Zugangsdaten sicher zum Kunden senden

[zepho]

Hey@all,


ich bin vor einigen Tagen mit einem mittelgroßen Hoster ins Gespräch gekommen, wie man Zugangsdaten sicher und schnell zu seinem Kunden bringt.

Den Postweg lasse ich mal außen vor, da in meinen Augen so ziemlich die langsamste Lösung.

Bisher nutze ich (wie einige andere) mit Passwort gesicherte PDF's, die aber schnell zu cracken sind, wie eine kurze Google-Recherche bewies (Passwort übermittelte ich via SMS), dem Kunden aber Sicherheit "vorgaukeln".

*.zip und *.tgz sind schnell gecracked, aber 7z ist scheinbar wirklich anspruchsvoll und z.B. 7zcracker.exe arbeitet mit aktuellen Archiven gar nicht mehr (ich vermute, dass bei einstelligen PW-Anfragen prinzipiell True zurückgegeben wird, aber keine Datei)

Ich bin kein Forensiker, aber 7z -sfx (selbstentpackend) sollte doch eine gute Lösung sein, oder? So braucht auch der Kunde kein Extra-Programm

Was meint ihr?

 

[tomasini]

PGP-verschlüsselte Emails?

 

[PapaBaer]

Dazu bräuchten alle Kunden einen PGP-Key. Das wird wohl eher kaum der Fall sein. Was spricht denn gegen Einmal-Passwörter via HTTPS?

 

[dotme]

Komfort und Sicherheit liegen gewöhnlich in zwei Wagschalen von ein und derselben Waage. Bei einem symetrisch-verschlüsselten Geheimnis (7Z.EXE) solltest Du auf alle Fälle auf Serverseite sicherstellen, daß das Kennwort in einem beschränkten Zeitraum neu gesetzt werden muß.

P.S. Immer wieder nett zu lesen wie sich Alice und Bob treffen und auf welchem Wege sie Ihr Vertrauensverhältnis aufbauen.

 

[tomasini]

Dazu bräuchten alle Kunden einen PGP-Key. Das wird wohl eher kaum der Fall sein.

Entschuldige, aber genau das ist doch der Punkt. Der Kunde will Sicherheit, also muss man ihm auch kommunizieren, dass Sicherheit ihren Preis hat. Immer nur den Weg des geringsten Widerstands zu gehen ist doch mit die Ursache, warum es fast nur unsichere Systeme gibt.

Gerade im geschäftlichen Umfeld ist (PGP-)Verschlüsselung meiner Ansicht Pflicht. Wer das nicht nutzt, handelt in meinen Augen grob fahrlässig. Ich verschicke meine Geschäftskorrespondenz und Verträge ja analog auch nicht als Postkarte bzw. in einem nicht verschlossenen Briefumschlag.

 

[croehl]

Kurz mal der Prozess, wie wir ihn durchführen. Dazu als Info, wir sind seit 1994 in Berlin tätig. Haben alle möglichen Wege probiert und kombiniert - sicherlich gibt es andere/bessere Wege.

Vorab, wir reden hier über den Zugang zur Kundenverwaltung/ControlCenter. Hier kann der Kunden den Server in 3 Schritten installieren (OS wählen, PW eingeben, installieren), Server restarten, rescue installieren, bei VM die Console starten, Rechnungen sehen - das übliche halt. D.h., das Server Pw kennt daher nur der Kunde.

Nun zum Prozess:

Der Kunde bekommt bei uns am Ende des Anmeldeprozesses das Datenblatt online zum Ausdruck zur Verfügung gestellt mit dem Hinweis, ggf. das PW zu ändern. Nun mögen welche kommen und sagen, ja die session/cookies und was ist mit PCs in Internetcafes etc. Frage, wieviel Kunden kaufen einen Server im Internetcafe? Ja, hier ist ein Restrisiko, aber wir wollen dem Kunden quasi in realtime (0-4 Stunden nach Prüfung der Kundendaten) den Zugang zum Server geben, das war unsere Ziel. Dazu benötigt er die Vertragsdaten vorab.

Zusätzlich senden wir *immer* ein Datenblatt per Post, das mag konservativ sein, aber gehört bei uns zur Form, die wir dem Kunden schuldig sind (man, das klingt hier sehr formell, ist es aber nicht. Es geht hier um Vertragsdaten). Der Kunde soll die wichtigsten Infos immer verfügbar haben, das ist heute in einem Brief auf sauberem Geschäftspapier mit allen Supportinfos eher der Fall als per SMS - der Supportaufwand dankt es am Ende. Nebenbei kontrollieren wir somit den postalischen Zustellungsweg. Mail geht gar nicht, hier wäre nur php/smime der Weg, aber da pro/contra wurde hier besprochen.

Das gleiche gilt bei einem PW vergessen, das geht nie über den Support per email. Entweder gibt es einen PW vergessen Dialog, den der Kunde bedienen kann oder halt den konservativen Weg. Selten liegt hier ein key vor, insbesondere, wie wollt ihr dem Anrufe/Sender der Anfrage glauben, daß er der Vertragspartner ist? Hier hilft nur der Blick in die Stammdaten und den dort genannten Kommunikationsweg. Ist dort keine Info - Brief.

Server Passwörter hat am Ende sowieso nur der Kunde. Hier hilft dann nur der Support zu einem boot der rescue Umgebung.

Am Ende muß jeder wissen, wie er gegenüber dem Kunden auftreten möchte. Sicherheit geht hier vor.

Vielleicht/hoffentlich hilfts...

Viele Grüße
Christian/Inter.net Germany - rootserver mieten, Vserver, cloud service www.inter.net

 

[Joe User]

Bisher nutze ich (wie einige andere) mit Passwort gesicherte PDF's, die aber schnell zu cracken sind, wie eine kurze Google-Recherche bewies (Passwort übermittelte ich via SMS), dem Kunden aber Sicherheit "vorgaukeln".

Warum nicht gleich die Zugangsdaten per SMS mitteilen?
Und welche Alternative zur SMS hast Du vorgesehen?

 

[dan_oldb]

Moin.
So wie ich das sehe scheidet clientseitige Entschlüsselung wohl aus: Passwort geschützte Archive oder PDFs lassen sich leicht aushebeln, und wenn sie auch recht weit verbreitet sind wird es doch immer Anwender geben, die diese Dateien nicht entschlüsseln können. PGP ist kaum jemandem zuzumuten, nicht weil es schlecht ist sondern schlicht weil viele Personen nicht damit umgehen können oder wollen.
Das Webportal www.cryptorage.com bietet die Möglichkeit, Dateien symmetrisch zu verschlüsseln, und verschickt den Link zum Abruf der Informationen an eine Email Adresse, und das Passwort zum Entschlüsseln über einen anderen Kanal (SMS oder zweite Email Adresse). Technische Vorraussetzung für Sender und Empfänger ist lediglich ein Browser.
Mit eingeschränktem Speicherplatz aber vollem Funktionsumfang ist es sogar kostenlos zu benutzen, für intensivere Nutzung gibt es verschiedene Abos.

Viele Grüße,
Daniel Rauer

 

[Ben.]

Schau dir mal https://onetimesecret.com an.