it-swarm.com.de

Ist es empfehlenswert, Passwörter in separaten E-Mails zu senden, und warum?

Ich habe von verschiedenen Personen und an verschiedenen Orten gehört, dass ich, wenn ich eine verschlüsselte Datei an eine andere Person sende, ihnen das Passwort in einer separaten E-Mail senden sollte. aber warum? Wenn jemand schnüffelt, erfasst er beide und wenn der Posteingang kompromittiert ist, erfasst er beide. Aber anscheinend ist es "Best Practice", es separat zu senden.

Jetzt persönlich würde ich ein Passwort auf andere Weise senden, beispielsweise durch einen Anruf. Was würdet ihr empfehlen?

57
Arlix

Wenn Sie sie separat senden, wird dem Kanal Rauschen hinzugefügt, vorausgesetzt, es gibt eine Verzögerung beim Senden der zweiten E-Mail, die der Angreifer für einen längeren Zeitraum abhören und mehr Inhalte filtern müsste. Es ist einfach ein bisschen sicherer, als alles im selben Paket zu versenden. Denken Sie daran, einen Safe zu bestellen und die Schlüssel zusammen mit ihm zu versenden. Es ist im Grunde die gleiche Idee.

Sie denken zu Recht, dass das Senden des Passworts über einen anderen Kanal (SMS, Telefon usw.) sicherer ist. Es erfordert jedoch auch mehr Verwaltung und Sammlung von mehr Informationen. Die Logistik dafür ist mit zusätzlichen Kosten verbunden.

58
Purefan

Es schadet Ihrer Sicherheit sicherlich nicht, zwei separate E-Mails zu senden, aber ich stimme zu, dass es keine Silberkugel ist.

Die bessere Vorgehensweise besteht darin, das Passwort "out of band" zu senden. Dies bedeutet, dass Sie die Datei und das Passwort über verschiedene Kommunikationskanäle senden. eine im Internet und eine nicht. Wenn Sie die Datei per E-Mail senden, senden Sie das Kennwort per SMS. Wenn sich die Datei auf einer Netzwerkfreigabe befindet, schreiben Sie das Kennwort auf Papier und geben Sie es ihnen physisch usw.

Um zu verstehen, warum Leute diese Vorschläge machen, müssen wir darüber nachdenken, vor welchem ​​Bedrohungsmodell diese Praxis uns schützen will. In diesem Fall haben sowohl der Absender als auch der Empfänger beide Teile, sodass wir nicht vor Endpunktkompromissen geschützt sind (wie jemand, der Zugriff auf Ihren Computer hat) oder E-Mail-Konto), stattdessen schützt es uns vor einem böswilligen Postboten, während die Daten übertragen werden. Die Idee ist, die Daten in Krypto-Teile zu zerlegen und jedes Teil über einen anderen Kanal zu senden, so dass kein Postbote genug hat, um die Daten zu rekonstruieren.

Mit diesem Bedrohungsmodell können Sie sogar zwei separate E-Mails mit demselben To: und From: Adressen tun etwas Gutes, wenn man bedenkt, dass 1) E-Mail ein Klartextprotokoll ist und 2) zwei beliebige Pakete zwei sehr unterschiedliche Wege durch das Internet gehen. Auf diese Weise kann jeder Router eines Drittanbieters in der Mitte den Inhalt der Nachricht sehen, aber wahrscheinlich nur die Hälfte der Kryptodaten. Es wird Ihren ISP oder die NSA (die alles protokolliert) sicherlich nicht davon abhalten, beide Bits wieder zusammenzusetzen, aber sie müssen eine enorme Datenmenge durchsehen, um dies zu tun, was für sie teuer ist.

Es ist klar, dass beide Chunks mit völlig unterschiedlichen To: und From: Adressen oder die Lieferung eines Stücks mit einer Nicht-Internet-Methode erschweren die Rekonstruktion erheblich . Sie müssen die Rekonstruktion nicht unmöglich machen, Sie müssen sich nur mehr Mühe geben, als in Ihren Computer einzudringen, damit er nicht länger die Schwachstelle in der Kette ist.

34
Mike Ounsworth

Nach meiner Erfahrung haben die meisten Leute, die dies empfehlen, zuvor in ähnlichen Situationen mit Post gearbeitet, z. B. beim Versenden der Geldautomatenkarte und der PIN separat).

Bei Schneckenpost ist dies sinnvoll, da es in den meisten Fällen für einen kompromittierten Knoten normalerweise nicht praktikabel ist, den gesamten Datenverkehr abzufangen und Karten mit PINs zu korrelieren. Oder wenn es praktisch ist, ist es im Allgemeinen ein Knoten in der Nähe der Quelle oder des Ziels (Ihr Postangestellter oder jemand in der Poststelle der Bank), der leicht identifiziert werden kann.

Mit E-Mails ist es jedoch relativ einfach, den gesamten Datenverkehr abzufangen und Nachrichten zu korrelieren, sodass dieser Rat wenig Wert hat.

14
James_pic

Was Sie vorschlagen, ist sicherlich besser, als eine Benutzer-ID und ein Passwort in dieselbe E-Mail zu schreiben, aber es ist immer noch keine großartige Lösung. Betrachten Sie einige andere Optionen:

  • Dienste wie LastPass bieten sicheres Messaging.
  • Sie können Kennwörter mithilfe von Textnachrichten oder anderen Nicht-E-Mail-Methoden übertragen.
  • Mit Diensten wie privnote.com können Sie einen einmaligen Link senden, über den die andere Person auf Anmeldeinformationen zugreifen und diese abrufen kann. Auf diese Weise werden die Anmeldeinformationen nicht für immer auf einem E-Mail-Server gespeichert.
7
Scott C Wilson

Ich verstehe dies als Sicherheit durch Dunkelheit, die nicht wirklich "funktioniert" und sicherlich nicht als Best Practice angesehen wird. Die Informationen befinden sich jedoch an zwei verschiedenen Stellen, was es für einen Angreifer schwieriger macht, die Informationen zu sammeln.

Ich würde es vermeiden, das Passwort in einer separaten E-Mail zu senden. Vor allem nicht im Klartext. Verwenden Sie eine andere Kommunikationsmethode, um das Kennwort zu senden, nachdem Sie die verschlüsselte Datei gesendet haben.

6
shift_tab

Wenn Sie werden das Passwort per E-Mail senden, dann ist es eine gute Praxis, separate E-Mails zu senden. Wenn Sie eine verschlüsselte Datei und das Kennwort senden, um sie in derselben E-Mail zu entschlüsseln, ist die Verschlüsselung nutzlos. Sie erhalten genauso viel Sicherheit beim Senden von einfachem Text.

(Das ist nicht ganz richtig: Das Senden einer verschlüsselten Datei mit dem Kennwort kann eine automatisierte Überwachung umgehen. Bei einer solchen Überwachung wird jedoch wahrscheinlich besonders auf Inhalte geachtet, die verschlüsselt aussehen.)

Es gibt zwei Hauptbedrohungen gegen E-Mails. Die E-Mail kann während der Übertragung erfasst werden. Dies ist tatsächlich ein geringes Risiko: Die meisten E-Mail-Systeme sind durch TLS vom Client-Endpunkt zu ihrem Server geschützt, und die Server-zu-Server-Kommunikation ist nur durch leistungsstarke Angreifer anfällig, die ohnehin andere Möglichkeiten haben, Ihre E-Mails abzurufen. Das andere Risiko besteht darin, dass entweder der Absender oder das Postfach des Empfängers gefährdet ist. Durch das Senden des Kennworts in einer separaten E-Mail können beide Seiten die E-Mail mit dem Kennwort aus ihrem Archiv löschen, sobald sie es in ihr Kennwort-Repository kopiert haben. Durch das Löschen der verschlüsselten Datei wird der Inhalt schwieriger zu finden, was normalerweise nicht der Fall ist wünschenswert.

Es besteht auch das Risiko, dass die E-Mail mit dem verschlüsselten Anhang Teil eines Gesprächs ist, an dem möglicherweise neue Teilnehmer beteiligt sind, und dass das Kennwort verloren geht, wenn es in den zitierten Text aufgenommen wird. Eine separate E-Mail vermeidet dieses Risiko ebenfalls.

Aber sich auf ein Passwort zu verlassen, das per E-Mail gesendet wird, ist nicht gut. Das Senden des Passworts auf andere Weise ist eine Verbesserung, da es für einen Gegner schwieriger ist, sowohl den Inhalt als auch das Passwort zu erhalten.

Der richtige Weg, um verschlüsselte Inhalte auszutauschen, ist jedoch Kryptographie mit öffentlichem Schlüssel. Dies ist schwieriger einzurichten: Leider gibt es keine einfache Möglichkeit, dies mit nicht technischen Benutzern außerhalb einer Organisation einzurichten. Es macht es jedoch möglich, ein viel höheres Sicherheitsniveau zu erreichen. Zunächst erhalten Sie ein für alle Mal den öffentlichen Schlüssel des Empfängers. Das Senden des öffentlichen Schlüssels per E-Mail ist für viele Zwecke sicher genug, schützt jedoch nicht vor einem Kommunikationskanal, der bereits so stark gefährdet ist, dass unentdeckte Änderungen zulässig sind. Das Bestätigen außerhalb des Bandes (z. B. das Lesen einer Prüfsumme über das Telefon) bietet ein ausreichendes Sicherheitsniveau für alle Szenarien mit Ausnahme der Szenarien, die am meisten Paranoia erfordern. Während und nach dem Austausch öffentlicher Schlüssel spielt die Vertraulichkeit der E-Mails keine Rolle.

Vorausgesetzt, Sie möchten oder müssen das Passwort unverschlüsselt per E-Mail senden, würde ich empfehlen, die Hälfte des Passworts in der zweiten Mail und die zweite Hälfte des Passworts in der dritte Mail.

Besser noch die erste Hälfte per E-Mail und die zweite Hälfte per SMS/Andere Mittel.

(Noch besser ist es, asymmetrische Krypto zu verwenden und die öffentlichen Schlüssel per Post auszutauschen. Dies wurde jedoch an zig anderen Stellen behandelt, daher werde ich es hier nicht erneut veröffentlichen.).

2
Konrad Gajewski

Vorsichtsmaßnahme: Ja, es ist immer viel besser, eine asymmetrische Verschlüsselung zu verwenden, um solche Geheimnisse auszutauschen oder das Passwort über einen separaten Kanal zu kommunizieren.


Durch das Trennen oder Unterteilen von Informationen wird die Aufgabe, alle diese Informationen zusammenzufassen, erheblich erschwert.

Stellen Sie sich eine E-Mail vor, die ungefähr so ​​aussieht:

Benutzername: JohnSmith

Passwort: sdfs ## ds

Für einen automatisierten Prozess ist es relativ einfach, dies zu durchlaufen und eine Reihe von Informationen zu identifizieren, die zusammengehören. Wenn Sie nun Informationen über mehrere E-Mails verteilt haben, muss eine KI oder ein echter Mensch Informationen über mehrere E-Mails hinweg überprüfen. Dies ist schwierig und zeitaufwändig, es sei denn, ein Angriff wurde speziell auf diesen Satz von E-Mails zugeschnitten und hat ein allgemein bekanntes Format. Betrachten Sie diesen Fall, wenn jemand Offline- oder direkten Zugriff auf die E-Mails hat und diese einzeln durchgehen kann.

Wenn jemand auf dem Kabel lauscht oder aktives MitM ausführt, nimmt die Wahrscheinlichkeit, dass dieser Zugriff verfügbar ist, mit der Zeit ab. Die Menge der zu analysierenden Informationen nimmt im Laufe der Zeit auch für eine bestimmte Abhörsitzung zu. Zeitverzögerungen erhöhen daher die Kosten des Angriffs.

Ich würde dies nicht ganz mit Sicherheit durch Dunkelheit gleichsetzen, weil Sie in diesem Fall nichts verstecken, sondern nur die Kosten für den Angreifer erhöhen ( wie absichtlich so zu tun, als würde er auf einen 419 hereinfallen Betrug, um seine Zeit zu verschwenden dh Betrug).

2
Eric G

Obwohl bereits viele gute Gründe angeführt wurden, besteht das Gesamtkonzept darin, Schloss und Schlüssel zu trennen, um die Sicherheit zu verbessern.

Wenn zum Beispiel ein Angreifer tatsächlich Netzwerkverkehr schnüffelt, wo schnüffelt er daran? Angenommen, der Absender oder Empfänger sendet unterwegs Informationen und wechselt von einem WLAN-Hotspot zu einem 4G-Netzwerk, zu einem anderen Hotspot usw. Wenn dies der Fall ist, ist Ihre Trennung in der Tat sehr weit.

Nehmen Sie einen anderen Fall, in dem der Posteingang des Empfängers "kompromittiert" ist. wann stiehlt der Angreifer die Informationen tatsächlich? Wenn ein Angreifer das Passwort und die Datei sofort stiehlt, es jedoch einige Zeit dauert, die beiden miteinander zu verbinden, sind die Informationen möglicherweise veraltet und daher nicht mehr aktiv.

Wie Sie sehen, gibt es einige Fälle, in denen diese Art von Verhalten sicherer ist, als beide einfach in einer E-Mail zu übergeben. Obwohl dieses Verhalten nicht ideal ist, ist es für Laien eine einfache und effektive Möglichkeit, beim Senden von Informationen ein kleines Stück Sicherheit hinzuzufügen - weshalb es verwendet wird.

2
Matthew Peters

das Senden von Passwort und Datei ist sehr riskant, insbesondere wenn Sie gezielt angesprochen werden und der Kontakt nur per E-Mail verfügbar ist und die Parteien nicht vereinbart haben, ein bestimmtes Passwort im Voraus zu verwenden. Dieses Schema kann befolgt werden, um eine Datei sicher zu senden

senden Sie eine E-Mail mit dem öffentlichen Schlüssel eines bekannten Krypto-Algorithmus mit öffentlichem Schlüssel und fordern Sie an, dass das Kennwort mit diesem Schlüssel verschlüsselt wird

nachdem Sie das mit dem öffentlichen Schlüssel verschlüsselte Passwort erhalten haben, können Sie es mit dem privaten Schlüssel entschlüsseln. Jetzt haben Sie beide das Passwort (Beachten Sie, dass das Passwort nur dann entschlüsselt werden kann, wenn Sie den privaten Schlüssel haben, den Sie natürlich nicht mit anderen teilen Zum Verschlüsseln benötigen Sie jedoch den öffentlichen Schlüssel, den Sie per E-Mail senden. Jetzt können Sie die Datei mit dem Kennwort verschlüsseln, das Sie beide teilen. Dies ist eine kugelsichere Technik für Ihren persönlichen Gebrauch und für die meisten anderen Anwendungen.

1
oddcoder

Als Absender haben Sie nicht nur ein Problem, wenn die Daten kompromittiert werden. Sie haben auch ein Problem, wenn die Daten möglicherweise kompromittiert sind. Wenn Sie versehentlich verschlüsselte Daten und Kennwörter an denselben falschen Empfänger senden, müssen Sie davon ausgehen, dass alle Konsequenzen (Bereinigung, Erklärungen für die Presse, Zahlung von Geldstrafen usw.) gefährdet sind, auch wenn ein zufälliger Empfänger diese E-Mail höchstwahrscheinlich einfach ignoriert und wirf es weg.

Das getrennte Senden verschlüsselter Daten und Kennwörter bedeutet, dass die Daten nur dann als kompromittiert betrachtet werden müssen, wenn die verschlüsselten Daten an die falsche Partei und das Kennwort auch an eine falsche Partei gesendet wurden (selbst wenn es sich um eine andere falsche Partei handelt, müssen Sie dies berücksichtigen kompromittiert). Das spart Ihnen viel Geld, wenn es keinen wirklichen Angriff gab, sondern nur Dummheit.

Es ist keine Sicherheit gegen einen entschlossenen Angreifer, aber es kann Ihnen viel Ärger und Geld ersparen, wenn es nur um die normale alltägliche Dummheit geht. Und es ist so einfach zu tun, dass es wirklich schlecht ist, dies nicht zu tun.

1
gnasher729

Es ist leider notwendig, zumindest ein Verständnis für das Bedrohungsmodell zu haben, mit dem Sie konfrontiert sind. Wenn Sie sogar der Meinung sind, dass das lokale Netzwerk kompromittiert wurde, sollten Sie dies von Angesicht zu Angesicht tun. Wenn dies jedoch der Fall wäre, würden Sie andere Verfahren als diese einleiten.

1
Munchen