PHP Blogger

Startseite Schreib mir ne Mail! RSS Abo Webnews

Passwort vergessen?

9. Mai 2007 um 11:11 · Gehört zu Allgemein, Sicherheit

Eine beliebte Standardfunktion bei Internetportalen ist “Passwort vergessen”. Wie heißt dein ersten Hund? Welche Haarfarbe hat Deine Mutter? Warum hast Du keine Unterhose an? Und ähnlich schlechte Fragen müssen beantwortet werden, um das Passwort per Mail zugesandt zu bekommen.

Ups. Und schon sind wir über zwei Fallen gestolpert, die echt gefährlich sind:

  • Frage/Antwort kann super leicht via Brute Force oder Social Engineering geknackt werden
  • Mail kann abgefangen und im Klartext mitgelesen werden

Es muss ja nicht immer der böse Hacker aus Süd-Ost-Asien sein, der sich in Guerilla-Manier auf fremde Accounts stürzt. Wie wärs denn mit einem guten Freund, der immer zu Scherzen aufgelegt ist? Der Ex-Freund, der einen freundlich gemeinten Gruss hinterlassen möchte? Oder vielleicht ein liebenswürdiger Kollege, der in seiner Freizeit gerne Email-Accounts entführt?

Ich glaube Möglichkeiten gibts an dieser Stelle ohne Ende. Ich will niemand dazu treiben sich auf dem Heimweg paranoid zu vergewissern, dass auch niemand näher als 3 Meter an ihn ran kommt. (Soll übrigens in Fussgängerzonen und Innenstädten ohnehin schwierig sein :)

Aber hey, ich nehme mal an, die meisten die das hier lesen programmieren. Oder? Der eine oder andere baut bestimmt an einem Portal? (Will ja jeder der nächste sein, der von Google für 5 Milliarden Euro aufgekauft wird) Dann würde ich sagen: Junge, das ist eine riesen Chance, es besser zu machen als die anderen Portale!

Wie könnte man eine “Passwort vergessen”-Variante besser gestalten? Ganz einfach:

  • Der Vergessliche gibt Benutzer und die dazu gehörende Email-Adresse an.
  • Der Server generiert einen 2 Stunden gültigen Aktivierungslink und
  • schickt eine Mail an die (natürlich richtige) Email-Adresse.
  • Der Vergessliche bekommt die Mail und klickt den Link an.
  • Der Server deaktiviert den Aktivierungslink und bei Erfolg
  • is der Vergessliche automatisch am Portal authentifiziert und kann
  • unter SSL sein neues Passwort eingeben.
  • Danach muss er sich mit dem neuen Passwort erneut einloggen.

Super easy oder? Damit gibts keine Probleme mehr mit Bruteforce-Attacken und ein Passwort kann auch niemand in einer Email mitlesen. Um an den Aktivierungslink zu kommen, müsste erst mal jemand den Mail-Account hacken.

Okay - wie Du siehst, ist jetzt erst mal das Problem verlagert. Immer dran denken - Die ganze Datensicherheit ist immer nur so sicher wie das schwächste Glied in der Kette - Im Zweifelsfalls ist das immer der Mensch. Du schmunzelst jetzt wahrscheinlich, aber ich mache eine Wette auf:

  • Du benutzt oft den selben Nutzernamen
  • Du benutzt oft das selbe Passwort
  • Du kannst Dein Passwort irgendwie herleiten ODER
  • Du hast Dein Passwort aufgeschrieben

Aber: Wenn sogar Du Dir Dein Passwort merken kannst, dann kann jemand anderes auch darauf kommen ;)

  • MisterWong
  • del.icio.us
  • Technorati
  • Digg
  • Slashdot
  • YahooMyWeb
  • Furl
  • Ma.gnolia
  • Spurl
  • Netscape
  • StumbleUpon
  • MyShare
  • blogmarks

Schreib Deine Meinung