Individuelles Login verschicken

[evacuate_the_dancefloor]

Wir würden gerne an 500 Kunden ein individuelles Email verschicken.

Jeder Kunde bekommt auf seine persönliche Emailadresse eine Mail mit einem persönlichen Login und Passwort zugeschickt.

Alle Daten sind in einem Excel-file hinterlegt.
Spalte A: Emailadresse, Spalte B: Login, Spalte C: Passwort


Mit welchem Programm kann man sowas easy machen?

 

[DaGGrrr]

Serienbrief:

http://praxistipps.chip.de/mit-excel-und-word-einen-serienbrief-erstellen_13020

 

[Shihatsu]

Sowas macht man garnicht. Man verschickt PW nicht zusammen mit dem Login, auch nicht verschlüsselt via E-Mail. Dazu die E-Mail ist dann fahrlässig.

 

[Btah]

Das hättest du ingame mal verraten sollen

 

[Zweifeuerkraut]

Machs per Post.

 

[Shihatsu]

Hier war die Rede von Kunden - das ist was anderes als Forennutzer. Hba ich natürlich trotzdem, aber: zu teuer.

 

[evacuate_the_dancefloor]

hat sich erledigt. Moodle hat ein internes Plugin für Direktversand. Yay.

 

[kAiN!]

shi, wie würdest du das denn sonst machen? zwei mails? einmal login und dann pw? du hast natürlich recht, das ist sicherheitsanfällig. keine frage. aber in einem szenario mit 500 usern? ich wüsste bspw nicht wie ich am monatsende begründen könnte, warum einer meiner jungs/mädels 5MT nur für das verschicken von pw/logins verbraucht hat.

 

[Shihatsu]

Ich würde das mit nem vernünftigen Prozess machen. Login per supermailer für outlook versenden (ganz geiles Programm: www.supermailer.de). Parallel dazu genau diese Mails gleich ins Assetmanagement ablegen. Dann eine zweite Mail mit einem verschlüsselten Passwortdokument rausschicken (dieses ebenfalls im Assetmanagement speichern), da steht dann eine Telefonnummer (des Servicedesks) und eine personalisierte Nummer drin. Der Servicedesk gibt dann das Passwort für das Dokument (welches ebenfalls im Assetmanagment hinterlegt ist) per Telefon raus und trägt ins Assetmanagement ein das der Rollout stattgefunden hat.
Natülich ist das teuer. Aber sowas hält ner Sicherheitsüberprüfung stand, und das ist es was zählt beim Umgang mit sensiblen Daten - und dazu gehören nunmal personalisierte Kundenlogins explizit.
Den ROSI da auszurechnen ist nichtmal sooo schwer - einfach mal schauen was eine Klage kosten würde (Stichwort Datenschutz, genauer: Selbstbestimmung über Daten), dazu der Hinweis wer bei sowas haftet (die Gesellschafter mit Privatvermögen, ole) und ganz plötzlich ist der chef bereit die 5MT zu latzen.

 

[FunkyHomosapien]

wut. und das ist am ende einfacher / sicherer als zu dem System, zu dem man sich einloggen will eine "Hier registrieren" Funktion einzubauen, bei der sich der Kunde selbst ein Passwort ausdenken kann?

 

[Shihatsu]

Wenn man die Datenhoheit behalten will und trotzdem den Rechten des Kunden bezüglich personalisierten Daten nachkommen will und das ganze sogar nachweislich tun können will: Jupp, um ein vielfaches einfacher und billiger.
Damit dein Vorschlag sicher umgesetzt werden kann benötigt man eine voll ausgerollte und überprüfbare Zertifikatskette - und nein, nen stunpfes Verisign-Zertifikat tuts da nicht.

 

[parats']

Shi ist im Paranoia-Modus.

Im Endeffekt hast Du vollkommen recht, hängt jedoch auch immer viel vom Anwendungsfall und Einsatzgebiet ab. Banken setzen ja auch immer noch auf das behinderte PostIdent.

 

[Zweifeuerkraut]

Shi, nenn mal kurz drei Firmen mit je einem Service, wo sowas tatsächlich zur Anwendung kommt ._.

 

[Shihatsu]

Volkswagen - sämtliche Mitarbeiter-Zugänge, da ist Telefonanruf sogar mit vor Ort antanzen ersetzt.
Telekom - Mitarbeiterzugänge für externe Mitarbeiter (aka Kunden).
Bosch - dito

Und nu? Kann das btw noch laaaange fortsetzen. die wichtige Info dabei: Sensible Daten (aka jeder mit EMail verknüpfter Login) immer über 2 verschiedene Wege mit 2 verschiedenen Authentifizierungen verschicken. Das heutzutage noch als Paranoia abzustempeln ist sowas von DUMM, das geht schon garnicht mehr.

 

[kAiN!]

Lösen die großen das nicht mit SSO?

 

[parats']

Nicht jede Software bietet dir SSO. Gerade in Misch-Netzwerken etwas schwierig

 

[kAiN!]

aber machbar

 

[Zweifeuerkraut]

Volkswagen - sämtliche Mitarbeiter-Zugänge, da ist Telefonanruf sogar mit vor Ort antanzen ersetzt.
Telekom - Mitarbeiterzugänge für externe Mitarbeiter (aka Kunden).
Bosch - dito

Und nu? Kann das btw noch laaaange fortsetzen. die wichtige Info dabei: Sensible Daten (aka jeder mit EMail verknüpfter Login) immer über 2 verschiedene Wege mit 2 verschiedenen Authentifizierungen verschicken. Das heutzutage noch als Paranoia abzustempeln ist sowas von DUMM, das geht schon garnicht mehr.

Also einfach so die Top100 aus Deutschland? Ich mein ist ja nicht so, dass hier im Forum irgendwelche Projektleiter aus Grossunternehmen nach Lösungen für ihr Remotezugriffkonzept in ihrem 20 Mio € Umsatz-Unternehmen suchen.

Deshalb war ja dein Post ganz nett gemeint, aber schlussendlich in etwa so hilfreich wie in einem Brüllwürfel-Thread HiFi für 50'000€ zu empfehlen.

Solange mir meine Bank und meine Kreditkartenfirma meine Zugänge noch in zwei separaten Briefen schickt und sämtliche der grossen Onlinedienste selber gewählte Passwörter erlauben, genügt es wohl immer noch, sowas halbwegs getrennt zu machen.
Klar, Username und PW in einer E-Mail kombiniert senden ist dämlich, aber bitte, wäre ja überrascht wenn überhaupt eine der hier über Forenmitglieder vertretenen Firmen ein funktionierendes Assetmanagement hätte

Lösen die großen das nicht mit SSO?

Und woher bekommst du das initialte Paswort für deinen SSO Account? Ebend. Zumal SSO sone Sache ist ...

 

[parats']

aber machbar

Nicht Zwangsweise. AD-gestützte Umgebungen bieten dir da recht viel Möglichkeiten. Kommen noch Unix Systeme mit LDAP hinzu, könnte es bei einigen speziellen Diensten dennoch Probleme geben, sofern diese kein LDAP unterstützen.

Spontan fällt mir noch Oracle 9i ein, gab damals immer wieder Probleme den Windows Login sauber von SUSE nach Oracle

@Zweifeuerkraut: Normalerweise ist es dein Hauptaccount. Das Passwort kriegt man als Mitarbeiter auf einem schönen Zettel oder mündlich.

 

[Zweifeuerkraut]

Meinte nur, weil er SSO in diesem Thread hier genannt hat und es eben um Fernzugriffe von Kunden geht.

Hatten da in nem Projekt mal kurz das Thema angeschnitten, mit Cross-Site-SSO und papperlapapp. Aber eben, Kernthema des Threads ist ja, wie man das initiale PW (bzw. PW Resets) zum Kunden bringt.

 

[kAiN!]

Bei den großen haste in der Regel ne Werkskarte, ohne die man an der Pforte nicht reinkommt. Diese RFID erhält man beim Firmeneintritt samt Windowslogin schriftlich. Haste noch nen Cardreader + SSO brauchste in der Regel sonst nichts. Nur ggfs alle 90d das Passwort ändern.

Was die Sache mit den heterogenen Systemlandschaften anbelangt. Schnittstellen basteln sollte für einen guten Entwickler möglich sein.

Anschaffungskosten sind hoch, ok. Der "Wartungsaufwand" jedoch recht gering. Bei über 1.000 Usern lohnt sich das, entlastet es doch massiv den Helpdesk. Und wenn jemand seine Karte vergessen hat, kann er sich immernoch per Login/PW einlogg0rn.

Wir haben das vergangenes Jahr bei einem Großen Player eingeführt. Ich war live dabei. Drum wiederhol ich: es ist durchaus machbar. Man muss es nur (bezahlen) wollen. Auch in heterogenen Systemlandschaften.

Ich gebe aber zu, dass der Einwurf SSO hier an der Stelle eigtl. unnütz war.

Viele Grüße

 

[Shihatsu]

Also einfach so die Top100 aus Deutschland? Ich mein ist ja nicht so, dass hier im Forum irgendwelche Projektleiter aus Grossunternehmen nach Lösungen für ihr Remotezugriffkonzept in ihrem 20 Mio € Umsatz-Unternehmen suchen.

Deshalb war ja dein Post ganz nett gemeint, aber schlussendlich in etwa so hilfreich wie in einem Brüllwürfel-Thread HiFi für 50'000€ zu empfehlen.

Solange mir meine Bank und meine Kreditkartenfirma meine Zugänge noch in zwei separaten Briefen schickt und sämtliche der grossen Onlinedienste selber gewählte Passwörter erlauben, genügt es wohl immer noch, sowas halbwegs getrennt zu machen.
Klar, Username und PW in einer E-Mail kombiniert senden ist dämlich, aber bitte, wäre ja überrascht wenn überhaupt eine der hier über Forenmitglieder vertretenen Firmen ein funktionierendes Assetmanagement hätte

Ich hab in Brüllwürfelthreads nie 50k equip vorgeschlagen, sondern immer etwas im kleinen 4stelligen Bereich, sobald der Brüllwürfler ernsthaft Musik hören will - und das auch immer dann genau so dazugeschrieben. Der Verweis war also wenn an mich gerichtet schlichtweg unsachlich bzw falsch.
Und ja, das waren Deutschlands TOP100, ich kenne aber mindestens 3 mittelständige (<500MA) Unternehmen aus Niedersachsen die das ganz ähnlich machen.
Die Geschichte mit den 2 Briefen ist "okay" - aber mehr auch nicht, leider. Leider gelten Personalausweis und Postanschrift nach wie vor als sichere Authentifikationsmerkmale bzw. Transportwege. Das das Schwachsinn ist muss ich glaub ich nicht gross erläutern.
Zu den Assetmanagments: Jeder meiner vergangenen Arbeitgeber hatte sowas, mein derzeitiger auch - und das sind keine TOP100

Lösen die großen das nicht mit SSO?

SSO WILL man ja bei vielen Dingen garnicht. Bei internen hat man SSO, klar, aber bei vielen externen Zugängen gibt es explizit getrennte Accounts, und das ist auch gut so.

 

[Zweifeuerkraut]

Ich hab in Brüllwürfelthreads nie 50k equip vorgeschlagen, sondern immer etwas im kleinen 4stelligen Bereich, sobald der Brüllwürfler ernsthaft Musik hören will - und das auch immer dann genau so dazugeschrieben. Der Verweis war also wenn an mich gerichtet schlichtweg unsachlich bzw falsch.

Der Verweis war höchstens unklar. Ich habe dir das nicht unterstellt, sondern wollte lediglich eine Analogie ziehen. Und eben, in Audio Threads schiesst du ja auch nicht mit Kanonen auf Spatzen, wieso dann also hier

Wie auch immer. Hoffentlich hat der OP jetzt wenigstens ein schlechtes Gewissen für die Nutzeung des (vermutlich) unzureichenden Moodle-Plugins

 

[evacuate_the_dancefloor]

:P Nee, bei mir ist alles ok. Alles super geklappt. Jederzeit wieder.

 

[GUNdALF]

Und eben, in Audio Threads schiesst du ja auch nicht mit Kanonen auf Spatzen, wieso dann also hier

Weil es hier nicht um gutes oder schlechtes Aussehen der Sicherheit geht, sondern um ein funktionierendes Konzept.

Ich verstehe dieses großes Unternehmen braucht andere Security als kleines sowieso nicht. Gerade im Mittelstand und bei kleinen Betrieben wird das Problem extrem unterschätzt und ein Angriff meist gar nicht bemerkt.

Wir reden hier nicht darüber, ob man als Firmenwagen nen Fiat Punto oder 5er BMW nehmen will. Hier geht es um das Absichern sensibler Daten in einem Unternehmen.

 

[Zweifeuerkraut]

Alles schön und gut, nur ist mir bisher noch kein mittelständisches Unternehmen untergekommen, welches die für Shis Vorschlag erfolderlichen Mittel für die Lösung dieses 500-Moodle-Kunden Problems bereit gewesen wäre zu investieren.

Wenn ihr da andere Erfahrungen gemacht habt, auch gut.

Andere Frage: Wie kriegst du die Liste mit Username, Mailadresse und Userpasswort aus der Software (sagen wir: Moodle) in ein Dokument, welches du anschliessend verschlüsseln kannst?

 

[Shihatsu]

Meine Antwort bezog sich auf Kains Frage, die kam nachdem die eigentliche Frage schon beantwortet war, insofern versteh ich dein Rumgeheule nicht.

 

[GUNdALF]

Alles schön und gut, nur ist mir bisher noch kein mittelständisches Unternehmen untergekommen, welches die für Shis Vorschlag erfolderlichen Mittel für die Lösung dieses 500-Moodle-Kunden Problems bereit gewesen wäre zu investieren.

Ich hab glücklicherweise noch keine negativen Erfahrungen gemacht, da Student und nur in großen Firmen gearbeitet bis jetzt.

Aber ich beschäftige mich eben mit der Thematik und alle Firmen die vor ein paar Jahren so dachten wie hier die Mehrheit postet, denen fliegt heute die nicht vorhandene Sicherheitsarchitektur um die Ohren. Das ist Fakt. Egal ob "Büro-IT" oder Industrie.

 

[deleted_24196]

Bei uns im Konzern (~10k Mitarbeiter) werden neue Zugänge über die Teamleiter via Mail verteilt. Sicherheit gut und schön, aber es muss praktikabel und bezahlbar sein.

 

[GUNdALF]

Es ist alles praktikabel und bezahlbar, bis es zum Sicherheitsproblem kommt.

es war auch für Sony jahrelang bezahlbar die Kundendaten so abzuspeichern, wie es taten, bis die große Hackingattacke kam.

Aber hier regiert wohl das gängige Problem der Unternehmen. Nur schade, wenn das die eigentlichen "Experten" des Unternehmens auch so sehen wie das Management.
Denn im Gegensatz zur hier gültigen Meinung, lässt sich mit IT-Sicherheit Geld verdienen!

 

[Zweifeuerkraut]

Passwörter sicher zu speichern und die korrekte Hashfunktion zu wählen kostet aber nunmal kein Geld.

All die Firmen (also mittelständische Unternehmen), welche ihre IT outsourced haben, kannst du gleich mal knicken. KEINER wird seinen IT-Dienstleister für sowas bezahlen wollen, ausser der hat bereits ein fertig geschnürtes Packet zuhand, was ich aber bezweifle.
Die, welche eine eigene IT haben können sich das natürlich überlegen. Falls sie ein halbwegs flexibles und funktionierendes Assetmanagement und Ticketing System haben (haben viele nicht), ist ja schon mal gut.
Dann braucht es eine Verschlüsselungssoftware, die Files ausspuckt, welche die Gegenseite ohne weitere Software öffnen kann und einen Prozess, welcher aus der Software exportierte Passwortlisten in eben diese Files umwandelt.
Jetzt kriegen die Kunden also das verschlüsselte PW. Die hälfte schiebt das erst mal auf die lange Bank und finden dann zwei Monate später das Mail nicht mehr und dein Servicedesk darf nochmal, für jeden einzeln, ein neues PW generieren oder das Mail aus dem AM pulen und nochmals senden. Ein viertel ist zu dumm und ignoriert es komplett und ruft dann bei Bedarf wütend an "WAS E-MAIL BEKOMMEN ICH BRAUCH DAS JETZASIURFGHASéLIFUKHJGASéLFKIJHGBSAé!!!!!!". Der letzte Viertel kriegts auch tatsächlich gebacken.


Und ich wiederhole mich jetzt hier einfach nochmal: ALLE mir bekannten Online-Dienste versenden ihr Zeug entweder per Mail oder lassen den Benutzer das PW selber auf der Webseite wählen. Meine Bank (ja, Schweizer Grossbank, denen macht man so schnell nix vor) schickt ihr Zeug via Post. Meine Kreditkartenfirma (auch denen macht man so schnell nix vor) schickt ihr Zeug via Post.

Natürlich, eine Bosch kann sich solche Prozesse leisten, aber kleinere Unternehmen stecken ihre begrenzten IT Ressourcen imho (und in der Realität) lieber in andere Baustellen. Z.B. in ein Review ihrer selber entwickelten Web-App und wie dort Passwörter gespeichert werden