640x480.de

Beiträge aus dem Was-mit-Medien-Alltag

Wie kommen Zugangsdaten sicher und effizient zum Kunden?

Wer mit Support zu tun hat kennt das Problem: der Kunde braucht ganz schnell sensible Zugangsdaten und hat sie nicht, weil die Kollegin, die diese Daten normalerweise verwaltet krank ist oder Urlaub hat oder er findet die Zugangsdaten einfach nicht mehr. Oder es wurde eine neue Mailbox eingerichtet und nun muss das Passwort irgendwie – am besten abhörsicher – zum Kunden. Wie gehen wir da vor? Klartext-Email oder im Skype macht Bauchschmerzen. Also?

Variante 1: Anrufen, durchsagen.

Das ist schonmal ganz gut und sicher, aber leider hat diese Variante einige Nachteile. Zum Einen geht das nicht immer, weil der Kunde z.B. gerade nicht telefonisch erreichbar ist. Daneben kann ein solches Telefonat auch anstrengend sein, wenn es um sichere Passworte geht (z.B: IuuhGZTgff567&%rrtfg), dann dauert die Transkription vom Geschriebenen ins Gesagte, ins Gehörte und zurück ins Geschrieben eine Weile und ist Fehleranfällig.

Fazit: Relativ sicher ist das, aber Effizient geht anders.

Variante 2: verschlüsselte Datei versenden. 

Diese Variante geht eigentlich nur bei Kunden oder Partnern, mit denen man sich vorher auf ein Generalpasswort zur Verschlüsselung dieser solcher Dateien geeinigt hat. Und die Gegenseite muss dieses Passwort auch noch erinnern. Daneben wird eine Software gebraucht, die auf beiden Seiten vorhanden ist und dort im günstigsten Fall auch bereits anderweitig eingesetzt wird, damit der Umgang damit klappt.

Fazit: Fällt also eigentlich auch aus.

Variante 3 PGP verschlüsselte Emails

Im Prinzip zählt hierzu auch S/MIME, wobei dafür Zertifikate benötigt werden, die das Setup noch komplizierter machen. Um PGP einzusetzen muss man auch ein bisschen Zeit mitbringen: ich habe gestern ungefähr 10 Minuten gebraucht, bis ich mir selbst die erste verschlüsselte Email geschickt hatte. Wen es interessiert, ich habe mich im Wesentlichen hier orientiert: enigmail.net 

Fazit: kompliziertes Setup, geht nicht für schnelle Kommunikation mit neuem Kunde, weil der Sender zunächst einmal den öffentlichen Schlüssel des Empfängers benötigt. Ansonsten aber prima in die normalen Arbeitsabläufe integrierbar.

Variante 4 NoteShred

Gottseidank gibts ja Google, und es hätte mich gewundert, wenn nicht irgendjemand schonmal eine Applikation gebastelt hätte, die genau diesen Zweck erfüllt. Noteshred ist ein Dienst, der Notizen (z.B. Passwörter) verschlüsselt ablegt und nach Abruf zerstört. Zusammen mit der SSL-Verbindung zum Server ist das eigentlcih eine runde Sache - probierts mal aus https://www.noteshred.com/.

Der Wermutstropfen ist ist natürlich, das dieser Service von irgendwem in Kalifornien betrieben wird. Gut - er versichert zwar, das das alles so gemacht wird, wie beschrieben, aber ein bisschen Bauchschmerzen habe ich da trotzdem.

Natürlich habe ich dann auch eine Open-Source Implementation dafür gefunden (passtunnel.com / guithub/passtunnel). Leider ist die entsprechende Website grad nicht erreichbar.

Fazit: Das wäre was, wenn wir das selber betreiben würden.

Variante 5 Akira

Ja. So kompliziert ist das ja nicht, also könnten wir das auch mal selber mit Akira implementieren.

Aber vielleicht gibt es ja noch die andere ultimative Lösung. Gibts Ideen/ Vorschläge?

comment Kommentare

Martin am 19.07.2013, 20:00:

anonym-surfen.de - Jemand schon mal so was ausprobiert?

Martin am 11.07.2013, 13:31:

Bei einer CryptoParty geht es darum, Menschen ohne täglichem Zugang zum Thema der Kryptographie und Sicherheit im Computer-Alttag einen Einblick in genau dieses Thema zu geben. Der Fokus der ersten CryptoParty in Weimar liegt auf den Themen: sichere Ende-zu-Ende-Verschlüsselung mitels PGP/GPG, Passwort-Sicherheit, Anonym Surfen im Internet mittelt TOR - www.cryptoparty.in Am 20. September in Weimar

Martin am 20.11.2013, 13:50:

Martin Weigert schreibt bei netzwertig.com wie man auch ganz ohne Passwortmanager auskommen könnte: Authentifizierung im Web: Warum ich die Passwort-vergessen-Funktion liebe: netzwertig.com

Neuer Kommentar

Bitte beachten Sie vor Nutzung des Formulars die Datenschutzerklärung.