it-swarm.com.de

Ist eine geheime Konversation mit WhatsApp oder Facebook Messenger eine vernünftige Methode zum Übertragen von Passwörtern?

Ich habe das Netflix-Konto in unserer Familie, was bedeutet, dass ich das Passwort habe.

Es ist ein sicheres Passwort mit 16 Zeichen, einschließlich Symbolen, Zahlen und Großbuchstaben, zum Beispiel 3?TeJ)6RK]4Z_a>c, das ungefähr 80 Bit Entropie hat.

Ich muss dieses Passwort jedoch mit anderen Familienmitgliedern teilen, damit sie sich auch anmelden können. Ist die Verwendung einer geheimen Konversation mit WhatsApp oder Facebook Messenger eine akzeptable Methode dafür?

Gibt es bessere Methoden?

57
Tim

Sowohl Facebook Messenger (unter Verwendung geheimer Konversationen) als auch WhatsApp implementieren eine End-to-End-Verschlüsselung. Wenn Sie eine Nachricht senden, wird Ihr Text auf Ihrem Computer verschlüsselt und auf dem Zielcomputer entschlüsselt. Der Text Ihrer Nachrichten ist für niemanden dazwischen sichtbar, es sei denn, er unterbricht die Verschlüsselung, was aus praktischen Gründen nicht der Fall ist (es sei denn, Sie sind Gegenstand einer nationalen Sicherheitsuntersuchung. In diesem Fall haben Sie größere Probleme als Ihr Netflix-Passwort mit den Wonks bei der NSA zu teilen).

Beachten Sie jedoch, dass die End-to-End-Verschlüsselung nur den Kommunikationskanal selbst schützt. Es schützt Sie nicht vor Bedrohungen wie:

  • Malware wie Keylogger oder Screen Grabber, die auf Ihrem Computer oder dem Zielcomputer installiert wurden
  • Freunde/Familie, die sich entscheiden, Ihr Passwort ohne Ihre Erlaubnis erneut zu teilen oder zu ändern
  • Netflix, das diese Dinge überwacht und feststellt, dass Ihr Konto an mehreren geografischen Orten verwendet wird und daher wahrscheinlich gegen die Nutzungsbedingungen freigegeben wird. Netflix hat Pläne, die mehrere Streams unter Familienmitgliedern zulassen. Daher ist dies an sich kein umsetzbares Problem, es sei denn, Ihr Kennwort wird auf irgendeine Weise weit verbreitet.
  • Strafverfolgung, wenn Sie zufällig in einem Gebiet leben, in dem das Teilen von Passwörtern unter Strafe gestellt wurde
  • Wie Daniel in den Kommentaren hervorhob, bietet Facebook (dem sowohl Facebook Messenger als auch WhatsApp gehören) möglicherweise versehentlich eine schwache Sicherheit oder ist an der Verletzung der Benutzersicherheit beteiligt (z. B. um eine Strafverfolgungsuntersuchung zu unterstützen). Da proprietäre Anwendungen (keine Open Source-Anwendungen) keine dieser Softwareprogramme von externen Sicherheitsforschern überprüft wurden, hat Facebook möglicherweise eine schlechte Implementierung oder kopiert/überprüft Ihre Daten entweder auf dem Quell- oder dem Zielgerät. Da diese Anwendungen die zur Implementierung der End-to-End-Verschlüsselung verwendeten Verschlüsselungsschlüssel erstellen und steuern, müssen Sie außerdem davon ausgehen, dass Facebook die Verschlüsselung auf Wunsch unterbrechen kann (oder von Personen, denen sie die Schlüssel geben würden, z. B. Strafverfolgungsbehörden).
  • Ein weiterer hervorragender Punkt von Gert van den Berg in den Kommentaren: Einige Messaging-Apps werden automatisch in der Cloud gesichert. Die Sicherheit rund um den Cloud-Speicher ist bei weitem nicht so hoch wie die im Kommunikationskanal verwendete End-to-End-Verschlüsselung. Weitere Informationen dazu, wie die Cloud eine Bedrohung für den Datenschutz darstellt, finden Sie beispielsweise in den Fappening-Angriffen. (Auch für angeblich gelöschte Daten!)
65
David

"Akzeptabel" ist relativ zu dem Risiko, das Sie akzeptieren möchten.

Persönlich denke ich, dass WhatsApp dafür geeignet ist. Da es eine gute End-to-End-Verschlüsselung hat. Aber ich würde auch denken, dass Facebook nur in Ordnung ist, weil es ein Netflix-Passwort ist und nicht Ihre Bank.

Wie ich sagte. Es liegt an Ihnen und Ihrem Risikoappetit. Persönlich würde ich WhatsApp mit meiner Familie gerne nutzen.

48
ISMSDEV

Bei einem Netflix-Passwort ist die Übergabe des Passworts über FB Messenger oder WhatsApp sicher genug. Die Daten werden während der Übertragung mit modernen Verschlüsselungstechnologien verschlüsselt. Beachten Sie jedoch, dass das Passwort sowohl im Posteingang als auch im Posteingang des Empfängers im Klartext angezeigt wird. Dies kann ein Risiko darstellen, wenn das Messenger/WhatsApp-Konto des Empfängers (oder Ihr eigenes Konto) gefährdet ist.

Wenn Sie Nachrichten mit vertraulichen Informationen senden, die sich beispielsweise auf die nationale Sicherheit beziehen, würde ich hypothetisch empfehlen, diese vertraulichen Daten nicht über diese Arten von Messaging-Plattformen zu senden. Die Realität ist, dass die "Kräfte", die möglicherweise in der Lage sind, Ihre Chat-Protokolle von diesen Messaging-Diensten abzurufen, dies nur tun würden, wenn die gesuchten Informationen sehr wertvoll wären.

7
SecretSasquatch

In erster Linie möchte ich darauf hinweisen, dass das Passwort selten der schwächste Punkt in Ihrer Passwortsicherheit ist, und tatsächlich kann auch Sicherheit eines Passworts Sie weniger sicher machen. Menschen sind häufig die schwächste Stelle, was hier besonders zutreffend ist. Sie haben ein sehr sicheres (d. H. Schwer zu merkendes) Passwort erstellt. Sie haben damit kein Problem, da Sie Ihr Passwort in einem Passwort-Manager speichern. Tun Ihre Familienmitglieder das trotzdem? Wie hoch ist die Wahrscheinlichkeit, dass sie Ihre Nachricht an einem sehr zugänglichen Ort hinterlassen, wenn sie sie benötigen, weil sie sich selbst nie daran erinnern können? Welches Familienmitglied kopiert diese Nachricht, fügt sie ein und sendet sie sich über einen unsicheren Kanal per E-Mail, damit es sie nicht vergisst?

Möglicherweise ist ein sicheres und einprägsames Passwort sicherer als ein Passwort, das sicher, aber nicht zu merken ist, da an letzterer Stelle jemand es speichert es auf unsichere Weise, weil sie nicht die Absicht haben, es auswendig zu lernen. Ich würde also sagen, wenn Sie wirklich höchste Sicherheit garantieren möchten, müssen Sie sich ein Passwort einfallen lassen, das sich leicht merken lässt. Dann könnten Sie sie einfach anrufen und ihnen sagen, was es ist.

XKCD: Immer einen Link wert: https://xkcd.com/936/

2
Conor Mancone

Für die meisten normalen Leute, deren Bedrohungsmodelle keine nationalstaatliche gezielte Überwachung oder einen Haftbefehl von Strafverfolgungsbehörden beinhalten, ist eine WhatsApp-End-to-End-Verschlüsselung ausreichend.

Andere haben auf zwei Situationen hingewiesen, die ich der Vollständigkeit halber wiederholen werde:

  1. Der Dienstanbieter (in diesem Fall FaceBook/WhatsApp) kann unter bestimmten Umständen den Klartext (entschlüsseltes Kennwort) direkt vom Gerät extrahieren.
  2. Keylogger und andere Malware auf den Endpunkten (Telefone/Laptops) selbst könnten direkt auf den Klartext zugreifen.

Eine Technik, die ich in dieser Situation verwende, besteht darin, den Kontext selbst zu verschleiern und die Schwierigkeit für den Gegner zu erhöhen. d.h. senden Sie das Passwort, aber erwähnen Sie nicht im selben Kanal, wofür es ist; Erwähnen Sie den Kontext in einem separaten Kanal. z.B.,

Kanal 1: SMS/Sprachanruf: "Hey, ich werde Ihnen in einer Minute eine separate Nachricht mit NetFlix-Passwort senden".

Kanal 2: WhatsApp msg: "Hier ist, worüber wir gerade gesprochen haben: 3?TeJ)6RK]4Z_a>c "

2
Sas3

Während andere darauf hingewiesen haben, dass insbesondere ein Netflix-Passwort möglicherweise nicht das wertvollste Gut der Welt ist, ziehe ich es persönlich vor, nach Möglichkeit bewährte Verfahren anzuwenden. Ich denke, die meisten stimmen darin überein, dass Passwörter nicht elektronisch übertragen werden, wenn dies vermeidbar ist.

Meine Frau und ich verwenden beide KeePass, und für Passwörter, die wir beide benötigen (einschließlich Netflix), habe ich den einmaligen Vorgang der manuellen Eingabe des Passworts in ihre KeePass-Datenbank durchlaufen. Wenn wir es jemals ändern müssen, geschieht dies auch manuell.

Ist das übertrieben? Könnte sein. Ich würde mit der Frage kontern - warum nicht? Es ist wirklich keine große Unannehmlichkeit und es macht jedem die Gewohnheit, keine Passwörter per Haftnotiz oder E-Mail weiterzugeben. Außerdem müssen Sie sich keine Sorgen machen, dass NSA] Facebook heimlich dazu bringt, Ihre Nachrichten zu entschlüsseln, damit sie House of Cards auf Ihren Cent sehen können :)

2
Rob Gwynn-Jones

Sie sollten sich bewusst sein, dass die End-to-End-Verschlüsselung von WhatsApp möglicherweise nicht Ihren Erwartungen entspricht. Das von Whatsapp verwendete Protokoll ist zwar sicher, aber es sieht so aus, als würde die Implementierung die Benutzerfreundlichkeit der Sicherheit vorziehen. Es wurde unter WhatsApp-Sicherheit besprochen, und ein Kommentar gab ein Link zum Guardian , das dies erklärt

In seinem WhatsApp-Messaging-Dienst wurde eine Sicherheitslücke gefunden, mit der Facebook und andere verschlüsselte Nachrichten abfangen und lesen können
...

WhatsApp hat jedoch die Möglichkeit, die Generierung neuer Verschlüsselungsschlüssel für Offline-Benutzer zu erzwingen, die dem Absender und Empfänger der Nachrichten nicht bekannt sind, und den Absender dazu zu bringen, Nachrichten mit neuen Schlüsseln neu zu verschlüsseln und sie für Nachrichten, die dies nicht getan haben, erneut zu senden wurde als geliefert markiert.

Der Empfänger wird nicht über diese Änderung der Verschlüsselung informiert, während der Absender nur benachrichtigt wird, wenn er sich für Verschlüsselungswarnungen in den Einstellungen entschieden hat, und erst, nachdem die Nachrichten erneut gesendet wurden. Durch diese Neuverschlüsselung und erneute Übertragung zuvor nicht zugestellter Nachrichten kann WhatsApp die Nachrichten einiger Benutzer effektiv abfangen und lesen.

[WhatsApp rechtfertigt dies, um zu bewältigen, wenn] der Sicherheitscode eines Kontakts geändert wurde. Wir wissen, dass die häufigsten Gründe dafür darin liegen, dass jemand das Telefon gewechselt oder WhatsApp neu installiert hat. Dies liegt daran, dass in vielen Teilen der Welt häufig Geräte und Sim-Karten gewechselt werden. In diesen Situationen möchten wir sicherstellen, dass die Nachrichten von Personen zugestellt werden und nicht während der Übertragung verloren gehen.

Das bedeutet, dass WhatsApp-Administratoren auch bei einer End-to-End-Verschlüsselung die Möglichkeit haben, Ihr sendendes Gerät dazu zu bringen, eine neue Kopie der Nachricht mit dem Kennwort mit einem neuen, ihnen bekannten Verschlüsselungsschlüssel zu senden. Ob dies akzeptabel ist, liegt bei Ihnen, aber für mich bevorzuge ich S/MIME- oder PGP-verschlüsselte E-Mails, die diese Sicherheitsanfälligkeit nicht aufweisen.

2
Serge Ballesta

Angenommen, Sie beauftragen sie, sich darum zu kümmern, und Ihr Risiko, dieses Passwort zu verlieren, wäre nicht schlecht (d. H. Es ist nicht Ihre Bank):

Ich wäre immer noch versucht, es während des Transports auf einfache Weise zu verschleiern und den Schlüssel auf einen anderen Kanal zu senden. Z.B. gegeben Ihr Beispiel von 3?TeJ)6RK]4Z_a>c, senden 3?TfJ)6RK]4Z_b>d, dann ruf sie an und sag ihnen, sie sollen die Kleinbuchstaben zurück verschieben. Dies macht es für Schulter-Surfer nutzlos.

Ich würde auch vermeiden, den Kontonamen/die E-Mail-Adresse und den Dienst im selben Thread in einigen Nachrichten zu erwähnen, damit sie nicht auf demselben Bildschirm angezeigt werden ("das gewünschte Passwort: 3? TeJ) 6RK] 4Z_a> c" anstelle von "Netflix-Passwort: 3? TeJ) 6RK] 4Z_a> c").

Eine gemeinsam genutzte Online-Kennwortdatenbank ist möglicherweise sicherer, aber bei jedem auf verschiedenen Geräten ist dies ein Problem, und Sie müssen das Login dafür noch freigeben. Während dies möglich sein sollte, ohne ein Passwort zu übermitteln, wird es nicht trivial sein, jemanden einmalig durchzugehen.

1
Chris H

Option A: Sie treffen die betreffenden Personen persönlich
Option B: Sie nennen sie (Gott weiß, wer Ihre Drähte abgehört hat
Option C Sie senden ihnen einen verschlüsselten Brief per Post und senden den Schlüssel auf andere Weise. (Was ist die Chance, auf 2 Medien ausspioniert zu werden)
Option D: Ist mir egal und riskiere es einfach

1
Mark

Wie wäre es, wenn Sie das Passwort in "Alle Ihre Vornamen nd Alter, aufgelistet in der Reihenfolge des Alters mit einem Leerzeichen zwischen den einzelnen Wörtern" ändern und dann dies dem anderen mitteilen Mitglieder Ihrer Familie.

OK, es ist unwahrscheinlich, dass Sie dort viele Sonderzeichen haben, aber die schiere Länge sollte einen gewissen Schutz bieten.

1
Phill W.

Andere haben bereits auf das begrenzte Risiko des Verlusts des Passworts und die Verwendung der End-to-End-Verschlüsselung durch WhatsApp hingewiesen, aber ich möchte noch auf eines hinweisen:

beachten Sie, dass diese End-to-End-Verschlüsselung nur für Übertragung das Passwort nützlich ist. Sobald die andere Person es erhalten hat, kann jeder, der Zugriff auf das (gegebenenfalls entsperrte) Telefon hat, es im Chat-Verlauf sehen.

Es kann eine gute Idee sein, die andere Person zu bitten, die Nachricht aus ihrem Chat-Verlauf zu entfernen, sobald sie sie erhalten hat. Sie möchten nicht, dass sie ihren WhatsApp-Chat-Verlauf als digitales Post-It mit ihrem Passwort verwenden.

1
Teun Vink