Vertrauenswürdige Zentrale

Über das heutige Thema wollte ich eigentlich schon im Februar schreiben. Im Februar 2017 wohlgemerkt. Es hat sich nur nie ergeben und daher mache ich das jetzt. Und zwar deshalb, weil es rückblickend auf die letzten Monate fast noch absurder wirkt, als es das schon im Februar 2017 war.

Eine der größten Sicherheitslücken überhaupt sind wir Menschen. Wir haben schwache Passwörter, speichern die im Browser oder oder oder. Aber es geht noch schlimmer. Eine recht oft vergessene „Lücke im System“ ist nur wegen uns und mit voller Absicht in nahezu jedes Internet-Portal eingebaut worden. Die „Passwort vergessen“ Funktion nämlich. Das ist so eine Art offenes Hintertürchen für jedes System. Weil wir Menschen unsere Kennwörter irgendwann vergessen und niemand jemand bezahlen möchte, der per Ausweis oder so überprüft, ob wirklich der Account-Inhaber das Passwort zurücksetzen will.

In der Regel läuft das dann so, dass an die hinterlegte E-Mail-Adresse ein neues Kennwort geschickt wird, oder ein Link mit begrenzter Gültigkeit. Früher gab es noch die so genannte Sicherheitsabfrage, aber die nutzen nur noch schwach geschützte Dienste. Irgendwann hat man nämlich gemerkt, dass bei der Frage nach der Lieblingsfarbe in der Regel gerade mal drei bis fünf unterschiedliche Antworten kommen. Nicht gerade sicher. Aber auch das Zusenden eines neuen Passworts (oder Link zum Ändern) ist nicht besonders toll. Hat ein Angreifer nämlich den E-Mail-Account eines Opfers übernommen, dann ist er über die „Passwort vergessen“-Funktion in der Lage, alle (!) anderen Zugänge zu übernehmen.

Im Februar 2017 gab es daher den Vorschlag, dass eine besonders vertrauenswürdige, zentrale Stelle dafür sorgt, dass ein vergessenes Passwort zurückgesetzt, ein neues vergeben oder gewählt werden kann. Diese zentrale Stelle ist ebenso mit einem Passwort geschützt – und das sollte sinnvollerweise ein sicheres, gutes und nicht mehrfach verwendetes sein. Hat man also ein Passwort irgendwo bei Amazon, eBay oder PayPal vergessen, dann loggt man sich einfach in diese zentrale Stelle ein, geht auf den entsprechenden Menüpunkt und entsperrt Amazon, eBay und PayPal von dort. Ohne Umwege über Sicherheitsabfragen oder unsichere E-Mails.

Eigentlich ist das Prinzip nicht verkehrt. Einzig – und deshalb musste ich nach den Vorfällen der letzten Monate dann doch schmunzeln – die angesprochene zentrale Stelle muss vollständig integer und vertrauenswürdig sein. Schließlich ist sie eine Art Schlüsselkasten zu allen unseren Accounts. Die Firma, die das System vorgeschlagen hat, hat sich 2017 gleich selber als zentrale Stelle angeboten. Ich hatte damals schon Zweifel und auch heute bin ich mir nicht sicher, ob Facebook dafür wirklich die beste Wahl wäre.

2 Kommentare zu “Vertrauenswürdige Zentrale

  1. Moin Tobias, laut gelacht :-) Ob ich gerade Facebook den Hintertürschlüssel geben möchte? Ich glaube nicht! Aber die Bequemlichkeit der User wird uns wohl wieder eines besseres belehren. Ich bin gespannt!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.