Nur ein schneller Shoutout für 2 Webdienste, mit denen man einfach und sicher Passwörter teilen kann, sogar über E-Mail, Whatsapp, Skype und andere – sonst eher nicht so vertrauenswürdige – Dienste:
OneTimeSecret.com
Als besonders einfach und effektiv hat sich OneTimeSecret herausgestellt. Beliebige Textdaten lassen sich damit verschlüsseln und es wird ein Link generiert. Dieser Link wird an den Empfänger weitergeleitet und der Empfänger kann die gesicherten Daten genau ein einziges Mal ansehen. Danach werden die verschlüsselten Daten komplett gelöscht.
Der Link mit den gesicherten Daten ist 7 Tage gültig (bei einem registrierten Nutzeraccount 30 Tage), wenn die Daten bis dahin nicht abgerufen wurden, muss ein neues Secret erstellt werden.
Encipher.It
Die Nachteile von OneTimeSecret behebt Encipher.it ganz gut, allerdings ist der Vorgang dort 1, 2 Klicks länger.
Step 1:
Der Absender gibt die sicheren Daten ein, klickt auf [Encipher It], gibt ein beliebiges Passwort an (dass er sich merken muss!), wählt eine Zeitspanne und verschlüsselt mit [Encipher It].
Step 2:
Der generierte Text wird dem Empfänger zusammen mit dem Passwort zugeschickt – optimalerweise über 2 unterschiedliche Kommunikationskanäle!
Step 3:
Der Empfänger fügt den erhaltenen Text auf der Seite ein, diese erkennt den verschlüsselten Text und bietet nun [Decipher It] an. In der Dialogbox gibt der Empfänger jetzt noch das Passwort ein und entschlüsselt den Text mit [Decipher It].
Beide Dienste sind im Endeffekt Kinderleicht und der Vorgang dauert nur wenige Sekunden. Ich kann also Allen nur ans Herz legen, zukünftig nie wieder Passwörter als Klartext zu versenden.
Naya Tetzner liked this on Facebook.
Stattdessen soll man also fremden Systemen neben den Passwörtern auch noch E-Mail-Adressen übergeben?
Da ja doch wieder die Infos per E-Mails verschickt werden, haben nun nicht mehr nur die E-Mail-Anbieter und alle dazwischen liegenden Instanzen die Daten, um das Zeug abzurufen. Sondern obendrein auch noch die Webseitenbetreiber.
Tolles Konzept. Nicht.
Wo übergibst du dem System dort deine E-Mail? Ich mache das jedenfalls nicht. Verschlüsselter Text (bzw Link) und ggf. Passphrase werden dann in unterschiedlichen Kanälen geteilt. Allein ist beides nichts wert.
Es geht auch darum die Sicherheit ein wenig zu erhöhen und nicht der extremsten Paranoidität gerecht zu werden.
Ich sehe das ähnlich wie Kenny. Man tauscht das Risiko, dass eine unverschlüsselte Mail EVENTUELL von einem Admin gelesen oder unterwegs abgegriffen wird, gegen die Ungewissheit, was die Betreiber solcher Webdienstanbieter mit den Daten anstellen, die man ihnen ja ohne Zweifel anvertraut hat.
Ich verstehe eure Zweifel natürlich. Das Risiko verbleibt immer, wenn man den Dienst nicht selber programmiert hat (was bei nem einfachen Verschlüsseln-Dienst sicher gar nicht so schwer wäre…).
Aber ich mein, für gewöhnlich schreibt man doch in die verschlüsselte Nachricht nicht die URL des Dienstes, den Nutzernamen/E-Mail UND das Passwort ein.
Bei mir auf Arbeit läuft das eher so, dass ich schreibe „Hier ist dein Passwort: [Link zum Secret]“. In dem Secret ist also nur 1 String verschlüsselt.
Der eventuelle Admin hat also nur etwas Text. an der Art und Weise erkennt er vielleicht, dass es ein Passwort ist. Aber was will er dann damit ohne jegliche weitere Information? Wordlists füllen vielleicht; aber das hilft ihm ja wirklich gar nicht.
Der Betreiber des zweiten Kanals, der „Hier ist dein Passwort: [Link zum Secret]“ abfängt, hat bestenfalls die Dienst-URL und den Nutzernamen/E-Mail, jedoch nicht das Passwort.
Und falls man das Secret mit einer Passphrase verschlüsselt und diese – optimalerweise – in einem dritten Kanal teilt, hat dieser ebenfalls nur einen String, mit dem er nichts anfangen kann.
Also ich finde ich kann damit meine Sicherheit schon erhöhen. Jemand Fremdes hat vielleicht ein Passwort in Klartext von mir, kann damit aber nichts anfangen.
Was meint ihr? Übersehe ich etwas, dass euch so vorsichtig macht?
Nunja. Der Secret-Verwalter sieht z.B. von welcher IP-Adresse die Anfrage kommt. Damit lässt sich bei Instituten schon mal deduzieren, wer da überhaupt Daten ablegt. Das kann schon mal sehr spannend sein.
Auch, wer die Daten abholt, erfährt man durch die IP-Addresse des Abrufers. Schon hat der Drittanbieter das Metadatum, dass X mit Y kommuniziert. Ein Fakt, der dem Betreiber vorher nie zugänglich gewesen wäre.