Jan 282009
 

Ich glaube da hat jemand etwas nicht verstanden.

Ich komme bei FIRMA_XYZ nicht mehr rein. Angeblich kennt man mein Login nicht mehr. Am Telefon wird mir dann eröffnet, dass ich mit einer falschen Mail als Login Name komme. Wie so wurde das geändert? Aber das soll mir jetzt egal sein.

Das Passwort wusste ich auch nicht mehr. Jetzt gibt es ja fast überall eine Funktion wo mit man sich ein Passwort zuschicken lassen kann. Machte ich. Bei meiner ursprünglichen Mail wurde mir gesagt, dass es den Account nicht gibt. Schön zu wissen. Meiner Meinung nach ist das schon Fehler 1. Es erübrigt sich mehrmaliges probieren.

Also gebe ich meine gültige Mail an. Das System meint, die Mail wurde soeben verschickt. Ich weiss also das die Mail einen gültigen Account hat. Meiner Meinung nach ist das Fehler 2.

Ich warte auf das Mail. Kommt einfach nicht. Nach 10 Minuten gebe ich halt die Mail nochmals ein. In zwischen ist das erste Mail gekommen. Passwort drin. Es ist aber viel zu einfach. Das zweit Mail kommt auch. Das selbe Passwort? Kann doch nicht sein. Das Passwort wird immer auf das selbe zurückgesetzt? Ganz grosser Fehler 3.

Jetzt könnte man doch die Kollegen mal testen. Was könnten die für ein Login haben. Test mit Firmenmail. Ist gültig, wird mir beim Login gesagt. Also, Passwort zurücksetzen und mich mit dem Default Passwort anmelden. Account könnte somit übernommen werden. Ich könnte ihn auch an Prüfungen anmelden. Wäre doch witzig.

Wenn FIRMA_XYZ in unseren Breitegraden nicht so einen schlechten Ruf hätte könnte man noch darüber hinweg sehen. Aber irgend wie lässt mir das der Kopf nicht zu.

  2 Responses to “Password Recovery – Sicherheit pur”

Comments (2)
  1. Herzlichen Glückwunsch an die Webentwickler. Das ist eine Hack-Schlagzeile in Wartestellung. In Anbetracht des ausgeprägten Sicherheitsverständnisses würde es mich auch nicht überraschen, wenn die Rücksetzfunktion (und evtl. auch die Kennworteingabe) keinen Brute Force Schutz hat. Dann kann ein Bösewicht mit einer Mailadressliste gleich reihenweise Accounts hacken.

  2. Also bitte, welche Seite ist denn wirklich 100pro sicher? Ich glaube nicht, dass es irgendwo auch nur eine gibt. Ich bin mir nicht mal sicher, ob man sich nicht auch beim Verteidigungsministerium einhacken kann. Heutzutage ist alles möglich. Und jeder, der das Internet als Medium nutzt weiß das auch. Man gibt ja seine Daten schließlich freiwillig an. Allerdings sollte man schon versuchen, dass man die Sicherheitsmaßnahmen schon so och hat, dass nicht gleich jeder rein kann. Das ist schon etwas leichtfertig.

Sorry, the comment form is closed at this time.