Sicherheitsrisiko: unverschlüsseltes Login
Im letzten Beitrag hab ich vom einem neuen Dienst “SimpleSnip” berichtet und auch meinen positiven Eindruck zum Ausdruck (sic!) gebracht. Allerdings wird dieser, wie leider bei den allermeisten Diensten stark getrübt. Das hängt mit dem Login zusammen:
Heute ist es nicht unüblich sich in mehr oder weniger offenen LANs und WLANs zu bewegen. Auch beim Barcamp Hamburg am Wochenende wird es wohl auch ein offenes WLAN für alle Teilnehmer geben. Weiter ist es, wie ich letztens bei vowe bestätigt bekommen habe, nicht unüblich bei diesen 1000 kleinen Diensten den selben Benutzer und das selbe Passwort zu verwenden. Und trotzdem sehen die meisten Dienste keine Notwendigkeit ihren Login, ja die gesamte Nutzung des Dienstes mit SSL zu verschlüsseln und durch https sicher(er) zu machen, so dass ein Cracker, der in einem solchen offenen (W)LAN mitsnifft, die Logins von vielen Menschen zu enorm vielen Diensten bekommen kann. Über den anrichtbaren Schaden möchte ich gar nicht nachdenken.
Hätte ich meine Blogadministration nicht schon vor ein paar Wochen auf https umgestellt, was allerdings scheinbar erhebliche Geschwindigkeitseinbußen zur Folge hat, da ich umständlich umleiten muss um das Shared SSL der Domain nutzen zu können, würde ich dieses Wochenende aus Sicherheitsbedenken nicht vom Barcamp berichten oder mir einen sehr eingeschränkten Extra-Account dazu anlegen.
8 Kommentare - Kommentieren
1 Frank Helmschrott
Martin, offen gesagt, hab ich mich damit bisher nicht beschäftigt, da die Problematik öffentlicher Netze in der Masse bisher nicht aufgetreten ist. Ich werd mir das mal anschauen, bezweifle aber, dass es kurzfristig umsetzbar ist. Wenn dann macht das nur für den Login bzw. eingeloggte Nutzer sinn. Gäste schreckt das i.d.R. wohl eher ab.
08.06.2007, 12:00 Uhr
2 Martin Hiegl
Dem Benutzer - ob Gast oder User - fällt das häufig gar nicht auf ob da jetzt vorne plötzlich ein https steht oder nicht. Xing setzt das ziemlich gut um. Das Problem ist wohl eher bei vieler der kleinen Low-Budget-Diensten, dass so ein Zertifikat einiges kostet - AFAIK um die 100 €/$ im Jahr.
08.06.2007, 12:35 Uhr
3 Frank Helmschrott
Hallo Martin,
ein Zertifikat ist für diese Sicherheitsstufe IMHO eigentlich auch nicht nötig, nur dann kommt eben der entsprechende Warnhinweis der abschreckt.
Es geht hier ja auch nicht um Datensicherheit ähnlich einer Bank oder einem Shop (Kreditkartendaten) sondern eher um einen verschlüsselten Login.
Selbiger ist nun bei SimpleSnip möglich - ohne Zertifikat - Umschaltung rechts oben beim Schloß-Symbol. Ich hoffe, das genügt erstmal als Barcamp-Zwischenlösung. ;)
08.06.2007, 13:03 Uhr
4 Martin Hiegl
Genial, auch wenn die Ladezeit erheblich langsamer wird. Einen kleinen Geschwindigkeitsunterschied spür ich auch hier in meiner Administration, was ich aber eher darauf zurückführe, dass das SSL geshared wird.
Ich glaube, dass heute vielfach der verschlüsselte Login durchaus mit der Bedeutung der Kreditkartendaten mithalten kann. Eben weil überall der gleiche Login genutzt wird.
08.06.2007, 13:15 Uhr
5 Frank Helmschrott
Der Geschwindigkeitsunterschied kommt einfach von der Ver/Entschlüsselung ;) Die muss ja auch irgendwann gemacht werden ;) Daher machts auch wenig sinn ein komplettes Angebot in SSL zu packen.
Der Vergleich zwischen Login und Kreditkartendaten hinkt insofern, dass natürlich beide verschlüsselt sein sollen, bei den Kartendaten muss ich aber auch wissen wem das Zertifikat gehört und wem ich hier meine Daten anvertraue. Beim Login sehe ich das weniger spannend, da der halbwegs verantwortungsbewusste Bürger ohnehin nicht beim Webservice um die Ecke die gleichen Daten verwenden sollte wie für die Logins zu wichtigen Diesten (Mail, Bank, etc.)
08.06.2007, 13:23 Uhr
Reply to “Sicherheitsrisiko: unverschlüsseltes Login”