Schick mir mal das Passwort oder lesen Postbot*innen eigentlich meine Postkarten?

„…vielen Dank! Du schickst mir dann das Passwort zu?“ sagte Anton und beendete den Video-Anruf aus seinem Wohnzimmerbüro.

Passwörter? - Verschicke ich per E-Mail! Oder?

So, oder so ähnlich enden Gespräche gerade in den jetzigen Home-Office-Zeiten oft. Jemand (nennen wir sie Hannah) soll ein Passwort für einen bestehenden Account oder die kompletten Nutzerdaten übermitteln. Meist passiert dann folgendes: Hannah öffnet ihre Excel-Liste mit allen ihren Passwörtern, die dort in Klartext gespeichert sind, kopiert das Passwort aus der Zelle heraus, setzt es in eine Internet-Postkarte – auch bekannt als E-Mail – ein und schickt es an Anton, der mit dem Passwort weiterarbeiten soll. Natürlich wird die E-Mail von Anton nie gelöscht und auch in Hannahs gesendeten Nachrichten gammelt die E-Mail nun fröhlich vor sich hin, bis der nächste Hacker sie entdeckt hat.

Ha! Ich schicke einfach Benutzernamen und Passwort getrennt!?

Vorsichtige Zeitgenossen werden jetzt sagen: Ja, aber wir verschicken das Passwort und den Benutzernamen natürlich in zwei getrennten E-Mails. Hört sich nach einer guten Idee an, oder? Ein Hacker ist sicher auch noch nie darauf gekommen und wird keinesfalls andere E-Mails desselben Absenders bzw. Empfängers anschauen. ;-)

Lesen Hacker eigentlich E-Mails? Oder lesen Postbot*innen Postkarten?

Schauen wir uns also an, was alles schief gelaufen ist: Wir haben ein Passwort (über dessen Länge und Einmaligkeit sei an dieser Stelle zunächst kein Wort verloren) in einer Excel-Liste auf dem Rechner von Hannah. Das ist aus gleich mehreren Gründen problematisch: Erstens werden Excel-Daten auf der Festplatte des Rechners im Klartext gespeichert und sind selbst dann noch lesbar, wenn man die Datei meint gelöscht zu haben. Jeder, der Zugriff auf den Rechner bekommt, sei es physisch oder auch über das Internet, kann diese Daten also auslesen. Zweitens: In jedem Backup, das gewissenhafte Menschen anlegen, wären die Passwörter ebenfalls gespeichert - in den Standardeinstellungen sind Backups nicht verschlüsselt.
Passwörter per E-Mail zu verschicken bietet böswilligen Menschen so viele Angriffsmöglichkeiten, dass ich vermutlich hier nicht alle im Detail erläutern kann. Daher seien nur einige genannt: Vielfach werden E-Mails vom Rechner der/des Absender*in zu seinem oder ihrem E-Mail-Server noch irgendwie verschlüsselt übertragen. Die Weitergabe der E-Mail an den Server der Empfänger*in erfolgt allerdings immer unverschlüsselt. Auch wird die Mail auf dem Server von Sender*in und Empfänger*in unverschlüsselt im Klartext gespeichert. Im Anschluss wird die Mail wieder an den Computer der Empfänger*in übertragen und liegt dort nun unverschlüsselt als E-Mail-Datei vor.
Die E-Mail liegt folglich meist auf vier (!) beteiligten Computern unverschlüsselt vor. Sie wird über unzählige Server über das Internet unverschlüsselt übertragen. Spätestens jetzt ist klar, warum der vergleich mit der Postkarte noch zu kurz greift, diese gibt es immerhin nur einmal. Der Weg der Übertragung ist auch für alle, die Zugriff auf die übertragenden Server haben offen und nicht nur für die ein oder zwei Postbot*innen, die eine Postkarte noch physisch in der Hand halten.

5 Alternativen, um Passwörter zu versenden

Wenden wir uns den möglichen Lösungen zu, ein Passwort sicher aus dem Büro oder dem Home Office zu übertragen, ohne dass besonders viele Menschen darauf Zugriff bekommen:

Die Postkarte
Sicherlich sinnvoller als E-Mail, aber immer noch unsicher, da die Postbot_innen das Passwort immer noch abschreiben könnten. Außerdem eher ein sehr langsamer Übertragungsweg - Stichwort: Snail Mail.

Der Brief
Sicherer als die Postkarte, langsam und immer noch möglich, dass Menschen durch Öffnen des Umschlags Zugriff erlangen.

Das Fax
Wer hat heute schon ein Fax? Außerdem: die Übertragung erfolgt komplett unverschlüsselt.

Aufbau eines verschlüsselten Peer-to-Peer-Netzwerks zwischen Sender*in und Empfänger*in
Geht sicher und heute bestimmt einfacher, also noch vor ein paar Jahren – aber really? (Klar könnten wir z.B. Signal als Messenger-Dienst einsetzen, erfordert aber auch eine Installation auf beiden Rechnern.) Wir wollen doch nur ein Passwort sicher übertragen!

Eine neue Lösung
Eine Möglichkeit ein Passwort an einen Empfänger zu übermitteln, bei dem wir sicher sein können, dass nur der Empfänger das Passwort erhalten hat. Nerdlichter hat diese Lösung gebaut: Sie heißt 1Message, ist komplett verschlüsselt und gibt der Empfänger*in und der Sender*in die Sicherheit, dass das Passwort nur der Person zugeht, die es erhalten soll.

1Message - unsere einfache Lösung

1Message bietet folgende Funktionen:
Es wird eine verschlüsselte Verbindung zwischen deinem Browser und unserem Server hergestellt, wenn du auf diesen Link klickst:

1m.nerdlichter.com

Das ist erst einmal Standard und wird von den meisten Webseiten heute so gemacht. Du erkennst das an dem kleinen Schloss-Symbol vor der Eingabezeile deines Browsers.

Wenn du in das Eingabefeld das Passwort, das du übertragen willst eingibst und einstellst, wie oft jemand das Passwort anschauen können soll und wie lange dies möglich sein soll und dann auf „Nachricht verschlüsseln“ klickst, wird das Passwort verschlüsselt (vgl. oben) auf unseren Server übertragen und dort verschlüsselt abgelegt. Ferner wird die Information abgelegt, wie oft es anklickbar sein soll und wie lange es gültig sein soll. Der Server schickt dir (immer noch auf dem verschlüsselten Weg) einen Link zurück mit einem sehr langen Passwort am Ende. Dieses Passwort wird nicht bei uns gespeichert und niemand außer dir erfährt es. Dieser Link ist nun die einzige Möglichkeit, an die Nachricht (das Passwort) heranzukommen, das du auf unserem Server gespeichert hast.

Hannah gibt ein, dass der Link nur ein einziges Mal angeklickt werden darf. Nun kann sie den Link problemlos unverschlüsselt per E-Mail (oder auf welchem Weg auch immer) an Anton versenden. Anton kann den Link anklicken und die Informationen in seinem sicheren Passwortmanager speichern. Für den Fall, dass Anton den Link anklickt und ihm mitgeteilt wird, dass dieser nicht mehr gültig sei, kann er dies sofort Hannah mitteilen und diese kann sofort Maßnahmen ergreifen. Also im besten Fall das ursprüngliche Passwort ändern und mit einem neuen Passwort schützen.

Ob ins Home Office von einer Kolleg*in zur anderen oder von einem Büro ins nächste, ob private, oder geschäftliche Passwörter - es ist immer sinnvoll einen verschlüsselten Übertragungsweg zu nehmen. Jetzt gibt es ihn.

1Message – kostenlos von uns für euch

Wenn ihr das Tool einfach mal nutzen wollt, geht gerne auf 1m.nerdlichter.com. Wenn eure Firma eine eigene Lösung braucht, die mit eurem Logo versehen ist und auf den Servern eures Unternehmens gehostet ist, sprecht uns einfach an.

(Photo by Ariel Besagar on Unsplash)