Geheime Nachrichten über einen Einmallink teilen
Artikelformat

Geheime Daten sicher verschicken: mit einem One-Time-Link

5 Kommentare

Ich muss relativ häufig Zugangsdaten, Passwörter oder andere sensible Daten an Kunden, Geschäftskontakte oder Freunde schicken. Nicht mit allen kann man ohne Weiteres verschlüsselte Nachrichten austauschen, die verhindern, dass Dritte die Daten abgreifen. Oft will oder darf das Gegenüber keine Software installieren, oder es muss schnell gehen und man hat keine Lust auf Hürden.

Letzten Sonntag hab ich nochmal ein bisschen recherchiert, was es aktuell für Wege, Tools und  Möglichkeiten gibt. Bin auf Read2Burn gestoßen und hatte irgendwie Lust, so etwas ähnliches selbst zu bauen. Herausgekommen ist das:

https://assbach.com/1/

Nach Eingabe einer Nachricht (z.B. einem Passwort oder einer geheimen Botschaft) und eines selbst ausgedachten Schlüssels wird ein eindeutiger kryptischer Link erzeugt. Diesen Link kann man mit seinem Gegenüber (dem Empfänger der Botschaft) verschlüsselt teilen. Der Link ist nur einmal aufrufbar und wird dann mitsamt der Nachricht gelöscht. Zum Lesen der Nachricht wird der Schlüssel benötigt, den man dem Empfänger am besten auf einem anderen Kanal (z.B. per Chat oder Telefon) mitteilt.

Der Link kann auch über entsprechende Buttons direkt per Whatsapp, Threema oder Telegram geteilt werden.

Was passiert im Hintergrund zur Sicherheit der Daten?

  • Es gibt ein verstecktes Feld, das nicht ausgefüllt werden darf (Honeypot/Bot-Bait). Passiert das über einen Bot doch, wird das Script gestoppt.
  • Der Aufruf des Scriptes passiert maskiert, d.h. das eigentlich ausgeführte Script befindet sich an einer anderen Stelle auf dem Server als es die aufgerufene Adresse vorgibt. Es wird geprüft ob das ausgeführte Script vom richtigen Server, Pfad und Dateinamen aufgerufen wird.
  • Beim Aufruf der Seite wird ein Session-Token für den Nutzer erstellt und nach Absenden des Formulars geprüft.
  • Die gespeicherten Daten sind per AES-256 verschlüsselt und anonym. Sieht ungefähr so aus.
  • Für die Verschlüsselung wird das vom Nutzer verwendete Passwort und ein zusätzlicher kryptischer Wert benutzt (Vektor).
  • Das Passwort ist für niemanden einsehbar.
  • Der Server läuft über https.
  • Die Daten werden temporär in einer Datei mit kryptischem Dateinamen gespeichert.
  • Diese Datei ist nur vom Script selbst einsehbar, nicht über den Webbrowser.
  • Die Datei existiert nur bis der Link einmal aufgerufen wurde oder bis seit dem Erstellen des eindeutigen geheimen Links 7 Tage vergangen sind. Danach wird unwideruflich gelöscht. Es ist keine Datenbank im Spiel.
  • Beim Aufruf des Einmallinks wird geprüft ob der Link existiert und ob die Struktur des Links den Vorgaben entspricht.
  • Google Analytics wird aufgerufen, um die (Häufigkeit der) Nutzung des Tools einsehen zu können, allerdings werden auch hier die Daten anonymisiert.

Ich hab mich dagegen entschieden, die Zeit zum Ausfüllen der Felder zu prüfen. Das kann man bei längeren Formularen machen, für die ein echter Besucher mindestens x Sekunden braucht und ein Bot auffällt, weil er alle Felder in einem Bruchteil von Sekunden ausfüllt. Aber hier sind nur ein, zwei Felder auszufüllen, was auch schnell gehen kann.

Es gibt noch 2–3 Sachen, die ich verbessern will, wenn ihr also Anregungen habt, sagt mir gern bescheid.

Probiert’s mal aus:

One-Time-Link erzeugen und geheime Nachricht teilen

Findet ihr so etwas nützlich? Wie teilt ihr Zugangsdaten oder ähnlich Sensibles mit anderen um sicherzustellen, dass niemand „mitliest“?

One-Time-Link auch auf dem Handy

Quellen zur Umsetzung und Inspiration

 

Danke an Luca, Winni und Björn für’s Testen!

 

5 Kommentare An der Unterhaltung teilnehmen

  1. Schaut nützlich aus. Ich übermittle sensible Daten bisher immer per Telefon. Wobei das mittlerweile nur noch relativ selten vorkommt, da neue WP-User ja ihr PW mit der „Passwort vergessen“-Funktion selbst erstellen können. Viel mehr gibt’s bei mir gar nicht zu übermitteln.

    Antworten

  2. Ich habe für diesen Zweck eine kleine Chrome-Extension mit dem unsexy Namen popupCrypt programmiert. Sie hat keinerlei Zugriff auf URLs und verschlüsselt mit einem beliebigen Passwort via AES Texte:

    https://chrome.google.com/webstore/detail/popupcrypt/jcbhmcpdefclddmpnmfipcojjmejhojp

    So tausche ich mit meinen Kunden und Partnern sicher alle möglichen Infos aus: Mail-, FTP-, oder TYPO3-Daten. Man kann auch auf einer Seite Text markieren und direkt an die Extension verschicken,

    Antworten

Schreibe eine Antwort

Pflichtfelder sind mit * markiert.