Sicherheit bei Xantron Online Part 2
Vor einiger Zeit berichtete ich über die Sicherheit bei Xantron Online. Genauer gesagt über die Tatsache, dass dort das Default Passwort die Postleitzahl ist. Jetzt bin ich dazu gekommen, mal zu schauen, was passiert wenn man bereits ein sicheres Passwort hat und dieses per Web anfordert, weil es vergessen worden ist.
Nunja, man muss halt die Postleitzahl eingeben, und die Kundennummer natürlich, danach wird das Passwort in Plaintext (unverschlüsselt) an die eingetragene E-Mail Adresse versandt.
Jetzt sagen sicherlich einige: Prima, ist ja sicher, da ja nur ich an das Mailkonto komme.
Allerdings könnte die Mail ja auf ihrem Weg von Xantron zu mir 100 mal abgehört worden sein, und da steht immerhin mein Passwort in lesbar drin. Und auch wenn sie nicht abgehört worden ist, gefällt mir die "Sicherheit" immer noch nicht so ganz, denn wenn Xantron mir das Passwort zuschicken kann, muss es unverschlüsselt in der Datenbank stehen, und somit könnte ein böser Mitarbeiter dieses dort rauslesen und versuchen sich irgendwo anders mit meinem Passwort einzuloggen. Google verrät dem ja, wo ich alles angemeldet bin.
Nunja, mal schauen was das so wird. Zumindest rennt der Server stabil und die Anbindung stimmt auch.
Comments