Der Sinn, Passwörter in gesonderter Mail zu verschicken


In diesem Beitrag will ich mich einmal mit dem Thema Passwörter und das verschicken dieser über E-Mail beschäftigen. Schon fast Tag-Täglich erhalte ich Mails mit Zugangsdaten und deren Passwörter gesondert.

Wer den ganzen Beitrag nicht lesen will, hier ein kurzes Fazit: Sendet definitiv NIEMALS Passwörter unverschlüsselt per Mailweder per gesonderte Mail, noch in der ersten Mail.

Warum werden Passwörter gesondert per Mail verschickt?

Der Hintergedanke davon ist: Wenn ich eine Mail mit Zugangsdaten verschicke und erst danach das Passwort gesondert versende, kann ein Hacker den Zusammenhang nicht verstehen und die Zugangsdaten sind sicher bei meinem Gegenüber aufgehoben.

Dies ist natürlich völliger Unsinn, denn schickt man eine Mail mit Zugangsdaten und direkt danach das Passwort hinterher hat besagter „Hacker“ ein extrem leichtes Spiel, herauszufinden, welches nun das Passwort dafür ist.

Wahrscheinlich hat ein Hacker nicht nur Zugang auf die erste Mail, sondern natürlich auch auf die zweite… und die dritte und vierte, die danach folgt. Der Posteingang ist die Sammelstelle für alle Mails und nicht nur für einzelne.

Es ist ebenfalls extrem unsicher überhaupt Mails zu verschicken, in denen sich Zugangsdaten befinden – Problem hierbei ist nämlich, dass Mails grundsätzlich unverschlüsselt versendet werden. Liest also jemand den Traffic des Senders/Empfängers mit, kann er mit einfachen Tools (Wie z.B. Wireshark) diesen mitlesen.

Also was macht man jetzt?

Grundsätzlich gibt es niemals eine 100%ige Sicherheit zum Thema „Versenden von Zugangsdaten“ – allerdings gibt es Möglichkeiten, dies zu erschweren. Hier ein paar Beispiele:

1. Zugang per PGP Mail verschicken

PGP bedeutet „Pretty Good Privacy“ und ist ein Public Key Verfahren, in dem man seine Mailtexte „asymmetrisch“ verschlüsselt. Wenn das jetzt zu kompliziert klingt, dann sollte man einfach mal in der IT Abteilung oder beim Mailanbieter nachfragen, wie das mit seinem Mailkonto funktioniert. Der Vorteil ist ganz klar: Mails können während des Sendens nicht mitgelesen werden, Tools wie Wireshark also obsolet.

Der Nachteil dabei ist aber, dass trotzdem an beiden Enden mitgelesen werden kann, also z.B. beim Empfänger ist ein Trojaner installiert.

2. Passwort in gesonderter Mail mit Text-Burner URL verschicken

Sinnvoll ist es, einen Text-Burner Dienst zu nutzen. Hier gibt man einfach das Passwort ohne jeglichen Zusammenhang ein und generiert eine URL, die vom Empfänger nur einmal geöffnet werden kann. Nach dem Aufruf (So sollte es eigentlich sein), wird dieser Datensatz aus der Datenbank vom Anbieter restlos entfernt.

Hier ist also auch eine sicherere Möglichkeit gegeben, Zugänge per Mail zu verschicken. Ein Beispiel Anbieter ist Read2Burn.

Ebenfalls ist hier das Problem, wenn beim Sender oder Empfänger jemand mitlesen kann, ist hier auch keine Sicherheit gegeben.

3. Zugang per Mail und Passwort per Telefon

Die dritte Möglichkeit wäre, dass man vorher den Zugang per Mail schickt und dann den Kollegen anruft und ihm das Passwort per Telefon sagt. Das ist auch eine gute Alternative, vor Allem wenn man dem Kollegen sowieso noch etwas sagen will.

Probleme hierbei ist wieder „Wenn wer anders mithört… bla bla bla“ und noch problematischer, wenn man sich nicht versteht. Ich habe schon des öfteren das Problem gehabt, dass ich mein Gegenüber einfach akustisch nicht verstehe – manchmal ist es die Leitung, oder auch der Dialekt des Oberbayers, dessen D wie B oder 2 wie 3 klingt. Vielleicht sollte man das kaufmännische Alphabet lernen – dann gibts definitiv weniger Probleme

Was sollte man also tun?

Natürlich ist, wie bereits erwähnt, niemals eine 100%ige Sicherheit gegeben. Man sollte ein Mittelweg finden, der zum Komfort und der Sicherheit passt. Wichtig ist immer, stellt man jemanden Zugangsdaten bereit, die danach auch geändert werden können, sollte man auch dringend in der E-Mail sagen: BITTE ÄNDERE DAS PASSWORT BEIM ERSTEN LOGIN – oder so ähnlich.

Aber niemals, wirklich niemals sollten Zugangsdaten einfach so per Mail verschickt werden. Wer das tut, hat es wahrscheinlich auch nicht anders verdient gehacked zu werden.

Lukas Dörr, 2021


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.