Geprüfte Sicherheit

Wenn E-Commerce-Seiten Kennwörter durch die Gegend senden

Von Thorsten Geppert am 06.05.2012, geändert 06.05.2012 (8388 Aufrufe).

Kennwort vergessen, wer kennt das nicht? Die übliche Vorgehensweise: man klickt auf "Kennwort vergessen", gibt seine E-Mail-Adresse oder Kundennummer ein. An die eigene E-Mail wird dann ein Rücksetzlink gesendet und man kann sein Kennwort zurücksetzen. Das Zusenden des ursprünglichen Kennworts würde ja nicht funktionieren, da es letztlich als sogenannter Hash beim Dienstanbieter gespeichert ist. Dieser Hash wird im One-Way-Verfahren erstellt. Das bedeutet, dass aus einem solchen Hash keine Rückschlüsse mehr auf das eigentliche Kennwort gemacht werden können, sprich: aus dem Hash ist das Kennwort nicht wiederherstellbar.

Ein sinniges Verfahren, das von Betriebssystemen und Authentifizierungsdiensten genutzt wird und die Sicherheit auf ein Mindestmaß anhebt. Mir ist aber aufgefallen, dass es einige Online-Shops nicht so genau nehmen. In diesem Fall ganz klar WIRmachenDRUCK. Bei WIRmachenDRUCK sind die Kennwörter entweder gar nicht "verschlüsselt" abgelegt, oder sie können "entschlüsselt" werden. Was passiert also? Beim Kennwort-Vergessen-System wird tatsächlich das originale Kennwort an die dort hinterlegte E-Mail-Adresse geschickt.

WIRmachenDRUCK - E-Mail-Bestätigung

Nicht auszudenken, was alles passieren kann. Zum einen gilt E-Mail-Kommunikation nicht als "sooo" sicher. Um das zu konkretisieren: E-Mails werden zumeist unverschlüsselt über die Leitungen geschickt und können ganz einfach im Klartext mitgelesen werden. Fängt also ein potentieller Angreifer diese E-Mail ab, hat er nicht nur Zugriff auf das Kundenkonto (den er letztlich auch bekäme, wenn der Dienstanbieter den sinnvolleren Weg nutzen würde), sondern, da viele Menschen ein und das selbe Kennwort für verschiedene Dienste nutzen, unter Umständen Zugriff auf andere Konten online.

Zum zweiten kann es natürlich sein, dass man mit Menschen vor dem Computer sitzt, die das Kennwort nicht wissen sollen, es aber unter Umständen in der E-Mail lesen können.

Was mir ganz übel aufstößt, ist das "Geprüfter Shop"-Zertifikat bei WIRmachenDRUCK. Die Qualität sieht man, indem man einmal auf diesen Knopf klickt. Jetzt festhalten, denn es erscheint ein Popup mit folgendem Text:

select *,if(garantie=1,'checked','') as garantie2,if(gesperrt=1,'checked','') as gesperrt2, if(leer=1,'checked','') as leer2, DATE_FORMAT(datum,'%d.%m.%Y') as datum2, DATE_FORMAT(bis,'%d.%m.%Y') as bis2, if(gesperrt=1,'gesperrt',if(bis

1015 Can't lock file (errno: 157)

WIRmachenDRUCK - Fehlermeldung

Genial. Hat jemand ähnliche Erfahrungen gemacht? Dann schreibt mir bitte.

[zurück]