Denial of Service durch Passwortreset
Wenn man sein Passwort vergessen hat, sollte es irgendwie eine Möglichkeit geben, noch an den Account zu kommen. Es sollte aber nicht möglich sein, dein Eigentümer des Kontos auszusperren. Daher sollte nicht direkt das Passwort zurückgesetzt werden. Per Email kann man einen Link zustellen, der ein Geheimnis enthält. Nur der Eigentümer kann diese Email lesen und auf den Link klicken. Erst dann wird ein neues Passwort vergeben.
Mein Mobilfunkanbieter macht dies jedoch nicht so. Man kann durch Eingabe der Rufnummer und der hinterlegten Postleitzahl das Passwort ändern. Danach ist es wirklich geändert:
Anschließend bekomme ich eine Email mit einem neuen Passwort. Das Passwort steht in der Email drin! Und natürlich wurde die Email unsicher übertragen, so dass jemand diese Email vielleicht abfischen kann. Die Email endet mit der üblichen Floskel:
Diese E-Mail enthaelt vertrauliche und/oder rechtlich geschuetzte Informationen. Wenn Sie nicht der richtige Adressat sind oder diese E-Mail irrtuemlich erhalten haben, informieren Sie bitte sofort den Absender und vernichten Sie diese Mail. Das unerlaubte Kopieren sowie die unbefugte Weitergabe dieser Mail ist nicht gestattet.
Das ändert natürlich nichts daran, dass mein neues Passwort da im Klartext steht! Mein neues Passwort erfüllt so gerade die Passwortrichtlinie; es ist acht Zeichen lang, enthält Groß- und Kleinbuchstaben sowie eine Zahl. Aber letztlich ist das nicht sonderlich viel Entropie für ein Passwort.
Die Eingabe der Postleitzahl hilft ein klein wenig davor, dass mich jemand dort aussperrt. Allerdings weiß so ziemlich jeder, der meine Handynummer hat, auch meine Postleitzahl. Ich kann eigentlich von so jedem, dessen Handynummer ich habe, auch die Postleitzahl herausfinden. Von daher ist das gar kein so großer Schutz.
Auch kann man anstelle seiner Mobilfunknummer auch einen Benutzernamen wählen. Meiner ist aus diversen Gründen recht kryptisch und kann nicht so einfach erraten werden. Das dürfte bei den meisten anderen Leuten allerdings nicht so sein, die nehmen wahrscheinlich immer den gleichen Benutzernamen.
Ich hoffe, dass der Anbieter hier nachbessert und das Passwort erst dann ändert, wenn auch bestätigt ist, dass der Eigentümer den Reset durchführen möchte.