Sehr geehrte Damen und Herren,
vor einigen Tagen habe ich meinen alten Vertrag bei der Telekom erneuert. In diesem Zuge habe ich mir ein Benutzerkonto bei der Telekom erstellt. Eigentlich wollte ich das nicht tun, aber um seine neue Sim-Karte zu aktivieren, muss man ein Online Konto bei der Telekom besitzen. Übrigens hat man mich darauf beim Verkauf nicht hingewiesen, ich ging davon aus, dass meine alte Sim-Karte automatisch deaktiviert und die neue automatisch aktiviert wird. Ein Hinweis wäre ganz nett gewesen.
Ich musste mir also ein Benutzerkonto bei der Telekom erstellen. Dabei sind mir zwei grundlegende Sicherheitsprobleme aufgefallen, die ich so eigentlich nicht hinnehmen möchte.
1) Benutzername ist automatisch die angegebene EMail-Adresse und gleichzeitig auch die Handynummer (falls eine Verknüpfung im Konto erstellt wird, was bei mir Aufgrund der Sim-Karten Aktivierung notwendig war)
2) Das Passwort darf ANGEBLICH bis zu 16 Zeichen lang sein und Zahlen, Groß-, Kleinbuchstaben sowie Sonderzeichen enthalten. TATSÄCHLICH, konnte ich nur 12 Zeichen wählen (jedes längere Passwort hat zum Fehler geführt) und wenn man sich in der Magenta TV App einloggen will, geht das nur, wenn das Passwort keine Sonderzeichen enthält (siehe https://telekomhilft.telekom.de/t5/Fernsehen/magenta-tv-login/td-p/3546636).
Zu 1) Benutzername und Email Adressen sind bei fast allen Anbietern zwei VERSCHIEDENE Felder in der Datenbank. Der Grund ist, dass EMail Adressen weitergegeben werden. Ein potentieller Angreifer kommt sehr einfach an den ersten Authentifizierungsfaktor, wenn EMail und Benutzername identisch sind. Seine Handynummer gibt man, genau so wie seine Email Adresse, sehr häufig weiter (oder schreibt sie sogar in die Email Signatur). Mit der Handynummer hat der Angreifer sogar zwei Möglichkeiten den ersten Authentifizierungsfaktor zu knacken. Darüberhinaus sollte man zur Authentifizierung stets Werte/Strings benutzen, die eindeutig (erfüllt) und veränderbar (nicht erfüllt) sind. Meine Handynummer ist nicht veränderbar. Wenn Sie "geklaut" wird, habe ich keine Möglichkeit sie zu ändern (Das ist auch der Grund warum Fingerabdrücke ganz schlechte Passwörter abgeben).
Das sind absolute basics in IT Sicherheit. Ich habe keinen besonderen Hintergrund in IT Sicherheit und weiß das trotzdem. Was ist mit euch los?
Zu 2) Es ist weitläufig akzeptierte Meinung, dass Passwörter mindestens 16 Zeichen haben müssen, um sicher zu sein. Alles darunter ist ein Spiel mit dem Feuer. Aber ich konnte ja nicht Mal 16 Zeichen angeben, obwohl die Passwort-Richtlinien das behauptet haben. Nach schrittweiser Verkleinerung der Passwortlänge, waren 12 Zeichen, das erste was angenommen wurde. Ein Passwort aus 12 Zeichen ist NICHT sicher. Mit einem guten Computer kann man das sogar brute forcen!
Als ich mich vor wenigen Minuten auf dem Handy in die Magenta TV App einloggen wollte und gescheitert bin, fand ich dann den oben verlinkten Artikel. Ich muss jetzt also auch noch Sonderzeichen aus meinem Passwort verbannen. Klasse! Fabelhafte Leistung! Echt talentierte Leute bei euch!
Leute, ihr schafft es nicht mal eine annehmbare Sicherheitsarchitektur für Benutzerkonten zu entwerfen und wollt jetzt in 5G machen? Lernt erstmal die Basics! Hasht ihr die Benutzernamen und Passwörter wenigstens, oder speichert ihr die einfach im Klartext in der Datenbank?
Wie geht es jetzt weiter? Kurzfristig muss ich natürlich eure sehr sehr schlechte IT Sicherheitspolitik hinnehmen. Gibt es mittelfristig für mich einen Hebel die Telekom zu einer vernünftigen Sicherheitspolitik zu zwingen? Vielleicht weiß jemand aus der Community mehr dazu?
Mit freundlichen Grüßen
Johannes
und brute force Methoden funktionieren nur, wenn du den Passwort Hash offline hast - hast du aber nicht
