Springe zum Hauptinhalt Profilbild Hartmut Goebel

Hartmut Goebel

Diplom-Informatiker, CISSP, CSSLP, ISO 27001 Lead Implementer



Anfrage
Logo Goebel Consult

TrustCenter.de nimmt es mit der Sicherheit nicht mehr so genau

Passwörter im Klartext und unnötige Daten sammeln

Passwörter im Klartext und unnötige Daten sammeln

Früher konnte man bei TrustCenter.de ohne großen Aufwand ein Zertifikat erstellen, das die Gültigkeit der E-mail-Adresse bestätigt. Das ist völlig ausreichend, um E-mails verschlüsselt zu verschicken und empfangen.

Heute nun ist mein Zertifikat abgelaufen und ich benötige ein neues. Ich habe mich entschieden, zur Abwechslung mal wieder eine Zertifikat von "TC Trustcenter" zu nehmen. Immerhin hat die Firma ihren Sitz in Deutschland.

/images/2013/tc-trustcenter-2013-1.png

Von TC Trustcenter war ich abgekommen, weil sie zu viele Daten haben wollen, um ein simples Zertifikat nur auf die E-mail-Adresse zu erstellen. Ich hatte mich damals sogar beim Hamburger Datenschutzbeauftragten beschwert, der auch nachgefragt hat.TC Trustcenter hat dann anscheinend irgendwas von "brauchen wir, um im Notfall die Zertifikatsnehmer zu kontaktieren" erzählt und der Datenschutzbeauftragte war zufrieden. Ich nicht!

Trotzdem heute ein neuer Versuch -- und ich bin leicht entsetzt!

Noch immer werden die Adresse und die Telefonnummer abgefragt – das Formular lässt sich aber mit Dummydaten (00000, - und ähnlichem) abspeisen. Aber:

/images/2013/tc-trustcenter-2013-2.png

Das Notfallpasswort darf nur noch 15 Zeichen lang sein und nur noch aus den Zeichen A-Z, a-z, 0-9 sowie §%&*# bestehen. Kein Unterstich, kein Bindestrich (ich habe es ausprobiert). Eine sehr eigenartige Einschränkung. Solche Einschränkungen kenne ich, wenn die Datenbank das Passwort im Klartext speichert. Denn wenn es – entsprechend dem Stand der Technik – als Hash gespeichert wird, benötigt man diese Einschränkungen nicht.

/images/2013/tc-trustcenter-2013-3.png

Als Sahnehäubchen: Das Passwort wird auf der Bestätigungsseite dann auch schön im Klartext angezeigt. Naja, dann kann man es wenigstens schön ausdrucken, gell?!

Nachtrag: Das Thema hat sich quasi erledigt: TC Trustcenter wird ab 31. Oktober 2013 keine Zertifikat mehr ausstellen