Martin Ueding (Einträge über Passwörter)

Einfügen im Passwortfeld absichtlich deaktiviert

Martin Ueding — Wed, 18 Feb 2026 23:00:00 GMT

Manche Webseiten unterbinden das Einfügen von Passwörtern aus der Zwischenablage. Das ist wirklich gefährlicher Unsinn.

Jedes Jahr wechsele ich den Stromanbieter. Damit spare ich ungefähr 30 % gegenüber dem Verbleib bei einem dieser Anbieter oder gar dem Grundversorger. Es ist ein albernes Spiel, bei dem man jedes Jahr Neukundenboni bekommt. Aber gut, der Markt will das halt so.

Nun war das Jahr beim vorherigen Stromanbieter vorbei, nun bin ich bei Aras Energy. Das sind irgendwie immer so Marken, die wahrscheinlich am Ende zu einem großen Stromerzeuger gehören. Oder irgendwelche Stadtwerke aus irgendwelchen Städten. Ist mir auch herzlich egal. Einer dieser Anbieter ist mir mal insolvent gegangen, dann war ich halt im Grundversorger. Der Strom wurde niemals abgestellt.

Jedenfalls wollte ich mich zu deren Kundenportal registrieren. Ich sollte dann ein Passwort vergeben:

Aber ich konnte da nicht das sichere, lange, zufällige Passwort aus dem Passwortmanager per Zwischenablage einfügen. Das haben sie nämlich mit JavaScript unterbunden:

<input 
    name="ctl00$MainContent$PasswordReset$txt_PasswortNeu" 
    type="password" 
    maxlength="50" 
    id="MainContent_PasswordReset_txt_PasswortNeu" 
    class="form-control" 
    oncopy="return false" 
    onpaste="return false"
>

Da muss sich entweder irgendein:e Manager:in oder Programmierer:in entschieden haben, dass das eine gute Idee ist. Troy Hunt hatte schon 2014 einen Artikel darüber, warum das eine schlechte Idee ist. Die von dem Stromanbieter haben das anscheinend aber nicht mitbekommen.

Ich habe denen dann mal eine entsprechende E-Mail geschickt:

Sehr geehrte Damen und Herren,

ich werde seit heute von Ihrer Firma mit Strom beliefert. Gerne hätte ich Ihnen den heutigen Zählerstand von … im Online-Portal eingetragen.

Leider kann ich bei der Erstellung eines Passwort für das Kundenkonto mein langes und sicheres Passwort aus dem Passwortmanager nicht reinkopieren. Da scheint sich irgendjemand gedacht zu haben, dass man das aus fadenscheinigen "Sicherheitsgründen" nicht einfügen darf. Soll ich jetzt ein unsicheres Passwort eintippen, oder was ist da der Plan hinter?

Ich bitte darum, dieses unsinnige "Feature" zu entfernen, sodass man sinnvoll einen Passwortmanager nutzen kann.

Mit freundlichen Grüßen

Martin Ueding

Eine Reaktion gab es darauf auch nach mehreren Wochen nicht.

Ich habe das Passwort dann doch noch setzen können, indem ich die KeePassXC-Browsererweiterung das habe einfügen lassen. Und so habe ich dann doch mein sicheres Passwort nutzen können. Das habe ich denen aber nicht geschrieben.

Ansonsten ist die Webseite auch ziemlich unbefriedigend. Da gibt es den Menüpunkt "Zählerstand erfassen", unter dem man aber keinen Zählerstand erfassen kann:

Gut, ist ein Stromanbieter, keine Webdesign-Firma. Aber das wirkt schon alles ziemlich gruselig.

Erzwungener Passwortwechsel am Bahnsteig durch Eezy-NRW-App

Martin Ueding — Sun, 08 Feb 2026 23:00:00 GMT

Im ungünstigen Moment erzwang die Eezy-NRW-App (für Fahrkarten) einen Passwortwechsel: Am Bahnsteig, als ich in die Bahn einsteigen wollte. Auf eine schlecht gelaunte E-Mail bekam ich eine wohlwollende Antwort mit einer stichhaltigen Erklärung: Schutz nach einem Hack bei einem anderen Verkehrsverbund. Ich bin tatsächlich versöhnt.

Ich kam von einer Dienstreise zurück, war recht erschöpft von zwei Tagen intensivem Programm aus Vorträgen des Leitungsteams, Workshops der Abteilungen und Abendprogramm. Der Rückreisetag bestand aus Busfahrt zum Flughafen, dem ganzen Prozedere am Flughafen, Rückflug, Einsammeln von Gepäck. Als ich dann am Flughafen-Köln-Bonn endlich an der S-Bahn-Station stand, war ich müde, hungrig, mir war kalt und wollte einfach nur noch nach Hause.

Da ich weiß, welche Züge ich nach Hause nehmen kann, habe ich mich an das entsprechende Gleis gestellt und einfach mit der Eezy-NRW-App einchecken wollen. Das ging allerdings nicht:

Okay, also irgendwie stimmt mein Login nicht mehr. Ich musste mich dann neu einloggen:

Und dann bin ich hier.

Mein Passwort ist sicher, es ist im Passwortmanager gespeichert. Den muss ich entsperren. Der hat auch wieder ein langes Passwort. Aber gut, hilft ja nichts. Dass die S 19 in wenigen Minuten kommen soll und ich noch kein Ticket habe, fing an mich zu stressen.

Als ich dann das Passwort hatte, war aber auch das nicht genug. Ich sollte ein neues Passwort vergeben:

Echt jetzt? Hättet ihr euch keinen schlechteren Zeitpunkt dafür ausdenken können? Also dann im Passwortmanager halt noch ein neues Passwort erzeugt und das dort geändert.

E-Mail an KVB

Ich war echt total genervt davon. Am nächsten Tag habe ich der KVB, die diesen Dienst beschreibt, eine schlecht gelaunte E-Mail geschickt:

Sehr geehrte Damen und Herren,

ich stand neulich am Bahnsteig und wollte Einchecken, um die augenblicklich kommende Bahn zu nehmen. Das schöne an der App ist ja eigentlich, dass ich nicht erst eine Verbindung in der VRS-App oder der DB-App raussuchen muss, sondern sofort in meine gewohnten Züge einsteigen kann.

Außer an diesem Tag. Da war ich plötzlich ausgeloggt. Also habe ich meinen Passwortmanager entsperrt, weil ich ein langes und sicheres Passwort nutze. Mein Passwortmanager hat natürlich auch ein langes Passwort, das ich erstmal eintippen muss. Dann habe ich mich in der Eezy-App eingeloggt. Jedoch konnte ich weiterhin nicht einchecken. Nein, ich sollte das Passwort ändern. Und zwar musste es auch wieder diverse Kriterien erfüllen.

Können Sie sich ungefähr vorstellen, wie viel Stress das erzeugt? Ich stehe am zugigen Bahnsteig, jede Minute kommt meine S-Bahn und ich muss auf dem Handy ein neues Passwort für die App erzeugen.

Regelmäßige Passwortwechsel sind an sich nicht nötig, wenn Leute sichere Passwörter nutzen. Regelmäßig zum Wechsel zwingen führt bei Leuten mit Passwortmanagern zu Genervtheit, bei Leuten ohne Passwortmanager zu noch schlechteren Passwörtern.

Wenn auf den Passwortwechsel bestanden werden sollte, wegen Compliance zum Beispiel, würde ich bitten dies anders zu machen: Sie könnten zum Beispiel eine Woche vorher eine E-Mail oder App-Benachrichtigung schicken. Dann könnte ich in aller Ruhe ein neues Passwort wählen und müsste das nicht in dem einen Moment machen, in dem die App einfach funktionieren muss.

Mit freundlichen Grüßen

Martin Ueding

Ich habe Freitags um 19:40 meine E-Mail geschickt. Um 19:56 bekam ich eine Antwort. Oha! Und die E-Mail ist auch noch richtig gut. Zuerst aufrichtige Anteilnahme:

vielen Dank für Ihre Mail, welche wir mit Bedauern zur Kenntnis genommen haben. Unter normalen Bedingungen hätten wir dies im Vorfeld angekündigt.

Der Herr schrieb dann, dass es wohl einen »professionellen Angriff« auf ein »Verkehrsunternehmens in Süddeutschland« gegeben hätte. Dann beschrieb er diverse Betrugsmuster. Vor allem werden bei Leuten Deutschlandtickets gekauft und diese dann weiterverkauft. Und angesichts der Schwere dieses Hacks haben sie dann einen kurzfristigen Passwort-Reset ausgelöst.

Ich habe mich dann für die ausführliche und schnelle Antwort bedankt. Und mich entschuldigt, dass ich so schlecht gelaunt war. Jetzt, mit diesem Kontext, finde ich den Passwort-Reset genau richtig. Kann ja niemand wissen, dass mein Passwort einzigartig und lang gewesen ist.

Komplizierter Login bei der Telekom

Martin Ueding — Sat, 12 Aug 2023 22:00:00 GMT

Ich versuchte mich bei der Telekom ins Kundenportal einzuloggen. Ein überaus komplexes Unterfangen.

Bei der Telekom in der Login-Maske muss man einen Benutzernamen eingeben. Ich habe meine E-Mail-Adresse versucht. Ging nicht. Aber man kann alternative Nutzernamen auswählen. Dort habe ich dann E-Mail-Adresse gewählt. Nur wurde meine Adresse nicht erkannt.

Merkwürdig, dabei schicken die doch an genau diese Adresse immer die Rechnungen‽

Ein schönes Detail ist hier das Extra »Reply-To« Headerfeld in der E-Mail, das auf eine No-Reply-Adresse verweist. Das sind echte Profis bei der Telekom.

Jedenfalls kann man sich auch mit der Zugangsnummer anmelden. Wenn man die nutzt, muss man dann nochmal die Kundennummer bestätigen:

Möchte man sich bei der Telekom mit einer E-Mail-Adresse einloggen können, muss man die erst noch als Benutzernamen hinzufügen:

Warum nicht einfach direkt per E-Mail einloggen? Wahrscheinlich muss man noch irgendwas für jene Leute machen, die gar keine E-Mail-Adresse haben und nur eine Festnetznummer.

Jedenfalls kann man dann noch bis zu drei Benutzernamen hinzufügen.

Und dann kann man noch ein Passwort vergeben, damit man nicht sein Persönliches Kennwort nutzen muss. Dabei haben sie Passwortrichtlinien aus der Hölle. Hat da irgendwer einen VARCHAR(16) in seiner Datenbank stehen? Oder ein Schrottsystem, das kein richtiges Escaping kann? Werden die Passwörter etwa nicht durch eine Hashfunktion gepackt?

Jedenfalls ist ja alles wunderbar mit dem Passwort, was ich im Passwortmanager erzeugt habe. Also außer, ich will das speichern. Das geht dann wieder nicht.

Und wenn ich ein Passwort ohne Sonderzeichen erzeuge, ist das wieder nicht okay. Laut Text muss ich ja nur zwei Anforderungen erfüllen, nicht alle vier. Aber gut.

Jetzt habe ich also folgendes für meinen DSL-Anschluss bei der Telekom:

Zugangsnummer
Anschlusskennung
Mitbenutzernummer
Persönliches Kennwort
Kundennummer
Buchungskonto
Rufnummer (Festnetz)
Benutzername (meine E-Mail-Adresse)
Passwort zum Benutzernamen

Vielleicht ergibt diese Komplexität ja Sinn, wenn ein Kunde mehrere Verträge hat, die dann jeweils wieder mehrere Anschlüsse beinhalten und mehrere Nutzer*innen haben. Aber für so eine Privatperson mit einem Anschluss fühle ich mich ziemlich verarscht.

Bei 1&1 lief das deutlich besser. Da hat man einfach E-Mail-Adresse und ein Passwort, wie halt überall sonst auch. Warum kann die Telekom das nicht? Ich weiß, rhetorische Frage.

Password Guideline Nonsense

Martin Ueding — Sat, 13 Feb 2021 23:00:00 GMT

My company has solid security policies which seem to be oriented at best practices. And I am very glad that they don't enforce nonsense policies that would actually weaken the passwords that users choose. That of course isn't the case with every company. There is one particularly arcane case. They have these rules for passwords:

At least two capital letters
At least one special character
At least one digit
At least 12 characters
At most three characters may overlap with the last 10 passwords
No characters from the last password

And the passwords have to be changed every four weeks. Of course, writing them down is forbidden, as that would weaken the security.

How are employees supposed to sensibly come up with these passwords and remember them? They will of course come up with a clever enumeration scheme that will just barely abide these rules. And I am sure none of them will have more than 12 characters. If they were allowed to have the passwords for more than four weeks, people might actually take more time to craft a sensible password. But this seems to encourage writing it on sticky notes …

Bad Password Practices

Martin Ueding — Sat, 24 Sep 2016 22:00:00 GMT

Every now and then I create an account on a new website. Since numerous websites get breached, I choose a unique password for each website. All those are stored in a password manager. If you want to have a feeling for the number of breaches, look at Have I Been Pwned. Those are only breaches which became public, there are probably many unreported cases for each public one.

In my password manager I try to create long random passwords which contain letters, digits, and some special characters. Sadly, most of the time I get error messages like this one:

Passwords should be hashed for storage. Therefore it does not matter if there are any "illegal" characters in there. Why are they illegal anyway? Because they could make a SQL injection? Either way, this looks dubious. Perhaps they only want to make sure that people can type their password on a normal computer keyboard or a mobile phone.

The length is really strange. Whey would the length matter? I understand that one restricts the length because one would not want to hash multiple megabytes worth of password. But limiting to 20 characters and banning certain characters sounds like VARCHAR(20) to me.

At least the rules are somewhat simple to understand. On some other site I saw these requirements:

Could they please just make a downloadable specification for my password generator such that I don't have to bother with such crap?

On another site, it is limited to 10 characters:

It also has to contain one digit and one letter. This is something that I can easily create in my password manager. The next one is a bit tougher:

Here I have to have between 8 and 13 characters, "valid characters", at least one upper case and one lower case letter, and at least one number, but not at the front. Luckily I can generate something which maxes out the possible entropy and just store that in the password manager. If you try to remember such a password, you will have to make sure your memorization scheme allows for all those constraints.

Every time I have to change the settings on the password generation page. It would be really great if I could just have it set to some length and several sets of character classes. Then I could generate the same kind of password for each website and would be over with it. Those extra rules make this impossible.

Another one with length limitation:

Or just ten characters:

The best one is this right here:

It does not even say what the maximum length is! So I had to look at the maxlength attribute of the input tag with the developer tools. Seriously?

My Samsung printer has it even worse: The maxlength on the page where I set the password is higher than the field where I have to enter the password. This way I managed to set a password which I cannot possible enter any more.

On this page, you only have to enter your password once to set it. And it also has to be between 8 and 20 characters:

I would really like for this madness to stop and use my random passwords on every site. Most of the time you contact the company and they do not do anything about it. If I get a response, it is just something like the "We take security very seriously" mantra.