Jens
17.02.2011
17.02.2011
Archiv für die Kategorie 'Informationssicherheit'
Click & Buy ist eine mehr oder weniger beiebte Bezahlplattform, mit der man im Internet Waren oder Dienstleistungen bezahlen kann. Hier geht es um Geld, also Grund genug, mir die Einstellungen und die Einstellung zum Thema Passwörter anzusehen.
Nach dem Klick auf Einloggen empfängt mich direkt eines dieser nervigen Captchas. Was soll das nur immer? Ein derartiges Captcha kann ohnehin von einer Maschine gelesen werden, also ist der einzige Effekt der, dass der Nutzer sich ärgert.
Zusätzliche Sicherheit verspricht die Abfrage meines Geburtsdatums, das aber nur nach der ersten Anmeldung erfolgt:
Über Einstellungen – Passwort ändern gelangt man danach relativ intuitiv zum Dialog für das Wechseln des Passworts.
Der wartet direkt mit “guten” Hinweisen zu einem sicheren Passwort auf: 6 Zeichen lang, Buchstaben, Ziffern und mindestens einem Snoderzeichen:
Den Hinweis hätte man sich sparen können, denn er ist, wie bei vielen anderen Seiten, völlig veraltet.
Ich probiere “ichich” und werde korrekterweise darauf hingewiesen, wie es richtig geht:
Den gleichen Hinweis erhalte ich, wenn ich einen über 30 Zeichen langen Passwortsatz eingebe – wie überflüssig.
Wenn ich einen Passwortsatz eingebe, der exakt 34 Zeichen enthält, an Stelle 28 ein ‘&’ und mit einem Großbuchstaben anfängt, dann erhalte ich die gleiche Fehlermeldung. Das klingt ja spannend.
Ich probiere folgende Passwörter und erhalte jedes mal den Hinweis, dass mein Passwort aus mindestens 6 Zeichen bestehen muss bla, bla, bla:
- IchIch! – 7 Zeichen, 2 Großbuchstaben, 1 Sonderzeichen, klappt nicht
- Ich!Ich – siehe oben, klappt trotzdem nicht
Folgende klappten:
- Aa1!Aa1!
- !Ich1Ich
Ich habe noch einige weitere Versuche gemacht, die hauptsächlich in großem Frust endeten und komme zu dem Schluss, dass die verlangten Regeln während der ersten 8 Zeichen des Passworts erfüllt sein müssen. Was danach kommt ist ziemlich egal aber immerhin wird das gesamte Passwort ausgewertet, denn wenn man bei einem Passwort mit 37 Zeichen das letzte weglässt, gibt es eine Fehlermeldung und das Einloggen wird verwehrt.
Das beliebte Nachschlagewerk Wikipedia bekommt heute kurz Besuch von mir, denn OpenSource-Projekte sollten ja besonders vorbildlich mit Passwörtern umgehen.
Das Passwort ändern ist hier ganz einfach: Einstellungen – Passwort ändern.
Leider gibt es keinerlei Hinweise, wie das Passwort aussehen sollte, also muss ich wohl durch zu kurze Passwörter einen Hinweis herausfordern.
Ich beginne mit dem Passwort “ich” und es wird prompt akzeptiert.
Das Passwort “1” wird auch akzeptiert.
Erst ein leeres Passwort ergibt folgende Meldung:
Das ist doch mal eine Passwortrichtlinie, mit der man etwas anfangen kann…[1]
Der eigentliche Grund meines Besuchs ist dennoch der, herauszufinden, ob ein Passwortsatz verwendet werden kann und das klappt ohne Probleme.
Auch der Versuch, den Passwortsatz ohne den letzten Buchstaben einzugeben schlägt fehl, was mir sagt, dass das Passwort in gesamter Länge ausgewertet wird.
Bereits betrachtet:
- Für alle diejenigen, die nicht erkennen, dass ich hier ironisch bin: Das ist Ironie [↩]
Die einen sprechen es wie die Bezeichnung für die Kriegerinnen aus, die anderen sprechen es englisch[1] “Ämmäsön” aus. Trotz aller sprachlicher Verwirrung hat wohl fast jeder ein Konto dort, also auch hier der Test: Wie kommt dieser Webshop mit langen Passwörtern klar und was empfiehlt man mir, wie mein Passwort aussehen soll?
Das Passwort ändert man unter MeinKonto (rechts oben) – Namen, E-Mail-Adresse oder Passwort ändern.
Zur Sicherheit darf man sein Passwort dann direkt einmal eingeben.
Die Seite zum Wechseln des Passworts ist eine einzige Enttäuschung:
Es gibt tatsächlich nicht die geringste Anregung, wie ich mein Passwort gestalten könnte, also probiere ich doch mal wieder das bewährte “ich” und erhalte dafür eine schriftliche Ohrfeige:
Mindestens 6 Zeichen…? Das ist immerhin Stand der Sicherheit von 1999 *seufz*
Ich probiere “ichich” und habe Erfolg:
Nun schauen wir mal, wie es sich mit langen Passwörtern verhält – das Captcha nervt allerdings inzwischen ein wenig – wozu soll das nur gut sein…?
In dem Moment, in dem ich mein langes Passwort gesetzt hatte und alles bestätigt wurde, hatte ich mich ausgesperrt, denn mein Testpasswort mit einer Länge von 30 Zeichen scheint für Probleme zu sorgen:
Der Link, der einem dann zugesandt wird, wenn man sein Passwort “vergessen” hat, funktioniert übrigens drei mal nacheinander – das kann man auch nicht direkt Sicherheit nennen.
Tippfehler kann ich ausschließen, da ich alle Eingaben mit Copy&Paste vorgenommen habe.
Eine längere Versuchsreihe ergab, dass ein Passwort mit 19 Zeichen zu keinen Komplikationen führt, ab dem zwanzigsten Zeichen ist aber der Wurm drin, denn trotz Eingabe des richtigen Passworts erhält man die Meldung, dass die Kombination aus Emailadresse und Passwort falsch sei.
Ich rege folgendes an:
- Korrektur des Hinweises an den Nutzer, dass ein Passwort mindestens 10 Zeichen lang sein sollte
- Anzeige des Hinweises direkt vor erster Eingabe eines neuen Passworts
- Zulassen von Passwörtern bis mindestens 50 Zeichen länge
- Überprüfen der Sicherheitsarchitektur dahingehend, dass der Link zum Passwortändern teilweise mehrfach funktioniert, obwohl das Passwort vorher erfolgreich geändert wurde
- Entfernen der Captchas im Dialog zum Ändern des Passworts
- nicht zu verwechseln mit der Sprache, die die Briten sprechen… [↩]
Alternate dürfte einer der bekanntesten Webshops sein. Wie in allen Webshops sind hier einige personenbezogene Daten hinterlegt und mit Passwort gegen unbefugten Zugriff geschützt. Grund genug, den ein oder anderen Webshop mal kurz zu betrachten.
Das Passwort ändert man unter MyALTERNATE – Kontoverwaltung – Daten ändern:
Der Hinweis zur Komplexität und Passwortlänge ist ein klein wenig veraltet und verlangt 8-15 Zeichen von mir.
Probiert man ein kürzeres Passwort aus, z.B. “ich”, dann erhält man folgenden Hinweis:
Das legt nahe, es mit “ichich” zu versuchen, was auch prompt funktioniert.
Das Passwort kann übrigens noch so lang sein, es werden nur die ersten 16 Zeichen ausgewertet, was bei einer Basis von 52[1] allerdings immer noch eine gute Sicherheit gewährleisten sollte.
- große und kleine Buchstaben [↩]