Sicherheitsbeschränkung


Ich bin ja eigentlich nicht besonders paranoid. Ich schließe nicht mal nachts die Tür ab. Ich blogge das sogar. Aber meine Passwörter sind alle recht sicher, einfach, weil die Methode, die ermöglicht dass ich mir die merken kann, gleichzeitig auch sehr sichere komplexe Passwörter erzeugt. Auch darüber habe ich übrigens mal gebloggt.

Wieso schränken nun so viele Anbieter, zuletzt stolperte ich beim ADAC und bei meinem Gasanbieter darüber, die Wahl des Passworts zu ungunsten der Sicherheit ein? Während z.B. GMX sogar verlangt, dass man mindestens eine Zahl verbaut, und Server Möglichkeiten bieten, den Benutzern eines Netzwerks zu diktieren, dass deren Passwörter eine bestimmte Komplexität haben müssen, beschränkt Pearl, ein Ein-Euro-Onlineshop, die Länge des Passworts auf 8 Zeichen. Lächerlich.

Es ist ja nicht so, dass man kein nahezu unknackbares Passwort in 8 Zeichen quetschen könnte, aber ich verstehe es einfach nicht. Ich programmiere selbst seit vielen Jahren, auch PHP mit MySQL, und ich sehe wirklich nur einen programmiertechnischen Grund für sowas: Der Programmierer ist zu faul, eine ordentliche Prüfung gegen Datenbankhacks (SQL-Injects) für die Passwörter einzubauen, und verbietet daher z.B. alles außer Buchstaben. Wenn das der Grund ist, ist der Programmierer aber eh schlecht, denn entweder prüft er dann z.B. den Namen oder die Adresse gar nicht oder er ist zu doof die selbe Routine auf das Passwort anzuwenden.

Im Fall meines Gasanbieters war es so, dass ich mir für die Dienste, die meine Wohnung betreffen, ein neues Passwort ausgedacht hatte, welches ausnahmsweise mal ein Komma enthielt. Kommata sind dort aber verboten. Warum? Anderswo verbietet man andere Sonderzeichen, schränkt gar auf Buchstaben und Zahlen ein oder gibt Maximallängen vor. Ich verstehe es nicht. Hält man den Nutzer für unfähig, sich das Passwort zu merken, und zwingt ihn deshalb zu weniger komplexen Passwörtern? Das kann's doch nicht sein. Hat jemand eine bessere Idee? Ansonsten werde ich mal alle von mir genutzten Dienste anschreiben warum sie das tun und auf diesen sowie den oben verlinkten Artikel verweisen, mal sehen, ob was passiert.