< Debian 9 "Stretch" veröffentlicht

Wie man Anwender frustriert

Bevor ich in den Urlaub fahre, muss ich euch noch schnell eine Geschichte erzählen, bei der ich am eigenen Leib erfahren durfte, wie man Anwender mit Sicherheitsmechanismen frustrieren kann.

Wir haben einen Dienstleister, dessen webbasiertes Angebot per Single-Sign-On von unseren Dienstrechnern angemeldet werden kann. So lange man nur Informationen abrufen will, ist alles gut. Will man aber Änderungen an Konfigurationen durchführen, prüft die Anwendung, ob das verwendete Passwort nicht älter als 60 Tage ist. Man muss das Kennwort dann ändern, wofür natürlich das aktuelle Passwort benötigt wird. Aufgrund des Single-Sign-On-Verfahrens hatte ich das Kennwort nicht mehr parat, ist aber kein Problem, sagt die Anwendung, man kann sich einfach ausloggen und dann die "Passwort vergessen"-Option auswählen. Ich melde mich also ab, werde auf die Anmeldeseite weitergeleitet und was passiert? Genau, das Single-Sign-On meldet mich sofort wieder an.

Letztendlich hatte ich nur die Möglichkeit, die Seite auf einem Rechner ausserhalb unseres Büronetzes aufzurufen und dort die "Passwort vergessen"-Funktion auszuführen. Die Mail dazu kam natürlich auf meinen Bürorechner (Gnarf). In der Mail erwartete mich nicht der übliche Link zu einer Seite, auf der ich mein Passwort neu setzen konnte, sondern sie enthielt einen "Sicherheitscode" aus einer 7-stelligen Buchstaben/Zahlenfolge, die ich dann auf dem separaten Rechner zusammen mit dem neuen Kennwort eingeben sollte. Gesagt, getan, funktionierte aber nicht. Egal wie oft ich den "Sicherheitscode" eingab, er wurde stets abgelehnt. Irgendwann habe ich dann aus einem Impuls heraus den Sicherheitscode in der Mail mal markiert. Moment, war da ein Leerzeichen hinter der Zeichenfolge? Ich konnte es kaum glauben, aber nachdem ich den Code mit einem abschließenden Leerzeichen eingab, funktionierte das Setzen des neuen Kennworts.

Mal ehrlich, ein Leerzeichen am Ende eines Codes, den man eingeben soll zu generieren, ist schon "Bastard Operator from Hell"-würdig. :-)

Trackbacks

Trackback-URL für diesen Eintrag

Dieser Link ist nicht aktiv. Er enthält die Trackback-URI zu diesem Eintrag. Sie können diese URI benutzen, um Ping- und Trackbacks von Ihrem eigenen Blog zu diesem Eintrag zu schicken. Um den Link zu kopieren, klicken Sie ihn mit der rechten Maustaste an und wählen "Verknüpfung kopieren" im Internet Explorer oder "Linkadresse kopieren" in Mozilla/Firefox.

Keine Trackbacks

Kommentare

Ansicht der Kommentare: Linear | Verschachtelt

Marius Quabeck am :

*

So einen Fall hatte ich letztens auch, allerdings konnte ich den Restore Key nur per CLI abrufen. Da hatte sich das Leerzeichen dann als erstes Zeichen eingeschlichen und wie es im Terminal eben so ist habe ich es dann übersehen.

Nach 4 Versuchen hat mich das System dann komplett ausgesperrt (ironischer Weise hab ich große Teile der SSO Lösung selbst geschrieben und hätte drauf kommen sollen) und ich durfte zum Server fahren und mich vor Ort neu anmelden :-D

Kommentar schreiben

Gravatar, Twitter, Pavatar, MyBlogLog, Favatar Autoren-Bilder werden unterstützt.
Umschließende Sterne heben ein Wort hervor (*wort*), per _wort_ kann ein Wort unterstrichen werden.
Standard-Text Smilies wie :-) und ;-) werden zu Bildern konvertiert.
Die angegebene E-Mail-Adresse wird nicht dargestellt, sondern nur für eventuelle Benachrichtigungen verwendet.
Wenn Du Deinen Twitter Namen eingibst wird Deine Timeline in Deinem Kommentar verlinkt.
Bewirb einen Deiner letzten Artikel
Dieses Blog erlaubt Dir mit Deinem Kommentar einen Deiner letzten Artikel zu bewerben. Bitte gib Deine Blog URL als Homepage ein, dann wird eine Auswahl erscheinen, in der Du einen Artikel auswählen kannst. (Javascript erforderlich)
(Bedingung: 1 Kommentare geschrieben)
tweetbackcheck