Passwort-Schutz bei Hotels und Piraten

Für den neuen C++-Standard C++0x war ich unlängst in der Schweiz, und weil das Hotel zu einer größeren Hotelkette gehört, bei der ich öfters übernachte, hab ich mich entschlossen, am Bonus-Programm der Kette teilzunehmen. Zu Hause angekommen, versuche ich eine Erstanmeldung, gebe mein erstes Passwort ein und denke an nichts Böses.

Doch kurz darauf traue ich meinen Augen nicht: Da bekomme ich doch mein Passwort in einer E-Mail als Klartext bestätigt. Das geht ja nun gar nicht, denke ich mir. Dass man Passworte nicht in Klartext ablegt, geschweige denn unsicher verschickt, lernt man in der ersten Lektion zum Thema Sicherheit. Ich habe natürlich auch gleich mal eine Passwort-Änderung probiert und siehe da, auch hier wurde das neue Passwort im Klartext bestätigt.

Ich habe dann also flugs eine E-Mail an die Hotelkette geschrieben:

"Ich stelle gerade fest, dass Sie Passworte in Klartext als E-Mail bestätigen.

Unglaublich!!!

Wie kann ich ein geheimes Passwort setzen?"

OK, dachte ich mir, das war's. Wird ohnehin keiner antworten. Doch weit gefehlt. Tatsächlich wurde ich in den folgenden drei Wochen zum Thema mehrfach angeschrieben und zurückgerufen. Die erste Rückmeldung war folgende kurze E-Mail:

"Leider verstehe ich nicht ganz, wie wir Ihnen anders als im Klartext das Passwort per E-Mail zukommen lassen sollten? Da wir das Passwort ausschließlich an Ihre E-Mail-Adresse versenden, ist diese vertraulich."

OK, dachte ich, bevor ich jetzt einen Roman zur Vertraulichkeit von E-Mails und zum korrekten Umgang mit Passworten schreibe, suche ich mir mal zum Verweis ein paar einschlägige Links aus dem Internet raus. Flugs nach "Passwort Klartext" gegoogelt und gleich unter den ersten zehn Treffern einen Link der Piratenpartei bekommen. Da wird ja sicherlich stehen, wie man es macht.

Doch was muss ich im verwiesenen Forum der Piratenpartei lesen – da schreibt "Hippi" im Mai 2009:

"Vielleicht sollte man das Passwort bei der Registration nicht mit als Klartext verschicken.

Da zumindest die Nachricht, die ich erhalten habe, nicht verschlüsselt war. Nur ein kleiner Hinweis, denn man sollte bei so Kleinigkeiten auf die Sicherheit achten, oder?"

Worauf "Friedel" verzweifelt antwortet:

"Sondern??? Als was sollte man sie verschicken, wenn nicht als Klartext?

Dies ist ein PhpBB. Das ist eine kostenlose Opensource Forensoftware. Natürlich könnte man das Verfahren ändern, mit dem die Registrierungsemail erzeugt wird, aber die jetzige Methode ist die Methode, die in der Software vorgesehen ist. Ich wüsste nicht, wie man das Passwort verschicken könnte, sodass es der Empfänger benutzen kann, ein potentieller Angreifer aber nicht. Falls du eine Idee hast, wäre das vielleicht für viele Leute interessant. Schließlich betreibt nicht nur die Piratenpartei, sondern auch einige Tausend andere Leute, darunter auch ich, so ein PhpBB."

Na, die Diskussion ging dann noch etwas hin und her, aber sechs Wochen später war das Problem immerhin gelöst. Geht doch!

Auch die Damen und Herren der Hotelkette lernten auffallend schnell dazu. Zweimal wurde ich dazu sogar von Entwicklern aus Italien angerufen und am 25. August (das waren keine drei Wochen nach meiner ersten E-Mail) bekam ich folgende Nachricht:

"Sehr geehrter Herr Josuttis,

gerne informiere ich Sie, dass es ab dem 18.9.2010 eine neue Sicherheitsprozedur geben wird:

Das geänderte Passwort wird in der Bestätigungs-E-Mail nicht mehr enthalten sein.

Wir bedanken uns für Ihr Verständnis und für Ihre Geduld, ..."

Wow, das nenne ich mal eine schnelle Reaktion. Entweder hat da jemand gerade nichts zu tun oder die haben ein überragendes Change-Management oder irgend jemand hat Angst vor Schlagzeilen gehabt. Wie dem auch sei, so stelle ich mir jedenfalls eine Reaktion auf Kunden-Feedback vor. Beide Beispiele zeigen, manchmal erreicht man mit Feedback doch etwas.