Unsichere Online-Stores

Die Zeiten ändern sich.

Dieser Beitrag scheint älter als 3 Jahre zu sein – eine lange Zeit im Internet. Der Inhalt ist vielleicht veraltet.

Nach den ganzen Datendiebstählen bei Sony, Libri, Telekom, Arbeitsagentur usw. dürfte man doch inzwischen davon ausgehen, dass Online-Dienste dazu gelernt haben und penibel darauf achten, dass Benutzerdaten sicher abgespeichert werden. Allem voran sollte man doch meinen, dass bei Passwörtern sichere Verfahren wie gesalzene Hashes angewendet werden. Das Verfahren ist ziemlich simpel umzusetzen, aber dennoch ziemlich sicher.

Dennoch stößt man immer wieder auf Online-Dienste, bei denen in Puncto Sicherheit noch nicht so viel los ist. Nachlässigkeit erkennt man bspw. daran, dass das Passwort nur eine bestimmte maximale Zeichenlänge haben darf. Dies ergibt nur dann einen Sinn, wenn man in der Datenbank dem Passwort eine maximale Zeichenanzahl zuordnet. Bei IKEA wird man zum Beispiel auf eine Eingabe von 7-10 Zeichen eingeschränkt. Da hilft auch eine ansonsten vorbildliche SSL-Verschlüsselung bei der Übertragung der Daten nicht viel, wenn Passwörter dann doch noch im Klartext abgespeichert werden. Auf meine Anfrage über Facebook bei IKEA erhielt ich nur die Antwort, dass man aus Sicherheitsgründen keine Auskunft darüber geben könne.

2013-06-13 20_31_20-Gerade wollte ich mir ein Konto auf eurer... - IKEA Deutschland

Auch die Bundesagentur für Arbeit hat eine Zeichenbegrenzung auf 20 Zeichen.

 

Ziemlich deutlich wird Schlamperei bei der Sicherheit, wenn man die Funktion „Passwort vergessen“ nutzt und statt eines Änderungslinks das tatsächliche Passwort zugesendet bekommt. Hier wird das Passwort hunderprozentig im Klartext bei dem Anbieter gespeichert. Besonders peinlich ist es dann, wenn der Anbieter Bücher zum Thema „Sicherheit“ anbietet, wie es bei edv-buchversand.de der Fall ist. Update 18.10.2013: Wie ich eben festgestellt habe, hat sich hinsichtlich der Passwortsicherheit beim EDV Buchversand etwas getan. Zumindest bekommt man ein vergessenes Passwort nicht mehr im Klartext per E-Mail zugesendet, sondern muss stattdessen sein Passwort zurücksetzen. Update Ende.

In Sicherheit wiegen kann man sich erst recht nicht, wenn man gar nicht die Möglichkeit bekommt, selbst sein Passwort zu ändern, sondern man einem Angestellten des Anbieters ein neues Passwort zusendet, welches durch diesen dann in die Datenbank eingetragen wird. Ein Beispiel kann ich nicht mehr nennen, da der Shop diese Praxis inzwischen geändert hat.

2013-06-13 21_14_15-Suchergebnisse - grabsteinschubser@gmail.com - Gmail

Ein weiteres Indiz für einen zweifelhaften Umgang mit Passwörtern ist, wenn nur bestimmte Zeichen erlaubt und/oder Groß- und Kleinschreibung egal sind. Dies habe ich bei der Versicherungsgesellschaft HUK24 erlebt. Dort ist man auf 16 Zeichen begrenzt und darf keine Sonderzeichen verwenden. Außerdem unterscheidet HUK24 nicht zwischen Groß- und Kleinschreibung.

Einschränkungen in der Zeichenwahl sind immer ein deutliches Signal dafür, dass aus dem Passwort kein Hash gebildet wird. Und wo kein Hash gebildet wird, liegt das Passwort im Klartext in der Benutzerdatenbank. Wenn sich nun jemand unberechtigten Zugriff zu dieser Datenbank verschafft, hat er nicht nur persönliche Daten wie Name, Adresse, Telefonnummer(n), E-Mail-Adresse und ggf. auch Bank- oder Kreditkartendaten, sondern auch das Passwort. Und das gilt nicht nur für Angreifer von außen – das könnte auch einfach ein Mitarbeiter des Anbieters sein, der mal eben schnell die Datenbank kopiert.

Natürlich soll man nicht bei jedem Online-Dienst dasselbe Passwort verwenden. Diese Botschaft ist vermutlich an 99% aller Internetnutzer schon rausgegangen. Aber vermutlich hält sich nur ein verschwindend geringer Bruchteil der Internetnutzer daran. Die Komplexität eines Passworts ist dabei vollkommen unwichtig, denn wenn jemand Zugriff auf die Passwörter im Klartext hat, braucht er sich nicht mehr anzustrengen, die Passwörter zu knacken. Und wer ein Passwort in Verbindung mit einer E-Mail hat, kann nun versuchen, alle spannenden Dienste damit zu nutzen. Zuerst wird das E-Mail-Konto gekapert, dann der Amazon-Account, der ebay-Account, Online-Spiele-Accounts, Facebook usw.

Und wo es schon so deutliche Anzeichen dafür gibt, dass ein Passwort nicht verschlüsselt wird, dort ist sehr wahrscheinlich auch kein guter Ort, sonstige Kundendaten wie Adressen und Kreditkarten zu hinterlegen.

Also Leute, nutzt möglichst bei jedem Online-Anbieter ein eigenes Passwort und meidet nach Möglichkeit Anbieter, bei denen offenbar nicht gut genug mit Kundendaten umgegangen wird.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.