Zweitschlüssel gefunden
Stellen Sie sich vor, Sie sind eine Bank und vermieten Schließfächer an Ihre Kunden. Diese Fächer sind ausgestattet mit sündhaft teuren und verdammt guten Schlössern der Firma „Supersicher“, dem Weltmarktführer im Bereich Schließsysteme. Eines Tages findet jemand in einem Waldstück tausende Schlüssel. Es sind Zweitschlüssel, Kopien von Schlüsseln, die tausende Schlösser von „Supersicher“ aufsperren. Aufgrund der vielen Fußspuren ist klar, dass sich bereits einige an den Schlüsselkopien bedient haben.
Die Kopien stammen nicht von den Original-Schlüssel aus Ihrer Bank. Es gab ein Sicherheitsloch in einer anderen Firma, bei der irgendjemand Nachschlüssel anfertigen konnte. Da es bei „Supersicher“ aber nur ein paar tausend verschiedener Schlüssel-Schloss-Kombinationen gibt, werden zumindest einige dieser Schlüsselkopien auch in Schlösser Ihrer Bank passen – und diese aufsperren. Und plötzlich haben auch Sie ein Sicherheitsproblem. Was würden Sie tun? Ihre Schlösser austauschen? Obwohl sie überhaupt keinen Fehler gemacht haben?
Problem ignoriert?
Die selbe Frage sollten sich eigentlich seit Jahren alle Internet-Portale stellen. Immer wieder tauchen doch Millionen von Zugangsdaten im Internet auf – also User-Id und zugehöriges Passwort. Da immer noch viele Menschen immer und immer wieder das gleiche Passwort in verschiedenen Portalen nutzen, heißt das, dass jemand, der das Passwort eines Portals kennt, damit auch bei anderen Systemen reinkommen kann – zumindest bei einigen Benutzern. Diese Passwörter sind – bildlich gesprochen – Zweitschlüssel, die im Wald liegen und von denen ein Teil ziemlich sicher auch bei anderen Firmen Schlösser öffnen wird. Trotzdem kam bisher noch niemand auf die Idee, Accounts seiner User zu sperren, nur weil ein anderes Portal gehackt wurde. Bis jetzt.
Netflix geht voran
Netflix hat Anfang Juni begonnen, die Logindaten von einigen Usern zu sperren – obwohl Netflix gar nicht gehackt wurde. Der Streaming-Dienst hat dazu 500 Millionen bei LinkedIn, Tumblr und MySpace gestohlene und mittlerweile veröffentlichte Zugangsdaten durchsucht. Tauchte dort eine User-Id/Passwort-Kombination auf, die auch auf ein Netflix-Konto passt, dann hat man quasi das Schloss getauscht. Vorsorglich. Ich finde, das sollte zur Pflicht werden. Genauso, wie es zur Pflicht werden sollte, überall unterschiedliche Passwörter nehmen zu müssen. So wie Hundekacke aufheben auch Pflicht ist. Hält sich halt nur nicht jeder dran. Bei wiederverwendeten Passwörtern steigen aber wenigstens nicht Andere, sondern die User selbst in die Kacke. Zumindest sprichwörtlich. Die großen Internet-Portale könnten sie auch dagegen schützen – wenn sie es denn täten.
Ergänzung: Im Laufe des Vormittags nach der Veröffentlichung dieses Textes kam die Meldung, dass Telekom-Passwörter im Netz aufgetaucht seien. „Ein Stichprobe von rund 90 Kombinationen aus T-Online-Mail-Adresse und Passwort habe gezeigt, dass auch echte Kundendaten darunter seien, teilte der Konzern am Montag mit.“ schreibt T-Online. Der Konzern wirbt dafür, sein Passwort regelmäßig zu ändern. Meines Erachtens ginge da mehr!
Beiträge dazu hier: BILD und T-Online
Bildnachweis: MagicDogWorkshop via Fotolia