Ein Problem, dass alle kennen, die mit Kunden in Projekten zusammenarbeiten:
Du musst jemandem ein Passwort weitergeben, was aber natürlich möglichst sicher UND einfach sein soll.
Die Meisten dürften es bereits wissen, aber trotzdem fürs Protokoll:
Ein Passwort per E-Mail zu verschicken ist nicht sicher.
E-Mails funktionieren im Prinzip wie Postkarten: Grundsätzlich kann mit relativ einfachen technischen Mitteln jede gesendete E-Mail abgefangen und gelesen werden – ohne dass Du etwas davon mitbekommst.
Fakt ist aber auch: Das Risiko, das tatsächlich jemand aktiv Deine Mails abfängt und mitliest, ist relativ klein. Darum sehe ich es wohl auch immer wieder, dass Passwörter eben doch ganz einfach per E-Mail versendet werden. Wahrscheinlich weil viele der bekannten sicheren Methoden schlicht mühsam und unpraktikabel sind.
Bevor ich jetzt meine Methode zum sicheren und einfachen Passwortversand teile, zuerst einmal eine kurze Liste von Methoden denen ich im Alltag begegnet bin (und die eben alle leider nur entweder einfach ODER sicher waren):
- Passwort in einem separaten Mail schicken: Das ist eine Alibi-Übung. Wenn jemand tatsächlich die E-Mails abfängt und liest, dann hilft das separate Mail logischerweise auch nichts, weil das ebenfalls gelesen wird.
Einfach, aber unsicher. - Passwort in einem passwortgeschützten PDF oder ZIP-Datei schicken, und dann das Passwort zum PDF/ZIP in einem separaten Mail schicken. Man macht einem Angreifer (und sich selbst) das Leben zwar einen Tick schwerer, aber im Prinzip ist es wie die vorherige Lösung eine Alibi-Übung.
Einfach, aber unsicher. - Passwort per SMS schicken: SMS sind zwar standardmässig unverschlüsselt, aber das Risiko, dass Deine SMS abgefangen und gelesen werden, ist wahrscheinlich verschwindend gering (wobei ich kein SMS Spezialist/Hacker bin 😉 ). Es können zwar praktisch alle Menschen grundsätzlich SMS verschicken und empfangen, aber es ist ziemlich mühsam, Passwörter in eine SMS ein- bzw. abzutippen (wenn man tatsächlich sichere Passwörter verwendet, also z.B. via Passwort-Generator, anstatt einem Pseudo-sicheren Passwort alà „Passwort%1986“).
Sicher, aber nicht einfach. - Passwort per Telefon diktieren: Sicherheitstechnisch würde ich es ähnlich wie SMS einschätzen. Aber lange sichere Passwörter über das Telefon zu diktieren ist alles andere als benutzerfreundlich.
Sicher, aber nicht einfach. - Passwort per WhatsApp (oder Alternativen wie Threema, Signal oder Telegram) schicken: Abgesehen von grundsätzlichen Datenschutz-Bedenken bei WhatsApp, ist die Übertragung bei allen diesen Apps technisch verschlüsselt und somit grundsätzlich sicher. Aber: Auch wenn WhatsApp sehr weit verbreitet ist, nutzen es bei weitem nicht alle Leute – insbesondere für geschäftliche Zwecke. Und es bleibt wie bei SMS ziemlich mühsam, das Passwort via Smartphone ein- bzw. abzutippen (wobei es ja zumindest bei WhatsApp eine Desktop-Version gibt). Darum:
Sicher, aber nicht einfach. - E-Mails mit PGP verschlüsseln: Natürlich könnte man auch die E-Mails selbst mit PGP verschlüsseln. Aber das Problem: Sowohl Sender als auch Empfänger müssen PGP eingerichtet haben und nutzen. Und dafür ist PGP einfach viel zu wenig verbreitet. Also:
Sicher, aber nicht einfach.
OK, jetzt aber zu meinem Tipp:
Eine sichere UND einfache Methode um Passwörter zu teilen
„Diese Nachricht wird sich in 10 Sekunden selbst zerstören!“
OK, nicht automatisch in 10 Sekunden, aber das Prinzip ist genau so simpel und effektiv:
- Du erstellst z.B. auf Privnote eine neue Nachricht mit dem Passwort.
- Du schickst den Link zur Nachricht per Mail an den Empfänger (so ein Link sieht z.B. so aus: https://privnote.com/ckSwBEdk#o5pfJZKKJ ).
- Der Empfänger öffnet die Privnote Nachricht und hat so das Passwort. Die Nachricht wird beim Öffnen automatisch zerstört.
Warum ist das jetzt sicher?
Das Abfangen der E-Mail selbst wird damit zwar nicht verhindert. Aber wie gesagt: Das Risiko ist ja grundsätzlich relativ gering. Was aber sichergestellt ist, ist dass man es mitbekommt, falls tatsächlich jemand schnell genug war, und die Nachricht mit dem Passwort vor dem eigentlichen Empfänger geöffnet hat.
Der Empfänger würde dann nur die Meldung „Die Nachricht mit der ID XYZ wurde gelesen und zerstört“ sehen. Und in diesem Fall müsste einfach das Passwort geändert und erneut versendet werden.
Das Ganze ist auch sehr einfach und benutzerfreundlich: Das Passwort (bzw. der Link zum Passwort) kann ganz normal per Mail geschickt und dann im Browser kopiert werden. Ohne irgendwelche zusätzlichen Vorkehrungen oder Voraussetzungen.
Ich persönlich nutze wie erwähnt die Website Privnote. Es gibt aber natürlich einige andere Dienste, die im Prinzip genau gleich funktionieren:
Jetzt stellt sich allenfalls noch eine Frage:
Ist Privnote selbst (oder welchen Anbieter Du nutzen möchtest) sicher?
Technisch gesehen: Ja (wer es genauer wissen will, siehe hier).
Aber grundsätzlich wissen wir natürlich nicht, ob Privnote im Hintergrund nicht irgendeine Hintertür eingebaut hat und den Inhalt der Nachricht für sich selbst speichert.
Aber das wird dann wirklich eher philosophisch. Grundsätzlich müsstest Du Dir die genau gleiche Frage für alle Websites und Dienste stellen: Von Deinem Internetanbieter, über Microsoft, Google, Facebook, Online Passwort Manager Dienst und jeder anderen Website oder Firma die Du nutzt. Absolute Sicherheit gibt es nie.
Ich persönlich traue und nutze Privnote (gibt es übrigens bereits seit 2008).
Aber für den Fall der Fälle:
Wenn Du im Mail alle benötigten Infos wie z.B. Benutzername angibst, und lediglich das Passwort ohne weiteren Kommentar in eine Privnote Nachricht speicherst, dann kann Privnote absolut nichts mit diesem Passwort anfangen (bzw. müsste Privnote gleichzeitig Deine E-Mails abhören, was wirklich äusserst abwegig wäre).
Meiner Meinung nach bist Du damit zumindest praktisch gesehen zu annähernd 100% sicher 🙂