Passwort-Aberglauben

Grade eben habe ich einen Zugang zum Pressebereich einer großen Organisation geändert. Die Anforderungen an das neue Passwort:

Das neue Passwort muss mindestens acht Zeichen lang sein und mindestens einen Buchstaben, ein Sonderzeichen !§%/()=?+*#-_.:,;| und eine Ziffer (0-9) enthalten. Groß- und Kleinbuchstaben (A-Z, a-z) sind erlaubt, Leerzeichen nicht.

Was wird damit erreicht? Das Passwort ist ein bisschen schwerer durch Wörterbuchattacken zu erraten, bei denen schlichtweg alle Passworte durchprobiert werden. Es wird jedoch wesentlich schwerer für den Nutzer, sich das Passwort zu merken. Gerade der Ausschluss von Leerzeichen ist widersinnig – so verhindert man effektiv, dass jemand einen für sich einfach zu merkenden Satz als Passwort wählt.

xkcd dazu:

xkcd

Mädchenname der Mutter? König Alfons der Viertelvorzwölfte

Ein Amerikaner ist in zahlreiche Email-Accounts von Prominenten eingestiegen und hat die Inhalte der Nachrichten von dort systematisch verkauft. Wie war ihm das möglich? Ganz einfach:

Zur Schuldanerkennung im März hatte Christopher Chaney zugegeben, mindestens elf Monate lang wiederholt in Mail-Accounts eingebrochen zu sein. Dafür hatte er die Funktion „Kennwort vergessen“ von Webmailern benutzt, deren Sicherheitsfragen er anhand öffentlich bekannter Daten beantwortete.

Die Mail-Anbieter tragen hier in meinen Augen eine deutliche Mitschuld. Denn sie lassen ihre Kunden eine so genannte Sicherheitsfrage ausfüllen, mit denen sie auf ihr Konto zugreifen können, wenn sie — Mal wieder — ihr Kennwort vergessen haben. Dazu bieten die meisten Anbieter nur Fragen an, die entweder leicht nachzurecherchieren oder einfach zu erraten sind. „Wie lautet der Mädchenname ihrer Mutter?“ öffnet das E-Mail-Konto selbst bei unbekannten Personen für Hunderte Verwandte und Bekannte, die diesen simplen Fakt kennen. „Wie hieß ihr erstes Haustier“ oder gar „Was ist ihre Lieblingsfarbe?“ sind so einfach zu erraten, dass man eigentlich das E-Mail-Passwort löschen könnte. Sie wollen alle E-Mails unserer Kunden lesen? Nur zu!

Der einzige Grund dafür: Die Anbieter der Services wollen keinen Support leisten. Wenn der Kunde ein Passwort vergisst, soll er um Gottes Willen nicht anrufen und irgendeine manuelle Aktion verlangen. Oder gar komplizierte Verifikationsprozesse in Gang setzen, die in der Heimat vieler dieser Konzerne sowieso absurd wären, weil die USA nun einmal kein funktionierendes Meldewesen haben.

Die einzige Möglichkeit bei solche Fragen nicht automatisch sein Postfach zu öffnen: Kreative Antworten. Mädchenname der Mutter? König Alfons der Viertelvorzwölfte. Name des Haustiers? Ihr seid solche Sicherheits-Versager!