Erzwungener Passwortwechsel am Bahnsteig durch Eezy-NRW-App
Im ungünstigen Moment erzwang die Eezy-NRW-App (für Fahrkarten) einen Passwortwechsel: Am Bahnsteig, als ich in die Bahn einsteigen wollte. Auf eine schlecht gelaunte E-Mail bekam ich eine wohlwollende Antwort mit einer stichhaltigen Erklärung: Schutz nach einem Hack bei einem anderen Verkehrsverbund. Ich bin tatsächlich versöhnt.
Ich kam von einer Dienstreise zurück, war recht erschöpft von zwei Tagen intensivem Programm aus Vorträgen des Leitungsteams, Workshops der Abteilungen und Abendprogramm. Der Rückreisetag bestand aus Busfahrt zum Flughafen, dem ganzen Prozedere am Flughafen, Rückflug, Einsammeln von Gepäck. Als ich dann am Flughafen-Köln-Bonn endlich an der S-Bahn-Station stand, war ich müde, hungrig, mir war kalt und wollte einfach nur noch nach Hause.
Da ich weiß, welche Züge ich nach Hause nehmen kann, habe ich mich an das entsprechende Gleis gestellt und einfach mit der Eezy-NRW-App einchecken wollen. Das ging allerdings nicht:
Okay, also irgendwie stimmt mein Login nicht mehr. Ich musste mich dann neu einloggen:
Und dann bin ich hier.
Mein Passwort ist sicher, es ist im Passwortmanager gespeichert. Den muss ich entsperren. Der hat auch wieder ein langes Passwort. Aber gut, hilft ja nichts. Dass die S 19 in wenigen Minuten kommen soll und ich noch kein Ticket habe, fing an mich zu stressen.
Als ich dann das Passwort hatte, war aber auch das nicht genug. Ich sollte ein neues Passwort vergeben:
Echt jetzt? Hättet ihr euch keinen schlechteren Zeitpunkt dafür ausdenken können? Also dann im Passwortmanager halt noch ein neues Passwort erzeugt und das dort geändert.
E-Mail an KVB
Ich war echt total genervt davon. Am nächsten Tag habe ich der KVB, die diesen Dienst beschreibt, eine schlecht gelaunte E-Mail geschickt:
Sehr geehrte Damen und Herren,
ich stand neulich am Bahnsteig und wollte Einchecken, um die augenblicklich kommende Bahn zu nehmen. Das schöne an der App ist ja eigentlich, dass ich nicht erst eine Verbindung in der VRS-App oder der DB-App raussuchen muss, sondern sofort in meine gewohnten Züge einsteigen kann.
Außer an diesem Tag. Da war ich plötzlich ausgeloggt. Also habe ich meinen Passwortmanager entsperrt, weil ich ein langes und sicheres Passwort nutze. Mein Passwortmanager hat natürlich auch ein langes Passwort, das ich erstmal eintippen muss. Dann habe ich mich in der Eezy-App eingeloggt. Jedoch konnte ich weiterhin nicht einchecken. Nein, ich sollte das Passwort ändern. Und zwar musste es auch wieder diverse Kriterien erfüllen.
Können Sie sich ungefähr vorstellen, wie viel Stress das erzeugt? Ich stehe am zugigen Bahnsteig, jede Minute kommt meine S-Bahn und ich muss auf dem Handy ein neues Passwort für die App erzeugen.
Regelmäßige Passwortwechsel sind an sich nicht nötig, wenn Leute sichere Passwörter nutzen. Regelmäßig zum Wechsel zwingen führt bei Leuten mit Passwortmanagern zu Genervtheit, bei Leuten ohne Passwortmanager zu noch schlechteren Passwörtern.
Wenn auf den Passwortwechsel bestanden werden sollte, wegen Compliance zum Beispiel, würde ich bitten dies anders zu machen: Sie könnten zum Beispiel eine Woche vorher eine E-Mail oder App-Benachrichtigung schicken. Dann könnte ich in aller Ruhe ein neues Passwort wählen und müsste das nicht in dem einen Moment machen, in dem die App einfach funktionieren muss.
Mit freundlichen Grüßen
Martin Ueding
Ich habe Freitags um 19:40 meine E-Mail geschickt. Um 19:56 bekam ich eine Antwort. Oha! Und die E-Mail ist auch noch richtig gut. Zuerst aufrichtige Anteilnahme:
vielen Dank für Ihre Mail, welche wir mit Bedauern zur Kenntnis genommen haben. Unter normalen Bedingungen hätten wir dies im Vorfeld angekündigt.
Der Herr schrieb dann, dass es wohl einen »professionellen Angriff« auf ein »Verkehrsunternehmens in Süddeutschland« gegeben hätte. Dann beschrieb er diverse Betrugsmuster. Vor allem werden bei Leuten Deutschlandtickets gekauft und diese dann weiterverkauft. Und angesichts der Schwere dieses Hacks haben sie dann einen kurzfristigen Passwort-Reset ausgelöst.
Ich habe mich dann für die ausführliche und schnelle Antwort bedankt. Und mich entschuldigt, dass ich so schlecht gelaunt war. Jetzt, mit diesem Kontext, finde ich den Passwort-Reset genau richtig. Kann ja niemand wissen, dass mein Passwort einzigartig und lang gewesen ist.