Passwörter sicher übermitteln mit ZeroBIN – read2burn

/in , /von

Immer wieder steht man vor der Herausforderung, Passwörter sicher übers Internet zu übermitteln (z.B. bei Supportanfragen). In vielen Unternehmen ist es gängige Praxis, die Passwörter über E-Mail auszutauschen. Von dieser Übermittlung von hochsensiblen Daten, wie es Passwörter sind, ist dringend abzuraten. Diese Passwörter werden in den meisten Fällen über eine unverschlüsselt Verbindung übertragen ( IMAP und SMTP ) und sind damit über Tools wie z.B. Wireshark einfach abzufangen. Zum anderen liegen diese Daten meist lange im Postfach und werden nicht an einem sicheren Ort, wie z.B. eine KeyPass Datenbank, hinterlegt.

Sollte jemand Zugriff auf dieses Postfach erhalten, stehen ihm auch gleich alle versendeten / empfangenen Passwörter oder andere wichtige Informationen zur Verfügung, mit denen er Zugang zu weiteren Kunden-Servern oder Anwendungen bekommen kann.

Um Passwörter sicher zu übertragen verwenden wir ZeroBIN. ZeroBIN ist eine minimalistische OpenSource Web-Anwendung. Daten werden bereits im Browser verschlüsselt und in dieser Form an den Server übertragen. Auf dem Server und auf dem Weg der Übertragung sind die Daten bereits mit „256 bits AES“ verschlüsselt und können somit während der Übertragung nicht ausgelesen werden. Bei den mit ZeroBIN erstellten Dokumenten kann entweder eine Verfallszeit angegeben werden oder sie werden direkt nach dem ersten Zugriff gelöscht und sind danach nicht mehr zugänglich (Read2Burn Funktion).

ZeroBIN stellt Ihnen nach dem erzeugen eines Datensatzes einen Link zur Verfügung. Dieser Link kann dem Kunden dann über einen separaten Weg ( z.B. E-Mail ) übermittelt werden. Diese Daten sollten beim Empfänger sofort an einen dafür vorgesehenen Platz abgelegt werden. Hier kann z.B. KeyPass zum Einsatz kommen, um die Daten langfristig sicher zu speichern.

Um die optimale Sicherheit beim Übertragen sicher zu stellen, verwenden wir ausschließlich die Read2Burn Einstellung. Somit ist sicher gestellt, dass ein Passwort nur von einem Empfänger gelesen wird. Erst nachdem wir vom Empfänger die Betätigung erhalten haben, wird das Passwort verwendet. Diese, wie auch andere Einstellungen, lassen sich als Vorgabe setzten. Der Anwender kann hier den Dienst also direkt und unkompliziert verwenden.

Wie funktioniert ZeroBIN?

zerobin

  • Das Passwort / Informationen werden in ZeroBIN eingetragen
  • Beim Klick auf „Senden“ wird ein zufälliger AES 256 bit key innerhalb des Browsers generiert
  • Die Daten werden mit dem diesem key verschlüsselt, an den Server übertragen und dort gespeichert
  • Ihnen wird ein Link zu dem neu erzeugen Dokument zur Verfügung gestellt
  • Der Link kann an Ihren Partner übertragen werden

Vorteile von ZeroBIN

  • Professionelles Auftreten gegenüber den Kunden
  • ZeroBin hat geringe Anforderungen an den Server
  • Die Daten sind auch noch sicher wenn sich jemand Zugriff auf den Web-Server verschafft
  • Selbst Administratoren haben keine Möglichkeit auf diese Daten zuzugreifen

Nachteile dieser Methode

  • Es wird eine bestehende IT-Infrastruktur / Web-Server benötigt

Weitere Informationen zum Projekt

Es gibt verschiedene Projekte, die unterschiedlich weit entwickelt wurden und den gleichen Ansatz verfolgen. Wir haben uns für den Fork des ZeroBin Projektes von „elrido“ entschieden da diese Version aktuell aktiv betreut wird.

https://github.com/elrido/ZeroBin/