Vergessenes Passwort kann ab sofort über E-Mail-Adresse zurückgesetzt werden
Eine neue Funktion erleichtert im IDM Self-Service (WAID) künftig das Vorgehen bei vergessenem Passwort. Zusätzlich zu den Sicherheitsfragen hat der Benutzer nun die Möglichkeit, eine beliebige E-Mail-Adresse zum Zurücksetzen des Passwortes zu hinterlegen. Zur Aktivierung dieser Funktion muss die hinterlegte E-Mail-Adresse einmalig bestätigt werden. Hierfür erhält der Benutzer an die eingetragene Adresse eine E-Mail mit einem Link, den er innerhalb von 24 Stunden anklicken muss.
Bei vergessenem Passwort kann der Nutzer dann eine E-Mail an die angegebene Adresse anfordern und das Passwort durch Anklicken des darin enthaltenen Links innerhalb von 24 Stunden neu setzen. Das Rücksetzen des Passwortes über die Sicherheitsfragen ist trotz der neuen Funktion nach wie vor möglich.
Leider erfolgt die Kommunikation zwischen E-Mail-Servern prinzipiell unverschlüsselt. Die neue Funktion ist daher vor diversen Attacken (sogenannte “man-in-the-middle-Attacken”) nicht geschützt und birgt die (allerdings geringe) Gefahr, von Dritten missbraucht zu werden.
Das am häufigsten zu erwartende Problem wird leider nicht zu umgehen sein: Eine nicht existente oder nicht zustellbare externe Mailbox.
New Function in IdM Self-Service
Forgotten password can now be put back via e-mail address.
A new function makes the process of a forgotten password easier in the IdM Self-Service (WAID). Additionally to the safety questions the user is able to deposit any e-mail address to put back the password. For the activation of this function the deposited e-mail address needs to be confirmed once. Therefore the user will receive an e-mail with a link to the deposited address which needs to be clicked within 24 hours.
In case of a forgotten password the user can request an e-mail to the deposited address and can, within 24 hours, set a new password by clicking the link in the e-mail. The password can still be reseted with the safety questions.
Unfortunately the communication between the e-mail servers happens uncoded. Therefore the new function is not protected from different attacks (so called “man-in-the-middle-attack”) and has also the risk to be abused by thirds.
The most likely problem that can not be avioded: a non existing or not reachable extern mail box.
PGP Verschlüsselung wäre ja eine feine Sache
Die Vorbehalte gegen unverschlüsselte E-Mails sind ja in einem gewissen Sinn berechtigt. Wie wäre es denn mit eine Funktion, die es erlaubt, einen öffentlichen PGP-Schlüssel zu hinterlegen?
Ohnehin könnte im Bereich IdM auch die Zertifizierung von Schlüsseln angeboten werden…
Aufwand und Nutzen …
Die Gefahr, dass eine E-Mail (das betrifft prinzipiell jede E-Mail) auf dem Weg zwischen MTAs abgefangen wird ist m.E. verschwindend gering. Das rechtfertigt nicht den Aufwand, die E-Mails mit den Links für die Passwort-Reset-Funktion zu verschlüsseln. Zum Aufwand auf Server-Seite kommt noch der Beratungsaufwand, um den Kunden zu erklären, wie sie damit umgehen müssen. Ich denke, man würde die Funktionalität ad absurdum treiben, wenn man eine einfache Funktion so verkompliziert, dass sie fast niemand einsetzen kann. Ich kenne auch keinen Anbieter einer E-Mail-gestützten Passwort-Reset-Funktion, der die E-Mails verschlüsselt.
Jeder, der ein Problem darin sieht, kann ja die Funktion ignorieren und nur Challenge and Response nutzen.
Die Möglichkeit, pro Nutzer einen öffentlichen Schlüssel für die Kommunikation zu hinterlegen, werde ich überdenken, aber nicht hoch priorisieren. Ein veralteter Schlüssel kann auch nerven, wenn dadurch kein Passwort-Reset mehr klappt. Die Tatsache, dass der Kunde selbst schuld ist, bringt niemandem etwas.
Das Zertifizieren von Schlüsseln ist Sache einer CA-Infrastruktur. Wenn wir da etwas haben, was wir nach aussen anbieten wollen, dann kann es gut sein, dass in IdM ein Link dorthin angeboten wird. Die Zertifizierung von Schlüsseln gehört aber nicht zum Kerngeschäft von IdM.