So geben Sie Passwörter sicher weiter: Eine vollständige Anleitung

Informatec Digital » Sicherheit » So geben Sie Passwörter sicher weiter: Eine vollständige Anleitung

Das Teilen von Passwörtern ist etwas, das wir alle früher oder später tun müssen, sowohl bei der Arbeit als auch zu Hause, und wenn wir es falsch machen, kann dies unerwünschten Zugriffen Tür und Tor öffnen. Ziel ist es, Risiken zu minimieren, ohne die Zusammenarbeit zu blockierenObwohl es ideal ist, Anmeldeinformationen niemals weiterzugeben, gibt es im wirklichen Leben Situationen (technischer Support, ein verschlüsseltes Dokument, das ein Kollege überprüfen muss, eine neue Benutzerregistrierung), in denen Sie keine andere Wahl haben, als einen Schlüssel weiterzugeben.

Neben dem gesunden Menschenverstand ist es wichtig zu wissen, welche Methoden es gibt und welche Vor- und Nachteile sie haben, sowie den rechtlichen Rahmen und bewährte Verfahren zu kennen. Wenn Sie den Kontext verstehen, wählen Sie für jeden Fall den besten Weg.Nachfolgend finden Sie eine vollständige Anleitung mit sicheren Techniken, Vorsichtsmaßnahmen, Empfehlungen für Unternehmen und Tools, die den Prozess vereinfachen, ohne Ihre Geheimnisse mehr als unbedingt nötig preiszugeben.

Rechtlicher Rahmen und warum er wichtig ist

Die Rechtmäßigkeit der Weitergabe von Anmeldeinformationen bewegt sich in einer Grauzone, die vom Dienst und seinen Bedingungen abhängt. Es ist ratsam, die Nutzungsbedingungen jeder Plattform zu überprüfenEs gab aufsehenerregende Fälle, wie etwa die Verschärfung der Richtlinien von Netflix, bei denen die Weitergabe von Passwörtern als Urheberrechtsverletzung ausgelegt wurde.

In den Vereinigten Staaten wurde in Fällen der Weitergabe von Anmeldeinformationen der Computer Fraud and Abuse Act von 1986 (CFAA) herangezogen. Im Jahr 2016 entschied ein Gericht, dass es illegal sei, Passwörter an Unbefugte weiterzugeben.Über die Zuständigkeit hinaus ist die praktische Botschaft klar: Verhindern Sie, dass unbefugte Dritte auf Ihre Konten zugreifen, und beschränken Sie den Umfang der Weitergabe.

Im Unternehmensumfeld vervielfacht sich das Risiko, da sensible Daten, geistiges Eigentum und die Einhaltung gesetzlicher Vorschriften auf dem Spiel stehen und Sicherheitspolitik; Unkontrollierte Weitergabe von Passwörtern kann zu schwerwiegenden Zwischenfällen führenAus diesem Grund können Sie mit Lösungen wie LastPass for Business den Zugriff ausschließlich auf autorisierte Benutzer beschränken, die Weiterleitung außerhalb des Unternehmens blockieren und Berechtigungen sofort widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt.

Bei der Planung des Freigabemodus müssen Sie über Zugriff, Rückverfolgbarkeit, Informationsintegrität und Ablauf; Wenn Sie einschränken können, wer den Schlüssel wann und wie oft sieht, verringern Sie die Angriffsfläche.Dies ist die Grundlage der Techniken, die Sie in diesem Handbuch sehen werden und die darauf abzielen, Ihr Passwort für die kürzestmögliche Zeit preiszugeben.

In einigen Tools werden Ihnen vorkonfigurierte Optionen oder „Voreinstellungen“ angezeigt, um die Einrichtung zu beschleunigen (z. B. Dauer und Anzahl der Ansichten). Durch das Laden einer Standardvorgabe können Sie vermeiden, wichtige Parameter zu vergessenPassen Sie diese Werte dennoch immer an die Sensibilität des Falles und die tatsächliche Anzahl der Empfänger an.

Was Sie niemals tun sollten: unkontrollierte E-Mails und Chats

Das Senden von Passwörtern per E-Mail oder in einem normalen Chat (Teams, Telegram, WhatsApp usw.) ist zwar praktisch, aber von Natur aus unsicher; das Verständnis der Arten der Computersicherheit hilft, dieses Risiko einzuschätzen, Die Kontrolle über die Weiterleitung geht verloren und der Schlüssel wird für immer gespeichertSelbst wenn Sie das Passwort in einem separaten Thread senden, verrät der Kontext oft, wofür es ist und wer es verwendet. Dadurch kann es leicht ausgenutzt werden, wenn jemand die Konversation oder den Posteingang durchsucht.

Ein weiteres Problem bei Chats und E-Mails besteht darin, dass Informationen auf unbestimmte Zeit auf den Servern und Geräten der Teilnehmer verbleiben. Ein Kontodiebstahl, ein schlecht geschütztes Backup oder ein einfaches Versehen legen diesen Verlauf offen.Vermeiden Sie daher diese Routen, es sei denn, Sie wenden die unten beschriebenen zusätzlichen Maßnahmen an.

Wichtige Vorsichtsmaßnahmen vor dem Teilen

Bevor man einen Schlüssel weitergibt, ist es ratsam, den Boden mit Maßnahmen vorzubereiten, die seinen Missbrauch erschweren, denn Keine Übermittlungsmethode gleicht mangelnde Passworthygiene aus. Beachten Sie die folgenden Empfehlungen: Machen Sie eine Fragebogen zur Cybersicherheit.

• Ein Passwort pro Konto: Anmeldeinformationen nicht zwischen Diensten wiederverwenden.
• Periodische Rotation: Ändern Sie Passwörter häufig, insbesondere vertrauliche.
• Widerrufe und ÄnderungenWenn Sie mit der Person, mit der Sie das Passwort teilen, Schluss machen, ändern Sie das Passwort sofort.
• Lass sie nicht im Blickfeld: weder in Haftnotizen noch in unverschlüsselten Dateien.
• Bestätigung in zwei Schritten aktivieren (MFA), wann immer möglich.

Durch die Anwendung dieser Maßnahmen wird ein Sicherheitspolster geschaffen, das die Auswirkungen verringert, wenn jemand den Schlüssel abfängt. Es handelt sich um Barrieren, die einen Angreifer zwingen, über mehrere Hindernisse zu springenUnd wenn der geringste Verdacht besteht, dass Ihre Daten offengelegt werden könnten, ändern Sie Ihr Passwort sofort.

Passwortmanager mit Freigabefunktionen

Moderne Manager sind die erste Anlaufstelle für kontrolliertes Speichern und Teilen, denn Sie vereinen Verschlüsselung, Organisation und AuditingDarüber hinaus sind sie in Browser und Mobilgeräte integriert und bieten ergänzende Dienstprogramme wie Generatoren für sichere Passwörter.

Beliebte Lösungen wie 1Password, LastPass, Dashlane, Keeper, Bitwarden o RoboForm ermöglichen Ihnen die Erstellung gemeinsamer Räume oder Sammlungen für Familien oder Teams; Jeder Benutzer verwaltet seinen privaten Tresor und greift nur auf das zu, was ihm gestattet ist.In diesen Bereichen können Sie sehen, wer mit welchen Berechtigungen Zutritt hat. Außerdem gibt es normalerweise ein Zugriffsprotokoll, um mögliche Vorfälle untersuchen zu können.

Ein weiterer Vorteil besteht darin, dass diese Manager neben Passwörtern auch sichere Notizen speichern können. Rechnungsdaten, Wiederherstellungscodes oder vertrauliche Anweisungen passen in diesen Fluss.Viele benachrichtigen Sie auch, wenn Ihre Anmeldeinformationen in bekannten Lecks auftauchen, damit Sie sie so schnell wie möglich ändern können.

Erweiterte Freigaben sind oft Teil kostenpflichtiger Pläne, der Wert liegt jedoch in der Kontrolle und Sichtbarkeit. Bei Compliance oder kritischen Daten macht die Rückverfolgbarkeit den UnterschiedWenn Sie in einer Organisation arbeiten, prüfen Sie, welches Unternehmensmanagementsystem zugelassen ist, bevor Sie selbst eines implementieren.

Temporäre Nachrichten: eine Kompromisslösung

Messaging-Apps wie WhatsApp, Telegram, Snapchat o Signal Sie bieten verschwindende Nachrichten an, die in bestimmten Fällen nützlich sein können; Trotzdem ist es nicht die am meisten empfohlene MethodeTrotz Ende-zu-Ende-Verschlüsselung besteht weiterhin das Risiko einer Erfassung (obwohl dies in bestimmten Modi blockiert werden kann) oder einer erneuten Übertragung vor Ablauf.

Wenn Sie keine andere Möglichkeit haben, verwenden Sie private Chats und aktivieren Sie die Option für temporäre Nachrichten mit der kürzestmöglichen Zeit; Bei WhatsApp sind 24 Stunden die sinnvolle EinstellungIn Telegram können Sie „geheime Chats“ öffnen und automatische Löschauslöser festlegen. Priorisieren Sie immer minimale Zeitfenster.

Teilen Sie die Informationen auf und nutzen Sie verschiedene Kanäle

Eine klassische Technik besteht darin, die Informationen in mehrere Teile aufzuteilen, sodass Niemand kann den Zugang mit einer einzigen Nachricht wiederherstellenZum Beispiel: Dienst, Benutzername und Passwort in getrennten Sendungen und über unterschiedliche Kanäle.

Sie könnten den Dienst also per E-Mail, den Benutzernamen per Messenger und das Passwort über einen anderen Kanal senden. Vermeiden Sie Querverweise in Nachrichten, um keine Hinweise zu hinterlassenWenn jemand eine der Parteien abfängt, stehen ihr nicht alle Elemente zum Eintreten zur Verfügung.

Temporäre Links, die sich selbst zerstören

Es gibt eine Kategorie von Webtools, die speziell dafür entwickelt wurden, Passwörter auf Ad-hoc-Basis über ablaufende URLs zu teilen. Das Passwort wird nicht als Klartext übertragen, sondern in einem kontrollierten FlussZwei Schlüsselideen definieren seine Sicherheit: die Begrenzung der Lebensdauer und die Begrenzung der Anzahl der Aufrufe.

Ein Beispiel ist Password Pusher (pwpush.com), mit dem Sie ein Passwort generieren oder ein vorhandenes einfügen und einen Link mit einem Ablaufdatum erstellen können. Sie entscheiden, wie viele Tage es in Betrieb ist und wie oft es geöffnet werden kann.Idealerweise sollten Sie die Parameter auf das notwendige Minimum anpassen: Weniger Tage und weniger Aufrufe bedeuten weniger Präsenz.

Vermeiden Sie beim Generieren des Links, neben dem Kennwort Kontext hinzuzufügen (nichts wie „es ist der Schlüssel von X mit Benutzer Y“); Wenn jemand die URL abfängt, weiß er nicht, wo er sie anwenden soll.. Kopieren Sie die resultierende Adresse und geben Sie sie über den gewählten Kanal weiter.

Wichtiges Detail: Einige E-Mail- und Collaboration-Sicherheitsfilter (Microsoft 365, Gmail usw.) überprüfen vor dem Besuch von Links, ob diese bösartig sind. Dadurch können Aufrufe verbraucht werden, ohne dass der Empfänger die URL geöffnet hat.Aktivieren Sie die Option „1-Klick-Wiederherstellungsschritt“, sofern verfügbar, um diesen automatischen Verbrauch zu vermeiden.

Schließlich kann der Empfänger auf die URL klicken und das Passwort in die Zwischenablage kopieren, je nach Konfiguration sogar ohne es auf dem Bildschirm zu sehen; Der Zugriff ist somit auf eine einzige kontrollierte Handlung beschränktUnd wenn Sie mehr Sicherheit benötigen, kombinieren Sie diese Technik mit der Übermittlung der Informationen zum Verwendungsort über einen separaten Kanal.

Geheimnisse mit Browser-Verschlüsselung teilen

Einige Tools gehen noch einen Schritt weiter und verschlüsseln das Geheimnis im Browser selbst, bevor es an den Server gesendet wird. Der Anbieter sieht den Inhalt also nie im KlartextDer übliche Ablauf ist wie folgt: Der Browser generiert ein Schlüsselpaar (öffentlich und privat) und verschlüsselt das Geheimnis lokal.

Der Server erhält nur den öffentlichen Schlüssel und das bereits verschlüsselte Geheimnis; Ohne die private Berechtigung sind die gespeicherten Inhalte nutzlos, selbst wenn jemand auf die Datenbank zugreift.Das Tool erstellt dann eine URL, die eine geheime Kennung und die Informationen enthält, die der Client zum Entschlüsseln benötigt.

Auf diese Weise ruft der Browser des Empfängers beim Öffnen des Links den verschlüsselten Blob ab und entschlüsselt ihn lokal mit den in der URL eingebetteten Daten. Wenn die ursprüngliche URL nicht verfügbar ist, ist es nicht möglich, das Geheimnis zu rekonstruieren.Die Ablaufkontrolle basiert auf zwei Bedingungen: der Anzahl der Aufrufe und der verstrichenen Zeit. Wenn eine der beiden Bedingungen erfüllt ist, wird der Zugriff auf das Konto unzugänglich.

Einige Implementierungen fügen ein Protokoll anzeigen jeden Versuch zu prüfen, auch diejenigen, bei denen das Geheimnis nicht angezeigt wird, weil es abgelaufen ist; Diese Rückverfolgbarkeit hilft zu bestätigen, dass der Empfänger es erhalten hat und wannDies ist eine sehr praktische Funktion für Supportteams und Administratoren.

Bei dieser Art von Lösung sind Evolutionspläne mit integrierten Dienstprogrammen üblich, wie etwa Passwortgeneratoren oder URL-Verkürzer, die die Verteilung erleichtern. Sie ziehen normalerweise auch Übersetzungen und Hilfeseiten (FAQ, Info) in Betracht, um ein breiteres Publikum zu erreichen.Alles hilft, wenn es Ihnen hilft, weniger und besser zu teilen.

Bitwarden Send und verschlüsseltes Senden von Texten/Dateien

Eine weitere praktische Möglichkeit besteht darin, Dienste wie Bitwarden Send zu verwenden, um Text oder Dateien sicher und vollständig Ende-zu-Ende-verschlüsselt auszutauschen. ermöglicht Ihnen die Übertragung von Anmeldeinformationen, Geschäftsdokumenten oder vertraulichen Notizen mit Zugriffskontrollen. Sein Ansatz macht es einfach, Inhalte direkt an jemand anderen zu senden, ohne die Inhalte Dritten preiszugeben.

Diese Art von Tools bieten oft Ablaufdaten, zusätzlichen Kennwortschutz und Downloadbeschränkungen. Legen Sie immer die Mindestzeit fest und vermeiden Sie die Wiederverwendung von LinksWenn der Empfänger die Daten nicht behalten muss, ist es besser, den Link nach der ersten Ansicht verfallen zu lassen.

Praxisbeispiel: Verschlüsseltes Dokument, das von einem Team geteilt wird

Stellen Sie sich vor, Sie haben ein Office-Dokument mit einem Schlüssel verschlüsselt und ein Mitarbeiter muss es öffnen. Sie müssen dieses Passwort angeben, ohne es Dritten preiszugeben.In diesem Fall empfiehlt es sich, die Datei über den üblichen Unternehmenskanal und das Kennwort über einen temporären, selbstzerstörenden Link zu senden.

Darüber hinaus wird auf andere Weise mitgeteilt, wo dieses Kennwort angewendet werden soll (z. B. über den Namen der Datei oder des Ordners). Wenn jemand entweder die URL oder das Dokument abfängt, aber nicht beides, kann er nicht auf den Inhalt zugreifen.Es handelt sich um ein einfach anzuwendendes Gleichgewicht, das eine echte Sicherheitsebene hinzufügt.

Risiken, vernetzte Konten und Identität

Moderne Konten enthalten persönliche Daten, Bankinformationen, Gespräche, Fotos und mehr. Wenn sich jemand mit einem unkontrollierten, gemeinsam genutzten Passwort anmeldet, kann er sich als Sie ausgeben oder Betrug begehen.. Darüber hinaus sind viele Dienste miteinander verknüpft, sodass ein Verstoß andere Dienste in Mitleidenschaft ziehen kann.

Die Bekanntheit wirkt sich auch auf Ihren Ruf aus: Wer auf Ihre Profile zugreift, kann in Ihrem Namen Beiträge veröffentlichen oder Ihre Informationen manipulieren. Der Schutz des Zugriffs ist der Schutz Ihrer digitalen IdentitätDaher ist es wichtig, die Verbreitung von Anmeldeinformationen auf ein Minimum zu beschränken und Methoden zu wählen, die möglichst wenige Spuren hinterlassen.

Kontrollen und Richtlinien in Unternehmen

In Organisationen sollte es Standard sein, das Minimum über verwaltete Bereiche und mit Rollenberechtigungen freizugeben. Beschränkt die Verwendung von Passwörtern auf autorisierte Benutzer und verhindert, dass diese die Domäne verlassenMit den richtigen Geschäftstools können diese Richtlinien zentral durchgesetzt werden.

Eine weitere wichtige Kontrolle ist die sofortige Kündigung, wenn jemand das Unternehmen verlässt. Das Sperren des Zugriffs auf Anmeldeinformationen und Ressourcen sollte ein automatisierter Prozess sein. Überprüfen Sie parallel dazu regelmäßig den gemeinsamen Zugriff und löschen Sie alles, was nicht mehr benötigt wird.

Empfohlener Schritt-für-Schritt-Ablauf mit temporären Links

In bestimmten Fällen funktioniert ein robuster Ablauf mit Einweglinks und kurzer Ablaufdauer sehr gut. minimiert den Zeitaufwand und begrenzt die Anzahl der Augen, die den Schlüssel sehen könnenDie Reihenfolge wäre:

• Generieren Sie ein zufälliges Passwort oder fügen Sie Ihr vorhandenes in das temporäre Toolfeld ein.
• Definieren Sie das Ablaufdatum nach Tagen und Ansichten. Tipp: Fügen Sie eine zusätzliche Ansicht hinzu, falls Sie den Link selbst überprüfen.
• Aktiviert die Option, die verhindert, dass automatische Scanner Ansichten verbrauchen (entspricht „1-Klick-Wiederherstellung“).
• Erstellen Sie den Link und kopieren Sie ihn in die Zwischenablage, ohne einen Dienst-/Benutzerkontext hinzuzufügen.
• Senden Sie die URL über einen Kanal und kommunizieren Sie gegebenenfalls über einen anderen Kanal.

Wenn Sie es mit aktivierter MFA auf dem Zielkonto kombinieren, wird das Risiko drastisch reduziert. Selbst wenn jemand das Passwort stiehlt, kann er ohne den zweiten Faktor nicht darauf zugreifen.Und denken Sie daran, den Link zu löschen, wenn er nicht mehr benötigt wird, sofern das Tool dies zulässt.

Welchen Weg Sie auch wählen, die gemeinsame Idee besteht darin, keine bleibenden Spuren zu hinterlassen, den Zugang zu kontrollieren und den Wasserhahn jederzeit zudrehen zu können. Wenn Sie Zeitlimits, Anzeigelimits und Kanaltrennung anwenden, sind Sie auf dem richtigen Weg.Mit diesen Gewohnheiten und den richtigen Tools ist das Teilen von Passwörtern kein Russisches Roulette mehr, sondern ein maßvoller Prozess.