Hommel-Net Weblog

Bevor ich in den Urlaub fahre, muss ich euch noch schnell eine Geschichte erzählen, bei der ich am eigenen Leib erfahren durfte, wie man Anwender mit Sicherheitsmechanismen frustrieren kann.

Wir haben einen Dienstleister, dessen webbasiertes Angebot per Single-Sign-On von unseren Dienstrechnern angemeldet werden kann. So lange man nur Informationen abrufen will, ist alles gut. Will man aber Änderungen an Konfigurationen durchführen, prüft die Anwendung, ob das verwendete Passwort nicht älter als 60 Tage ist. Man muss das Kennwort dann ändern, wofür natürlich das aktuelle Passwort benötigt wird. Aufgrund des Single-Sign-On-Verfahrens hatte ich das Kennwort nicht mehr parat, ist aber kein Problem, sagt die Anwendung, man kann sich einfach ausloggen und dann die "Passwort vergessen"-Option auswählen. Ich melde mich also ab, werde auf die Anmeldeseite weitergeleitet und was passiert? Genau, das Single-Sign-On meldet mich sofort wieder an.

Letztendlich hatte ich nur die Möglichkeit, die Seite auf einem Rechner ausserhalb unseres Büronetzes aufzurufen und dort die "Passwort vergessen"-Funktion auszuführen. Die Mail dazu kam natürlich auf meinen Bürorechner (Gnarf). In der Mail erwartete mich nicht der übliche Link zu einer Seite, auf der ich mein Passwort neu setzen konnte, sondern sie enthielt einen "Sicherheitscode" aus einer 7-stelligen Buchstaben/Zahlenfolge, die ich dann auf dem separaten Rechner zusammen mit dem neuen Kennwort eingeben sollte. Gesagt, getan, funktionierte aber nicht. Egal wie oft ich den "Sicherheitscode" eingab, er wurde stets abgelehnt. Irgendwann habe ich dann aus einem Impuls heraus den Sicherheitscode in der Mail mal markiert. Moment, war da ein Leerzeichen hinter der Zeichenfolge? Ich konnte es kaum glauben, aber nachdem ich den Code mit einem abschließenden Leerzeichen eingab, funktionierte das Setzen des neuen Kennworts.

Mal ehrlich, ein Leerzeichen am Ende eines Codes, den man eingeben soll zu generieren, ist schon "Bastard Operator from Hell"-würdig.