mikrocontroller.net

Forum: PC-Programmierung Passwort erzeugen (state of the art)


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: Walter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo,
ich stehe gerade vor einem Problem bei welchem ich evt. die Hilfe von 
jemanden benötige, der soetwas selbst schon ein paar mal programmiert 
hat.

Ich schreibe ein Programm welches eine Datei ausgibt. Diese Datei soll 
per Mail versendet werden. Da die Datei durchaus für längere Zeit im 
Posteingang auf dem Mailserver liegen kann, soll sie mit einem Passwort 
geschützt sein.

Schützen möchte ich die Datei eigentlich nur vor Personen, die sich 
unberechtigter Weise Zugang zum Postfach verschaffen. Dabei reicht es ja 
schon, wenn irgendwo im Internet eine Datenbank geleakt wird und der 
Empfänger meiner E-mail (mit meiner Datei) zwei mal das selbe Passwort 
verwendet hat (z.B. bei GMX und einem unbedeutenden Internetforum 
welches Die Passwörter im Klartext speichert...).


Mein Problem ist nun die Übermittlung des Passworts. Sicher aber 
Umständlich wäre z.B., dass mein Programm ein willkürliches Passwort 
generiert und in einem Textfenster anzeigt. Dieses Passwort könnte dann 
über einen zweiten Kanal, z.B. SMS an den Mailempfänger übertragen 
werden.

Ich habe mir auch schon eine Passwortliste überlegt, im Dateinamen der 
verschlüsselten Datei steht dann eine Nummer, welche der Empfänger dann 
mit einer Liste abgleichen kann, ähnlich einer TAN-Liste. Die Datei 
würde dann z.B. 431.7z heißen.


Wie macht man soetwas im "professionellen" Umfeld? Natürlich könnte ich 
in meinem Programm auch ein Salt hinterlegen und das jeweils aktuelle 
Datum hashen, der Empfänger würde dann ein weiteres Programm zum 
entschlüsseln benötigen wobei der Salt ja dann bei Sender und Empfänger 
identisch sein müsste...

Hat mir jemand einen Tipp wie man soetwas mit Hand und Fuß sinnvoll 
umsetzt!?

Autor: gurgl (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Sorge dafür dass die Mail nach Empfang vom Adressaten gelöscht wird.

Autor: Walter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
DAS!!! ist meines Erachtens das wichtigste überhaupt. Nur leider habe 
ich das nicht im Griff.

Deswegen ja das Passwort - natürlich mit der Bitte, dass die Mail nach 
Bearbeitung umgehend gelöscht wird.

Immer das selbe Passwort wäre vermutlich auch schon zweckbringend, diese 
Lösung halte ich aber für etwas "stümperhaft"....

Autor: zitter_ned_aso (Gast)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
mit PGP verschlüsseln

Dann muss gar kein Passwort mitgesendet /  übertragen werden.

Autor: Walter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
PGP und die Verschlüsselung der kompletten Mail wurde bereits 
ausprobiert und scheiterte an den Kenntnissen der Mailempfänger, das war 
eigentlich meine erste Idee.

Autor: Mathias (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Auf nen eigenen Server legen und nach einem Download oder 3 Tage 
löschen. Verschlüsselung übernimmt HTTPS. Wenn du willst, kannst du ja 
noch ein Passwort anlegen (immer gleich pro User), dass erst den Link 
freischaltet. Das Passwort dann am Besten nicht per Email geschickt und 
alle paar Jahre mal wechseln.

Dann wird auch Email nicht zum Versenden von Dateien missbraucht.

Autor: adian (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Walter schrieb:
> PGP und die Verschlüsselung der kompletten Mail wurde bereits
> ausprobiert und scheiterte an den Kenntnissen der Mailempfänger, das war
> eigentlich meine erste Idee.

Dann vielleicht als verschlüsseltes Zip Archiv? Passwort und 
Verschlüsselung selbst zu machen ist immer eine dumme Idee, es gibt 
viele kleine Fallen und man muss immer alles richtig machen. 
Erfahrungsgemäß sollte daher das Konzept doppelt und dreifach Prüfen 
bevor man ein Bock schießt.

Vielleicht ist es auch eine Option wie schon vorgeschlagen das Dokument 
auf einer Sicheren Internet Seite zu behalten und nur ein Link zu 
verschicken damit der Empfänger es sich selbst Aktive runter lädt.

Aber um ehrlich zu sein ich habe auch noch nicht verstanden was der 
Angriffs vector ist welchen du versuchst zu verhindern. Denn entweder 
der Angreifer hat die Skills um eine Email Abzufangen/aufzumachen, bei 
dieser Art von Angreifen musst du davon ausgehen das er auch einfache 
Verschlüsselung knacken kann und du brauchst sowas wie PGP, aber das 
wäre zu Kompliziert wie du sagst. Alternativ könnte dein Angreifer auch 
ein Admin im System sein dieser hat aber auch die Möglichkeiten das 
Dokument irgendwo Ungeschützt einzusehen. ( Zum Beispiel nachdem dein 
Benutzer es gespeichert hat, screenshot etc)

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.