Passwörter per E-Mail versenden: die schlechteste Idee

Häufig kommt es vor, dass man Zugangsdaten mit einem Geschäftspartner oder einem Kollegen teilen möchte. Auch kommt es häufig vor, dass Zugangsdaten nach einem Passwortreset sicher übermittelt werden müssen.

Obgleich diese Verfahrensart sehr verbreitet ist, so ist sie nicht besonders sicher. Passwörter per E-Mail zu versenden ist eine schlechte Idee, da E-Mails im Normalfall nicht mit Ende-zu-Ende-Verschlüsselung geschützt sind. Das bedeutet, dass der Inhalt der E-Mail während des Übertragungsprozesses von Dritten eingesehen werden kann. Auch der E-Mail-Provider und eventuelle Dritte, die Zugriff auf den E-Mail-Account haben, können die Inhalte der E-Mails einsehen.

Das Schlimmste daran: Wenn das Passwort kompromittiert wurde, bekommen Sie dies nicht einmal mit. Das Passwort gelangt also in die Hände Dritter, ohne dass Sie es bemerken. Daher ist es wichtig, Passwörter auf sicherere Weise zu versenden, wie z. B. über eine Anwendung mit Ende-zu-Ende-Verschlüsselung oder einen Passwort-Manager.

Sicherer, aber nicht komplizierter: Password Pusher

Password Pusher (https://pwpush.com) ist ein kostenloses Tool, um Passwörter verhältnismäßig sicher per E-Mail zu übermitteln.

Zwar besteht noch immer die Gefahr, dass die E-Mail von Dritten gelesen wird, so ist der Link, welcher in der E-Mail enthalten ist, aber zeitlich begrenzt. Idealerweise stellen Sie das Tool so ein, dass das Abrufen des Passworts nur einmalig möglich ist.

Der Vorteil: Wenn das Passwort kompromittiert wurde, wissen Sie dies, da der einmalige Abruf bereits durchgeführt wurde.
Beim Verwenden des Tools sollten Sie darauf achten, dass Sie nur das Passwort an das Tool geben. Selbst wenn der Hersteller des Tools dann kompromittiert werden würde, oder er die Kompromittierung ausführt, könnte der jeweilige Angreifer mit dem Passwort allein nichts anfangen. Er weiß schließlich nicht, welcher Benutzername zu verwenden ist. Außerdem ist ihm nicht bekannt, für welches System das Passwort gültig ist.

Die Vorteile auf einen Blick:

– Einfache Nutzung: pwpush.com ist einfach zu nutzen und ermöglicht es Nutzern, Passwörter schnell und einfach an andere zu versenden, indem sie einfach eine URL teilen.

– Keine Anmeldung erforderlich: Nutzer müssen sich nicht anmelden oder registrieren, um pwpush.com zu verwenden. Das bedeutet, dass sie Passwörter schnell und einfach an andere versenden können, ohne sich um lästige Anmeldeprozesse kümmern zu müssen.

– Das Passwort steht in keiner E-Mail im Klartext. E-Mails, die Jahre später in die Hände von Dritten gelangen, sind so weitaus ungefährlicher.

– Wenn das Passwort kompromittiert werden sollte, wissen Sie es, da der eigentliche Empfänger das Passwort nicht erfolgreich abrufen kann.

– Zeitlich begrenzter Zugriff: Nutzer können den Zugriff auf das versendete Passwort zeitlich begrenzen, indem sie eine Gültigkeitsdauer festlegen. Auf diese Weise können sie sicherstellen, dass das Passwort nicht länger als nötig zugänglich ist.

Wenn Sie den Prozess noch sicherer gestalten können, sollten Sie darauf verzichten, in der E-Mail den Benutzernamen oder das System, für welches das Passwort gültig ist, zu nennen. Übermitteln Sie diese Information stattdessen telefonisch oder persönlich.

Wenn Sie ein größeres Unternehmen sind und häufiger Passwörter versenden müssen, lohnt es sich für Sie vielleicht, das Tool auf einem eigenen Server bereitzustellen. Das ist ohne weiteres möglich, denn pwpush.com ist nicht nur kostenlos, sondern auch Open Source. Das bedeutet, dass der Quelltext für jedermann einsehbar und verwendbar ist.

Die ideale Lösung im Unternehmen: Passwort Manager

Viele Passwort-Manager bieten die Möglichkeit, Passwörter sicher an andere Nutzer zu versenden. Dies geschieht in der Regel über eine sichere Verbindung und wird durch Ende-zu-Ende-Verschlüsselung (E2EE) geschützt. Der Passwort-Manager speichert das Passwort nicht im Klartext, sondern verschlüsselt es, bevor es versendet wird. Auf diese Weise können Nutzer sicher sein, dass das Passwort während des Übertragungsprozesses geschützt ist und von Dritten nicht eingesehen werden kann.

Es ist wichtig zu beachten, dass Nutzer bei der Verwendung von Passwort-Managern immer noch darauf achten müssen, sichere Verbindungen zu nutzen und auf Phishing-Angriffe zu achten. Auch wenn der Passwort-Manager das Passwort verschlüsselt, kann es immer noch gefährlich sein, es über ungesicherte Verbindungen oder möglicherweise gefälschte Websites zu versenden.

Bei Fragen rund um das Thema “Zugangsdaten und Passwörter sicher versenden”, können Sie gerne unseren Kundensupport anrufen. Unsere ausgebildeten Fachleute helfen Ihnen sehr gerne weiter. Wir sind dein IT-Dienstleister für Hannover und Leipzig.