Von sinnfreien Sicherheitsfragen bis zu unsicheren Passwörtern: Die dümmsten Security-Patzer
Sichere Passwörter sind das A und O. Aber selbst wenn Nutzer:innen alles richtig machen, kommt es auf Anbieterseite manchmal zu wirklich bemerkenswerten Sicherheitspatzern. Einige davon wollen wir euch im Folgenden vorstellen.
Die Telefonnummer statt der E-Mail-Adresse zum Login zu verwenden, ist erst mal nicht übermäßig problematisch. Denn letztlich sind beide öffentlich auffindbare Informationen. Wenn das dazugehörige Passwort aber lediglich aus den letzten vier Ziffern besagter Telefonnummer besteht, dann wird es richtig dämlich.
Sicherheitsfragen zur Wiederherstellung eines Kontos sind noch immer weit verbreitet, auch wenn die dort abgefragten persönlichen Informationen oft mit etwas Recherche im Netz auffindbar sind. Wenn aber statt einer persönlichen Information etwas wie die Hauptstadt von Kalifornien abgefragt wird, verliert das Ganze völlig an Sinn.
Nehmen wir an, ihr erspäht im Zug den Nutzernamen einer Person. Wie kommt ihr jetzt an die dazugehörige E-Mail-Adresse? Bei diesem Beispiel reicht die Eingabe des Nutzernamens.
Das hier ist mehr ein Beispiel für eine absolut gescheiterte User-Experience, aber nervig für Nutzer:innen ist es trotzdem. Das eingegebene Passwort wird zwar hilfreicherweise als stark gelobt, aber dann erscheint der Hinweis, es sei nicht stark genug. Warum oder wieso, dürfen dann die Nutzer:innen selbst herausfinden.
Wer immer wieder dieselbe Website besucht, will sich natürlich nicht jedes Mal anmelden. Dank Cookies ist das kein Problem. Blöd wird es aber genau dann, wenn Passwort und Nutzernamen einfach im Klartext als Cookie gespeichert werden.
Passwortmanager sollten heutzutage zum guten Ton gehören. Blöd nur, wenn eine Website aktiv verhindert, dass Passwörter in das Anmeldefeld kopiert werden.
Das Passwort vergessen? Kann jedem mal passieren. Zum Zurücksetzen sollte dann aber mehr als nur der Nutzer:innenname und das Geburtsdatum abgefragt werden. Denn diese Informationen lassen sich vergleichsweise einfach beschaffen.
Hier haben wir den umgedrehten Fall: Diese US-amerikanische Bank wollte sichergehen, dass beim Zurücksetzen des Passworts eine Information abgefragt wird, die sich nicht so einfach im Netz findet. Dabei allerdings gleich die Sozialversicherungsnummer abzufragen, ist dann doch etwas zu neugierig. Zumal US-Bürger:innen die schon aus Schutz vor Identitätsdiebstahl besser nicht herausgeben sollten.
Passwort und Nutzer:innenname im Klartext per Mail zu versenden, ist schon blöd genug. Noch dümmer wird es aber, wenn das ausgerechnet dem Verteidigungsministerium eines Landes passiert.
Keine Angst: Das hier ist ein Fake. Völlig an den Haaren herbeigezogen ist das Ganze allerdings nicht, wie das nächste Beispiel zeigt.
Okay, der dazugehörige Nutzer:innenname wird in dem Fall nicht verraten. Grundsätzlich bleibt das Ganze aber auch so eine bemerkenswert schlechte Idee.
Selbst wenn Unternehmen auf ihrer Seite alles richtig machen, müssen auch Nutzer:innen darauf achten, ein sicheres Passwort zu wählen und, wenn möglich, die Zwei-Faktor-Authentifizierung zu aktivieren. Weitere Sicherheitstipps findet ihr hier.
