Springe zum Hauptinhalt

Passwort-Richtlinien bei DHL vergrätzen User

Ein rich­tig schlech­tes Bei­spiel für Pass­wor­t­-­Richt­li­ni­en für End­kun­den gibt es bei den Pack­sta­ti­o­nen. Und die deu­ten auf Si­cher­heits­pro­ble­me im Hin­ter­grund hin und be­hin­dern Si­cher­heits­be­wuss­te.

/images/2013/paket-passwort.png

Ja, Pass­wor­t­-­Richt­li­ni­en sol­le da­für sor­gen, dass die Pass­wör­ter si­cher sin­d. Und ja, es ist gut, wenn ein Un­ter­neh­men nur "si­che­re" Pass­wör­ter zu­läss­t.

Ein Bei­spiel, wie man es nicht ma­chen soll, lie­fert da­ge­gen die Deut­sche Post mit ih­rer Mar­ke DHL und der Pack­sta­ti­o­n. Wer sich un­ter pa­ket.­de an­mel­den will, wird mit fol­gen­der Pass­wor­t­-­Richt­li­nie drang­sa­liert (sie­he Bild):

  • Min­­des­tens 8 Zei­chen

  • Ma­­xi­­mal 13 Zei­chen

  • Gül­ti­­ge Zei­chen (Buch­­sta­­ben, Zah­len, !§&/()=?*+­­-­­_)

  • Min­­des­tens einen Groß und Klein­­buch­­sta­­ben

  • Min­­des­tens ei­­ne Zahl (nicht am An­fang)

Das klingt erst ein­mal gut, treibt aber die­je­ni­gen in den Wahn­sinn, die einen Pass­wor­t­-­Ma­na­ger ver­wen­den und sich da­mit Pass­wör­ter er­zeu­gen las­sen:

  • Wes­halb ma­­xi­­mal 13 Zei­chen? Län­­ge­­re Pass­wör­ter sind be­­kann­ter­­ma­­ßen si­che­­rer. Und wenn das Pass­wort als Hash ge­s­pei­chert wird – wie es Stand der Tech­­nik ist –, dann ist die Ein­­ga­­be­län­­ge ziem­­lich ega­l. Bei mir ent­­steht so der Ein­­druck, dass das Pass­wort wo­mög­­lich nicht als Hash ge­s­pei­chert wird, son­­dern nur ver­­schlei­ert oder gar im Kla­r­tex­t. das wä­­re pein­­lich!

  • Wes­halb sind so we­­ni­­ge Son­­der­­zei­chen zu­läs­­sig? Wenn nur Um­­lau­te ver­­­bo­ten wäh­ren, könn­ten ich das noch ei­­ni­­ger­­ma­­ßen ver­­s­te­hen (a­­ber auch nicht wirk­­lich), denn da­­mit könn­te es En­­co­­ding­­-­­Pro­ble­­me ge­­ben. Aber dass noch nicht ein­­mal der Zei­chen­vor­­rat von AS­­CII er­laubt ist, ist ei­­ne un­­nö­ti­­ge Ein­schrän­­kung. Hier ha­­be ich den Ein­­druck, dass die Ent­wick­­ler ih­­rer Soft­­wa­re nicht trau­en.

  • Wes­halb darf die Zahl nicht an An­fang ste­hen? Das ver­­hin­­dert zwar sim­ple Pass­wör­ter wie "7Z­wer­­ge", aber nicht das eben­­so sim­ple "Z­wer­­ge7". Mei­­ne Ein­schät­­zung da­­zu: ziem­­lich un­­­sin­­nig.

Fa­zit: Si­cher­heits­vor­ga­ben sind sinn­voll, kei­ne Fra­ge. Al­ler­dings dür­fen sie den Be­nut­zern nicht über Ge­bühr im We­ge ste­hen. Wenn man sich – wie bei die­ser DHL­-­Sei­te – we­gen der schrä­gen Pass­wort­vor­ga­ben zig­-­mal ein neu­es Pass­wort über­le­gen muss, bis es end­lich ak­zep­tiert wird, ver­lie­ren Vie­le die Lust und wäh­len dann halt ei­ne simp­le­re und un­si­che­re­re Va­ri­a­n­te. "Zwer­ge7x" wä­re ei­ne.

P.S.: kee­pass kommt bei die­ser Pass­wor­t­-­Re­gel auf ge­ra­de mal 81 Bit Entro­pie.

Portrait von Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer

Haben Sie noch Fragen?
Anruf oder Mail genügt:
  +49 871 6606-318
  +49 175 29 78 072
  h.goebel@goebel-consult.de