Als ITler ist man immer der Spielverderber, der den Anwendern Unmögliches abverlangt. Dazu gehört beispielsweise auch, nicht überall das gleiche Passwort zu verwenden.
Dazu erzähle ich gerne die folgende Anekdote:
Ein Bekannter arbeitete früher bei einem kleinen Unternehmen, das gebrauchte Hardware vertrieb – vor allem über das Internet. Also hatten sie natürlich auch einen Webshop. Damit man bei dem nicht jedes Mal wieder alle Daten eingeben musste, gab es natürlich auch die Möglichkeit, sich zu registrieren. Der Shop war damals (in den 90ern) noch selber gebaut und Sicherheit war ein Fremdwort. So war es auch kein Problem, in der Datenbank nachzusehen, welche Daten hinterlegt wurden. Interessant waren bei der Idee, die sein Kollege und er hatten, die E-Mail-Adresse und das Passwort zur Anmeldung im Webshop.
Die beiden suchten sich Mail-Adressen bei Freemail-Anbietern wie GMX oder Web.de und testeten die angegebenen Passworte Bei der Anmeldung dort:
3 Versuche -> 3 Treffer !!
Ein paar fiktive Überlegungen:
Angenommen ich hätte das Passwort zu deinem Mailaccount. Ich kann nun alle deine E-Mails lesen – geschriebene und empfangene. Wäre für dich zu hoffen, dass da nichts Kompromittierendes drin steht.
Dein Mail, mein Mail
Selbst wenn nicht: Erst einmal kann ich das Kennwort ändern, damit du nicht mehr rein kommst. Das bedeutet für dich Ärger. Aber mach dir nichts daraus: Darüber wirst du dich nicht ärgern – bald.
Jedenfalls sollte ich einigen deiner Freunde unbedingt schreiben. Schließlich brauchst du dringend Geld – wenn ich hier fertig bin. Nutzt du diese Mail-Adresse auch zur Bestellabwicklung? Da kann ich gleich ein paar Sachen reklamieren.
Du bist bei einer politischen Partei? In einer Glaubensgemeinschaft? Bei einem Verein? Wieso denn das? Keine Angst: Was mir davon nicht gefällt kann ich einfach kündigen. Die Mails kann ich dann löschen. Merkst du gar nicht.
Ein Freund, ein guter Fr… naja, war mal.
Hast du Nachrichten von irgendwelchen Social-Media-Plattformen? LinkedIn? Insta? Facebook? … da kann ich doch gleich nachsehen, ob dein Passwort dort funktioniert. Wenn nicht, auch kein Problem. Ich kann über deinen Mail-Account ja einfach ein neues Passwort vergeben. Sollte ich deine Freunde bisher noch nicht gekannt haben… jetzt kann ich sie genau kennenlernen. Denn sie vertrauen mir ja – naja, eigentlich dir – zumindest bis heute.
Dein „BezahlFreund“ bin jetzt ich
Finde ich jetzt unter den E-Mails z. B. eine Mail mit dem Hinweis auf eine AGB-Änderung deines PayPal-Accounts, dann weiß ich, dass auf die Mailadresse eben auch PayPal registriert ist. Da teste ich doch gleich mal dein Passwort bei PayPal? Wenn es nicht geht, macht das auch nichts. Ich kann mir ja eine Mail zum Zurücksetzen des Passwortes schicken lassen. Damit bist du dann auch da nicht mehr in der Lage, dich anzumelden.
Ein kurzer Blick verrät mir nun vielleicht, dass dein PayPal mit einer Kreditkarte verbunden ist: Partytime! Was könnte ich denn bestellen? Pizza an die Adresse zwei Blocks weiter? Stell ich mich dort vor die Tür und warte: Guten Appetit! Und für dich was von Beate Uhse.
Du kannst dir vorstellen, was ich mir noch so alles einfallen lassen könnte. Mit einer kurzen Google-Suche nach deiner Mailadresse oder deinem Namen (steht ja in jeder Mail) etwa. So kriege in kürzester Zeit ein umfangreiches Profil von dir. Ich muss auch gar nichts ändern und einfach nur passiv mitlesen. In deinem Fall muss ich mit einer Passwortänderung ja nicht rechnen, oder?
Kurz und gut: Lies mal nach, wozu ein Passwortspeicher gut ist und was Zwei-Faktor-Authentifizierung ist. Es könnte sich lohnen.
Ich habe diesen Eintrag geschrieben, weil ich diese Geschichte sehr oft erzählt habe. Oft steht dann jemand in der Runde, der (oder die) plötzlich ein klassisches „Ich-muß-kurz-weg“-Gesicht hat. Eine(r) ist immer dabei.
Jetzt muss ich nicht mehr erzählen und statt dessen Werbung für meine kleine Webseite machen.