Ich will hier nicht von Terrorismus, Wohnungseinbrüchen oder Kinderschändern reden, sondern von Passwörtern. In dem Zusammenhang habe ich nämlich vor inzwischen zwei Monaten eine zunächst ganz unscheinbare bzw. eigentlich durch mangelhafte Rechtschreibung und ulkigen Ausdruck fast nach Spam aussehende E-Mail bekommen:
Sehr geehrte Damen und Herren,
Sie erhalten diese E-Mail, da mit dieser E-Mail-Adresse ein Nutzerkonto für Kleinanzeigen auf www.dresdner.nu (bis 2013) eingerichtet war.
Leider mussten wir feststellen dass es Eindringlingen vermutlich gelungen ist, einen Teil einer Sicherheitskopie dieser Nutzerdatenbank widerrechtlich auszulesen. Wir können deswegen nicht ausschließen, dass sich auch Ihre Zugangsdaten darunter befinden. Nach unseren derzeitigen Erkenntnissen wurde jeweils die E-Mail-Adresse und das für die Anmeldung auf www.dresdner.nu erforderlichen Passwort ausgelesen, jedoch *keine* Familiennamen, Anschriften, Telefonnummern, oder sonstige persönliche Daten.
Die Angriffsmöglichkeit auf unsere Website wurde unterbunden und die Nutzerdaten unwiderruflich vom Server gelöscht. Lediglich für diesen Hinweis wird eine Kopie der Nutzerdaten einmalig genutzt und danach ebenfalls gelöscht.
Wir senden Ihnen hiermit die ersten drei, sowie das letzte Zeichen Ihres bei www.dresdner.nu hinterlegten Passworts zur Kontrolle zu. Sollten Sie dieses Passwort auch für andere Zugänge benutzen, empfehlen wir Ihnen dringend eine sofortige Änderung des Passworts bei diesen Diensten. Wir bitten Sie in aller Form, etwaige Unannehmlichkeiten zu entschuldigen.
Für weitere Rückfragen stehen wir Ihnen gerne zur Verfügung:
sicherheit@dresdner.nu
Konrad Schandera
0351-8072111
Ihre Email-Adresse: ██████████████████
1.,2. und 3. Zeichen Ihres Passworts: ███
letztes Zeichen Ihres Passworts: █
Im ersten Augenblick dachte ich ja nur: ja Gottchen, der Dresdner, das zweitklassige Kulturmagazin aus Dresden, kann sein, da hab ich mal früher, als ich noch in Dresden war, irgendeine Anzeige reingesetzt, weiß gar nicht mehr weswegen, aber das brauch ich ja auch wirklich alles nicht mehr, den Zugang und so, macht also nüscht, und meine Adressdaten stehen sowieso im Internet von wegen Impressumspflicht und so.
Aber dann fiel mir auf, dass es ja genau andersrum geheißen hat: persönliche Daten wurden offenbar nicht ausgelesen, alles im grünen Bereich also, der allseits beliebte Schutz der personenbezogenen Daten, Thema Privatsphäre und anonymes Surfen und Datenkrake und Geheimdienst und gläserner Kunde und so, alles gewahrt. Achso, ganz nebenbei noch eine Kleinigkeit: das Passwort, das wurde dann aber doch ausgelesen. Aber nur das für die Anmeldung beim Dresdner.
Hammer. Denn das ist ja gleich in mehrfacher Hinsicht bescheuert. Oder war, jedenfalls für mich:
Wer zum Geier speichert denn Passwörter unverschlüsselt? Inzwischen wahrscheinlich auch der Dresdner nicht mehr, aber ich meine mich zu erinnern, dass das vor zehn/fuffzn Jahren noch ein vieldiskutiertes Thema war, dass die Webmaster und Datenbankbetreuer angehalten waren, Passwörter nicht im Klartext zu speichern, sondern verschlüsselt. Damit sowas nicht passiert. Dass nicht jeder, der in irgendeiner Weise Zugriff auf die Daten hat, die Passwörter auslesen und damit die Identitäten stehlen kann. Mit der Kehrseite, dass einem dann auch der Admin nicht mehr sagen kann, wie das vergessene Passwort lautet. Aber auf seine Schlüssel muss man halt aufpassen. War Anfang der Nuller nicht flächendeckend so. Beim Dresdner offensichtlich auch nicht.
Stört dann natürlich auch nur, wenn man entgegen aller Empfehlungen ein Passwort (und eine E-Mail-Adresse, die ja immer wieder gern als Benutzerkennung verwendet wird) gleichermaßen für alle Dienste verwendet. Was ich aber bis vor kurzem tatsächlich noch getan habe. Weil es ja wenigstens kein echtes Wort war, sondern ein richtiges kryptisches computergeneriertes Passwort, das nicht erratbar ist. Und weil ich mir natürlich nicht für jeden Shop und jedes Forum und jeden Webdienst ein eigenes Passwort merken kann. Und ich auch nicht anfangen wollte, die irgendwo hinzuschreiben. Bis ich mir Ende letzten Jahres dachte, dass man das doch langsam mal abstellen sollte. Und der Regel gefolgt bin, zwar ein einheitliches Kernpasswort beizubehalten, natürlich möglichst mit Groß- und Kleinbuchstaben und Zahlen und Sonderzeichen, was bei meinem alten Passwort ja der Fall war, dieses aber kontextbezogen zu erweitern, zum Beispiel mit den ersten drei Buchstaben des Titels der Website, für die es gilt.
Eine Stelle gabs noch, eine selten genutzte (ich sag nur Facebook), da war noch das alte Passwort drin, das hab ich auch noch schnell geändert, und damit schien das Problem aus der Welt. Wenn ich mich auch noch ein paar Tage still vor mich hin geärgert habe über diese Deppen vom Dresdner, die selbst in dieser ansonsten ja doch ganz vorbildlichen Mail noch versucht haben, ihre Dusseligkeit zu relativieren.
Einige Tage später trudelte dann tatsächlich eine (leider gleich wieder gelöschte, ich weiß also nichts spezifisches mehr) E-Mail bei mir ein, die so tat, als müsse ich irgendwo mein Nutzerkonto überprüfen, der durchaus übliche Betrugsversuch also, aber da stand doch tatsächlich frei und für alle Mailserver lesbar mein altes Passwort im Klartext drin. Später meldete dann auch mein E-Mail-Provider nicht genauer spezifizierte Unregelmäßigkeiten mit meinem Postfach und zwang mich, mein Passwort zu ändern. Offensichtlich waren also meine Daten tatsächlich dabei und wurden auch fleißig benutzt.
Heute verschlüsseln sie beim Dresdner die Passwörter möglicherweise, aber irgendwo lag offenbar noch eine alte Datensicherung herum, bei der das nicht der Fall war. Vielleicht ist einfach eine alte Festplatte oder Backup-CD ungelöscht im Müll gelandet, wer weiß. Und wer weiß, ob sie die Passwörter nicht vielleicht immer noch im Klartext speichern? (Immerhin konnten sie mir ja noch Teile davon schicken.) Heißt letztlich: da kann man sich einen abbrechen wie man will mit der Konstruktion eines Passworts, sobald man es irgendwo eingibt, hat man es nicht mehr allein in der Hand. Da muss man schon ein bisschen Vertrauen investieren, dass die Gegenseite damit sorgsam umgeht. Heißt aber auch, dass es nicht rückgängig zu machen ist. Habe ich heute kein Vertrauen mehr in www.dresdner.nu, ändert das an der ungesicherten Speicherung meines vor Jahr(zehnt)en eingegebenen Passworts genau nichts.
Auf der anderen Seite nerven einen bestimmte Anbieter (ich sag nur Google) regelmäßig und wollen ständig, dass man sein Passwort ändert. Weil es in ihren Augen bzw. in den Augen ihrer Algorithmen so aussieht, als wäre der Account gehackt. Weil man vielleicht mit Verschleierungssoftware (Tor-Browser, XPrivacy-App) drauf zugreift, die dauernd andere IP-Adressen und Gerätekennungen verwendet zum Beispiel. Und dann erlauben sie einem natürlich nur in der Vergangenheit noch nicht benutzte. So dass man sich ständig neue Passwort-Schemata ausdenken muss, um dann gleich alle Passwörter auf einmal zu ändern. Herrje. Aber vielleicht auch nicht verkehrt, s.o. Und nicht zuletzt schützen sie ja so auch ihre eigenen Systeme.
Während einem andere Anbieter einen Haufen Sonderzeichen nicht erlauben oder die Länge des Passworts auf 5 (fünf!) Zeichen beschränken. Aus welchen vorsintflutlichen Gründen auch immer. Und einem noch mit bescheuerten Beschwichtigungen kommen, wenn man sich nach dem Sinn solcher die Sicherheit unterhöhlenden Vorgaben erkundigt. Oder freilich überhaupt nicht antworten.
baoma am 29. April 2016
und was lernt uns lehrt uns das???
Krischan am 1. Mai 2016
Tja. Naja. Dass es manchmal halt nicht reicht, aufzupassen wie ein Luchs, man muss auch auf die Vorschläge der Fachleute hören. Oder so. Vertrauen auf die eigene Schlauheit reicht nicht, man muss sich bzw. die Ergebnisse seiner Schlauheit auch ab und zu kontrollieren. Oder: Was nützt einem ein nicht erratbares Passwort, wenn es mehrere Türen öffnet und andere es unbeaufsichtigt herumliegen lassen?