Postamtliches Paßwortwirrwarr

Geschrieben von Thomas Hochstein am Freitag, 3. Juni 2005

Nachdem mich mein Weg heute wieder in die Lounge führte, habe ich etliche Zeit mit vergeblichen Versuchen eines Logins bei dem T-Com-Hotspot verbracht. Das soll ja angeblich auch mit einem T-Online-Account gehen, mit Mailadresse und dem dazugehörigen Passwort. Ich hatte - nachdem T-Online selbst dazu rät, das Passwort danach zu ändern - als kluges (?) Szaf eine zusätzliche Mailadresse samt Passwort nur zu diesem Zweck angelegt - die natürlich nicht akzeptiert wurde. Die Hauptmailadresse (Alias) mit dem zugehörigen Passwort aber auch nicht.

Am Ende stellte sich heraus, daß neben der Hauptmailadresse das Webkennwort - das auch zum Login ins T-Online-Kundencenter und damit für vertragsgestaltende Erklärungen wie Tarifänderungen, Buchung von Zusatzleistungen und natürlich umfangreiche Konfigurationseinstellungen dient - verlangt wird. Warum das so sein muss. ist mir hinreichend schleierhaft.

Auf der einen Seite bietet T-Online einen wahren Wust nicht nur von Servern, sondern auch von Passworten an: für die Einwahl die Anschlußkennung und die T-Online-Nummer und das persönliche Kennwort (Einwahlpasswort), mit denen man sich auch ins Webinterface einloggen kann, für das es aber der Sicherheit halber ein weiteres Passwort, das Webkennwort gibt (falls das kompromittiert wird, kann sich der Angreifer wenigstens nicht auf Kosten des Kunden einwählen) und diverse E-Mail-Passwörter. Dazu werden diese verschiedenen Passworte inkongruent bezeichnet, mal so, mal so. Auf der anderen Seite wird für einen per se nicht sicheren Vorgang wie den Login in einen Hotspot nicht das E-Mail-Passwort verlangt, mit dem man "nur" meine E-Mail lesen und über meinen Account E-Mail versenden kann, sondern das Webkennwort, das den Zugriff auf meinen kompletten Account eröffnet (bis auf die Möglichkeit einer Einwahl). Das macht wenig Sinn.

Gut, das ganze ist SSL-verschlüsselt, aber das Problem geht doch schon damit los, dass ich mit vertretbarem Aufwand gar nicht feststellen kann, ob ich überhaupt mit dem Accesspoint des Hotspots verbunden bin oder einem Phisher. *seufz*

Trackbacks

Trackback-URL für diesen Eintrag

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Noch keine Kommentare

Kommentar schreiben

Name*

E-Mail

Homepage

Kommentar*

Antwort zu

HTML-Tags werden in ihre Entities umgewandelt.

Markdown-Formatierung erlaubt

Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.

BBCode-Formatierung erlaubt

Phone*

Gravatar, Identicon/Ycon Autoren-Bilder werden unterstützt.

Ich stimme zu, dass meine Daten verarbeitet (u.a. gespeichert und veröffentlicht) werden dürfen, wie dies in der Datenschutzerklärung dargestellt ist. Dort finden sich auch weitere Hinweise, bspw. zum Widerrufsrecht.

Formular-Optionen

Daten merken?

Bei Aktualisierung dieser Kommentare benachrichtigen