwort zu ändern und die bei der Neuvergabe bestimmte Anforderungen erfüllen müssen (Sonderzeichen, Groß- und Kleinschreibung, mindestens x Zeichen lang usw.). Davon abgesehen, dass es inzwischen fraglich ist, ob dieses Vorgehen wirklich so viel bringt (http://arstechnica.com/security/201...-the-enemy-of-security-ftc-technologist-says/ Edit: https://xkcd.com/936/ usw.), erweitern die Nutzer ihre "sicheren" Passwörter auch einfach. Dann wird aus "GanzsicheresPasswort" nach x Tagen "GanzsicheresPasswort1" und bei der darauffolgenden Änderung "GanzsicheresPasswort2" usw.

 

[electric.larry]

Wenn irgendwie möglich, versuch ich die Gegenseite dazu zu überreden, PGP im E-Mail-Client zu installieren und schick die Zugangsdaten dann per Mail. Wenn das (so wie meistens) nicht möglich ist, dann schreib ich die Infos in ein Textfile und verschlüssel das mit PGP über die Command Line (gpg -c). Wenn das auch nicht geht, dann wird es ein passwortgeschütztes RAR File. Und wenn das alles nicht möglich ist, weil die Gegenseite schon Schwierigkeiten damit hat, eine E-Mail bis zu Ende zu lesen, dann verteil ich die Zugangsdaten auf Mail und SMS.

Ich bin da ein bisschen betriebsblind und kann nicht nachvollziehen, warum man es nicht schafft, PGP zu installieren. Ausnahme, wenn die IT Richtlinien Neuinstallationen verbieten und der Admin dort keine Notwendigkeit für Security sieht. Offenbar fehlt aber ein "dodelsicherer" Install-Wizard für alle gängigen E-Mail-Clients, mit dem auch meine Mutter ihren E-Mail-Client dafür konfigurieren könnte.

 

[godlike]

Hmm, wieso nicht einfach kommentarlos z.B. per SMS schicken oder so? Und in der Mail dann die Erklärung -> PW per SMS. So kann ein evtl vorhandener Stalker/Dieb so was ja gar nicht zuordnen. Also wenn da nicht explizit Passwort: blahblum in einer Nachricht steht.

Ja nach dem für was das ist kannst du das auch am Telefon klären oder so wie die Bank per Post. Oder gehts hier um Raketenabschlusscodes die unsere Welt ins postatomare Zeitalter katapultieren können? Btw. werden doch auch von Providern z.B. Zugangsdaten einfach in ner mail verschickt. Werden so oder dann doch eher über diverse Schwachstellen Webseiten gehackt? Ich glaube eher Zweiteres.

UNd ja, mich nerven diese elendig komplizierten Passwörter auch unfassbar. Ich bin froh wenn ich mir meinen eigenen Geburtstag merken kann, Ein Passwort aus 16 Zeichen, mit Sonderzeichen, Groß- und Kleinschreibung und Zahlen ist der absolute Horror für mich. Seltsamerweise ist das PW für mein Onlinebanking nur 5 Zeichen lang. Und das war die Bankvorgabe

 

[alter_Bekannter]

Was kann man gegen Notizzettel mit Passwörtern an Bildschirmen tun?

Nur 1 Sache Aufklärung.
Dazu gehört aber auch realistisch sein.

Dümmliche EInschränkungen wie groß/klein Sonderzeichen, Ziegenblut, Zahl, Hyroglyphe...

Führen zu Notizzetteln. Und Leute die die Passwortlänge auf unter 30 Zeichen beschränken gehören verprügelt.

Edit:
mathmos hat das Problem auch schon angesprochen.

 

[SirCrocodile]

Du solltest einfach so lange Passwörter verwenden/ vorschreiben, dass sie niemand abtippen will.

 

[Hector]

Wir machen das halt immer teilweise in der Firma. Ein Teil des PW per SMS, ein Teil telefonisch, ein Teil per Mail, ein Teil per Skype. Whatever.
Klappt meist.

Ist aber nicht meine Entscheidung, ich mach da einfach nur. ^^

 

[sia]

@mathmos: die PW-Richtlinien sind folgende: mindestens 12 Zeichen. Daran liegt es vermutlich nicht, eher daran, dass zwar sogar im SLA die Verwendung eines PW-Managers vorgesehen und sogar einer installiert ist, die Leute aber einfach keinen Bock haben.

Das Management hat auch kein Interesse an einer Lösung, die Arbeitszeit kostet, bevor es nicht knallt. "Es passiert ja nichts schlimmes, dann können die halt über unseren Amazon-Account ein paar Pakete bestellen"

@electric.larry: PGP ist eine gute Idee, wenn die entsprechende Gegenseite das unterstützt. Admin wäre hier ich – die Einrichtung ist also nicht die Hürde. Auch hier scheitert eine flächendeckende Einführung an den "Prophylaxe"kosten. Ich werde lieber zum Feuer austreten gerufen als zum Optimieren der IT-Prozesse. Da bin ich allerdings schon fleißig im Erarbeiten eines Konzeptes

@Hank Moody: Diese Einmal-Passwortgeschichten mit Ablaufdatum sind super, danke. Ich denke, so ein Dienst auf meinem Server in Kombination mit einem lokalen Passwortmanager ist die beste Idee. Die Links dazu kann ich dann entweder per Mail oder per internem Chat verschicken – sehr gut. Warum ich darauf nicht selbst gekommen bin!

Vielleicht nehme ich direkt einen kompletten verschlüsselten Pastebin, der kann dann auch für andere Anwendungsfälle genutzt werden. Schaue mir da mal die gängigen Lösungen inkl. Quellcode an. Ich denke, ich nehme Sticky Notes – im Einsatz z.B. auf https://paste.kde.org/.

 

[Seedy]

RSA Token?

 

[Xypro]

Was kann man gegen Notizzettel mit Passwörtern an Bildschirmen tun?

Bei uns gibt es eine klare Anweisung, dass vertrauliche Daten (dazu gehören die PW bei uns auch) bei verlassen des Arbeitsplatzes verschlossen sein müssen. (Papier, Notizen, Akten in den Schränke - und der PC muss gesperrt sein - auch wenn es nur der 2 Minuten Weg zur Kaffeemaschine ist)
Die interne Revision macht regelmäßig Kontrollrundgänge und die Ergebnisse landen in den Berichten die an den Vorstand gehen.
Geht bis hin zur Abmahnung betroffener Mitarbeiter und die entsprechenden Abteilungsleiter bekommen auch einen auf den Deckel.

---

PW werden bei uns intern nur verschlüsselt versendet (persönliche ID in Lotus Notes) um sicherzustellen dass du der Empfänger sie öffnen kann selbst wenn er eine Mailweiterleitung aktiviert hat. Wenn wir ein Passwort an externe geben dann eigentlich nur telefonisch - ist aber auch Abhängigkeit von der Sensibilität der damit verbundenen Daten/Informationen.

 

[SirCrocodile]

Optimaler Weise sollten Passwörter auch nicht in einem Tresor schriftlich aufbewahrt werden.
Ich nehme den hypothetischen Fall einer Durchsuchung an. Selbst wenn das Unternehmen sich nichts hat zu Schulden kommen lassen, gehören sensible Daten auf höchstem Niveau geschützt und das bedeutet auch in solchen Fällen.

 

[dexter]

Bisher habe ich das entweder so gelöst, dass ich eine verschlüsselte 7z-Datei mit einer Passwortliste versendet habe, die der Empfänger dann mit einem Passwort, dass ich über einen anderen Kanal (OTR-verschlüsseltes Jabber, SMS) versendet habe, öffnen kann.

This.

Alles andere kannst Du nicht beeinflussen. Ausser mit gut zureden, vernünftige Passwortmanager mit SEHR vernünftigen Master-Passwörtern zu verwenden.
Apropos vernünftig:

die PW-Richtlinien sind folgende: mindestens 12 Zeichen.

das ist (mittlerweile) recht grenzwertig.

 

[sia]

das ist (mittlerweile) recht grenzwertig.

Quelle?

 

[dexter]

Vlt hab ich mich falsch oder nicht eindeutig ausgedrückt; MINDESTENS 12 Zeichen impliziert (mir), dass 12 Zeichen halbwegs sicher wären. Kurzer Check auf 5 Jahre alte Onlinetools sagen, dass das vor 5 Jahren noch 5 Jahre gedauert hätte ...

Im Übrigen finde ich die "Sonder"zeichenmanie derb überflüssig. Ein ausreichend langes "un"-"sprechendes" Kennwort ist absehbar unknackbar. Bspw. "Pferd fährt Iphone leer". 12+ Buchstaben, merkbar. Kommt recht sicher auf keine Zettel. "&/(%/(%=?``?)$$" kommt aufn Zettel. Und wegen horizont- und merkbefreiter Admins kommt der Verwaltertrottel ins Hartz4.

 

[alter_Bekannter]

Bleibt noch das Problem das viele Passwortfelder einem nicht erlauben das Passwort anzuzeigen. Obwohl eigentlich schon lange klar ist das es meistens sinnlos ist erzwingen die meisten Felder es immer noch.

Dazu dann noch dumme Bugs die dafür sorgen das Passwörter einfach nicht genommen werden und schon hat man Textdateien auf dem Desktop.
Dumme Entwickler leisten durchaus ihren Beitrag zum Problem.

Vodafone hat beispielsweise mal geschafft das beim Firefox immer "falsches Passwort" angezeigt wurde und der login im Router verweigert wurde. Ich frag mich bis heute was da alles schief gelaufen ist

 

[BurnerR]

Ich hatte auch letztens "Spaß" mit Routern, die eine maximale Passwortlänge von 15 Zeichen nur akzeptieren, ohne userfeedback wurde der rest abgeschnitten bzw. nicht reinkopiert... muss man auch erstmal drauf kommen, warum man sich danach dann nicht einloggen kann .

 

[alter_Bekannter]

Die first Level Support antworten auf sowas sind auch immer "interessant". Also rückblickend, während man sie bekommt nimmt man sie eher als Provokation war. (sicher das sie "root"/"123456" richtig eingetippt haben?)

Genau so wie die Ebay Tante die so getan hat als hätte ich mir den Begriff "API" ausgedacht. Sie hat einen sehr schlechten Job darin gemacht so zu tun als würde sie wirklich versuchen zu kooperieren. Bis man erkennt das deren Job einfach nur verheizt werden und "haben sie das Gerät schon an und wieder ausgeschaltet" wiederholen bedeutet ist man wütend auf sie, danach hat man Mitleid.

 

[Hector]

Ja, das ist immer am besten. "Problem blabla, liegt aber an euch, nicht auf meiner Seite" - "Woher wollen Sie das denn wissen?" - "Ich bin ITler, das ist mein täglich Brot." - "Jaaaaa klaaaaaar....jeder der hier anruft ist ITler..... " .....ich hätt die beinah durchs Telefon gezogen.... -.-