Seit einiger Zeit haben einige Onlinedienste die eigenartige Angewohnheit entwickelt, bei der Registrierung nicht nur ein, was ich sehr begrüße, SICHERES Passwort zu verlangen, sondern einen zwingen, außerdem noch eine sogenannte SICHERHEITSFRAGE mit dazugehöriger Antwort festzulegen.
Die Telekom ist nicht der erste und auch nicht der einzige Onlinedienst, der diese Unsitte nun bei der Registrierung verlangt, aber mir ist es gerade wieder bei der notwendigen Registrierung für eine kostenlose Telekom-Emailadresse, welche für das ebenfalls kostenlose Mediencenter der Telekom notwendig ist, negativ aufgefallen und deshalb bringe ich dieses Beispiel hier:
Nachdem ich hier ein sehr sicheres Passwort gewählt habe, welches, wie man auf dem Screenshot gut sehen kann auch zum Schutz gegen etwaiger neugieriger Blicke nur durch Punkte angezeigt wird, muss ich eine der angebotenen Sicherheitsfragen auswählen.
An dieser Stelle möchte ich anmerken dass, egal wie sicher ein Passwort ist, die Sicherheit grundsätzlich in dem Moment halbiert wird, sobald statt diesem einen, auch ein 2. Passwort funktioniert, das sollte doch eigentlich jedem klar sein.
Wenn ich hier aber hier auch noch nur aus vorgefertigte Fragen wie:
- Wie lautet der Name ihrer Grundschule?
- Was ist ihr Lieblingshobby?
- Wie ist der Geburtsname ihrer Mutter?
- Wie lautet der Vorname ihres Vaters?
wählen kann, dessen Antworten zum einen viele Gute Freunde, Bekannte, Familienangehörige oder, sollte man in sozialen Netzwerken wie StayFriends, Facebook, etc… angemeldet sein, auch jede andere Person leicht herausfinden kann, dann frage ich mich doch zurecht wo genau nun die SICHERHEIT bei dieser sogenannten SICHERHEITSFRAGE liegt.
Beinah genauso schlimm ist dann aber, dass FRAGE und ANTWORT während der Registrierung in Klarschrift von jeder anderen Person auf dem Bildschirm gesehen werden kann. Denn weder die gewählte Frage, noch die eingegebene Antwort wird unkenntlich gemacht.
Ich frage mich, warum schaffen Unternehmen absichtlich derartige Sicherheitslücken und warum kreidet Niemand, nicht einmal Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit solch eine Sicherheitslücke an?
Ähnliche Beiträge:
Beitrag drucken
Beiträge
![[Valid RSS]](http://blog.1n8.de/wp-content/themes/3k2redux/images/valid-rss.png "Validate my RSS feed"){kind=small}
Erst einmal – schön, dass du nach längerer Zeit wieder bloggst.
Diese Sicherheitsfragen nerven mich auch immer. Meine mittlerweile ~ 500 Passwörter verwalte ich sowieso mit KeePass, auswendig kenne ich davon vielleicht eine Handvoll.
Wenn eine derartige “Sicherheitsfrage” erforderlich ist, notiere ich mir auch diese einfach im Passwort-Manager und generiere ein 2. Zufalls-Passwort, auch wenn ein “o\l]8I]*Qf/8,ZQPp” dann vielleicht nicht unbedingt etwas mit der Frage zu tun hat…
@Hannes Rannes
Ja, genau so mache ich es ja auch, aber das ändert ja nichts an der Tatsache dass die Telekom und andere Onlinedienste einem trotzdem zu einem 2. Passwort nötigen, damit zum einen die Sicherheit des ersten Passwortes unter Umständen total ad absurdum führen, weil der Kunde dazu gedrängt wird eine möglichst einfache Antwort auf eine vorgefertigte Frage zu benutzen und darüber hinaus zusätzlich noch die große Gefahr besteht, dass andere Personen Frage und Antwort auf dem Monitor sehen können. Wenn man sich schon allein die Sicherheitsmechanismen für das erste Passwort anschaut (Überprüfung auf Länge, doppelte Eingabe, durch Punkte unkenntlich dargestelltes Passwort) und dann die Sicherheitsfrage sieht, wo keines dieser Sicherheitsmechanismen Anwendung findet, dann mutet das ganze doch wie ein schlechter Aprilscherz an. Ich kann echt nicht verstehen, dass noch Niemand deshalb Alarm geschlagen hat.
Ich finde das Thema mit den Sicherheitsabfragen generell nicht wirklich sinnvoll. Bei mir wir dann halt auch im Feld für die Sicherheitsfrage jeweils eine zufällige Zeichenkette eingefügt.
Wer da richtige Angaben macht ist selber Schuld, wenn sein Account leicht “gehackt” werden kann
Hallo erstmal liebe Puh`Gemeinde,-
@Puh`:ich finde es auch erst einmal toll Puh`,-dass Du wieder bloggst.
Wie Du vielleicht weißt,-bin ich ein nicht so erfahrener User,-und finde den Beitrag von Jeffrey zwar berechtigt,-und doch gibt es ja eben unzählige Leute mit eben nur Halbwissen,-die alles nach bestem Glauben und Gewissen ausfüllen,-nach dem Motto,-wird schon nix passieren.
Ich bin Dir jedenfalls sehr dankbar für Deinen Beitrag und werde in Zukunft eben halt noch vorsichtiger sein
Langes Leben
Euer Mr.Spock
Bei mir landet dort natürlich auch lediglich ein weiteres per Zufall generiertes Passwort, das dann im Kommentarfeld von KeePassX gespeichert wird. Keine Passwörter doppelt verwenden, mehr als 20 Zeichen. An die meisten kann ich mich nicht erinnern, aber das macht eigentlich auch nichts, KeePassX erledigt das ja für mich und unterwegs kann ich, falls ich mal an einem anderen PC bin, per KeePassJ2ME meine Passwörter per Handy abfragen.
Mr. Spock: Natürlich ist es die Schuld der Benutzer. Dies ist allerdings der fehlenden Medienkompetenz geschuldet. Viele Leute haben nun mal noch nie etwas von Brute-Force und Social Engineering gehört. Wer kann schon ahnen, dass man mit modernen Computern locker 1.000.000.000 Passwörter pro Sekunde „ausprobieren“ kann (ausgehend von md5, was in diesem Fall natürlich keinerlei Relevanz hat, da man keinen Datenbankzugriff hat).
Solche (Un-)Sicherheitsfragen findet man übrigens auch bei anderen Anbietern, wie Google Mail.
Ich finde es auch immer idotisch, mit der 2. Passwortanfrage und erinnert mich an früher, als man ein Sicherheitspasswort für das Sicherheitspasswort brauchte und jeder Computerlehrer das für sehr wichtig hielt einen einzubleuen, das man das braucht.
Auch freue ich mich das du wieder Leben in deinen Blog bringst, somit kann ich deine Seite wieder als Startseite bei mir einrichten und weis gleich was in der PC-Welt so abgeht.