Sicheres Neusetzen des Passworts
Stand: 16.06.2009
Jeder, der sich regelmäßig im Internet bewegt, registriert sich früher oder später bei diversen Diensteanbietern, um beispielsweise Dienste wie Foren oder Community-Plattformen nutzen zu können.
Zur Registrierung ist für gewöhnlich mindestens die Angabe eines Benutzernamens, eines Passworts und einer E-Mail-Adresse notwendig.
Die Anforderung, möglichst lange und sichere Passwörter zu verwenden, macht es dabei
nicht gerade einfacher, sich die verschiedenen Passwörter zu merken. So kommt es durchaus vor, dass man das Passwort zu einem Benutzerkonto einmal vergisst.
Zum Glück bieten die meisten Portale für dieses Problem eine "Passwort-Vergessen-Funktion" an, mit deren Hilfe man sich
nach Eingabe seines Benutzernamens oder seiner E-Mail-Adresse entweder das vergessene Passwort oder ein neues Passwort zuschicken lassen kann.
Viele Dienste verzichten auch auf das Versenden des Passworts und schicken lediglich einen Link, über den man dann selbstständig sein Passwort neu setzen kann.
Allen drei Vorgehensweisen ist aber die Schwachstelle gemein, dass ein Angreifer, der diese E-Mail abfängt, Zugriff auf das Passwort oder zumindest auf den Link zum Neusetzen des Passworts und sich damit im Anschluss Zugriff auf das gesamte Benutzerkonto verschaffen kann.
Wir möchten Ihnen deshalb ein Verfahren vorstellen, welches unanfällig gegen derartige Attacken ist, da zu keinem Zeitpunkt das Versenden des Passworts über den unsichern "E-Mail-Kanal" notwendig ist.
Der vollständige Inhalt des Dokuments steht nur den mit ZENDAS kooperierenden Hochschulen zur Verfügung
(nähere Informationen finden Sie hier
).