Folgende Email habe ich der Arbeiterkammer geschickt:

Liebes AK-Team,

Ich finde es super, dass Ihr mit der AK Bibliothek digital eine Möglichkeit bietet, über 3000 internationale, nationale und regionale Zeitungen in mehr als 60 Sprachen aus mehr als 100 Ländern zu konsumieren. Als ich versuchte, mich für dieses Angebot zu registrieren, bin ich allerdings über eine technische Hürde gestolpert, die Ihr zeitnah reparieren wollt.

Um die „AK Bibliothek digital” nutzen zu können, müssen sich Benutzer:innen ein Konto bei der „AK Bibliothek (in meinem Fall) Wien” anlegen. Über die DSGVO-Konformität der erhobenen Daten wollen wir jetzt nicht diskutieren, gerade das Geburtsdatum irritiert mich sehr.

Worüber wir sprechen sollten, sind die Passwort-Felder. Unter dem ersten Passwortfeld führt Ihr an:

Format: mind. 8 Zeichen, jeweils 1 Kleinbuchstabe, 1 Großbuchstabe, 1 Zahl und 1 der Sonderzeichen #+*~:.-_,;=()[]{}$!?|^

Gemäß den Vorgaben (OWASP Authentication Cheat Sheet, OWASP Application Security Verification Standard (ASVS)) der Open Worldwide Application Security Project (OWASP), welche sich wiederrum auf die Vorgaben der NIST (NIST Special Publication 800-63B: Digital Identity Guidelines) beziehen, gelten Passwörter mit weniger als 15 Zeichen als schwach, wenn MFA nicht aktiviert ist.

Wesentlich schwerwiegender ist allerdings die Tatsache, dass ihr in der oben angeführten Beschreibung KEINE Maximallänge für das Passwort angebt, im HTML-Code allerdings eine Maximallänge definiert:

<input type="password" name="password" id="password" … maxlength="32" …

Was passiert, wenn eins, wie ein normaler Mensch halt, das Passwort aus einem Passwortmanager heraus generiert/kopiert ist, dass das Passwort/die Passphrase nach 32 Zeichen kommentarlos und ohne Warnung abgeschnitten wird. Was dazu führt, dass sich Eure Kund:innen nicht anmelden können.

Die OWASP meint dazu in Ihren Dokumenten (siehe oben):

• Die maximale Passwortlänge sollte mindestens 64 Zeichen betragen, um Passphrasen zu ermöglichen.
• Kürzen Sie Passwörter nicht stillschweigend.
• ASVS 5.0, 6.2.5: Stellen Sie sicher, dass Passwörter beliebiger Zusammensetzung verwendet werden können, ohne dass Regeln die zulässigen Zeichenarten einschränken. Es darf keine Mindestanzahl an Groß- oder Kleinbuchstaben, Ziffern oder Sonderzeichen vorgeschrieben sein.
• ASVS 5.0, 6.2.9: Stellen Sie sicher, dass Passwörter mit mindestens 64 Zeichen zulässig sind.

Siehe dazu auch den großartigen xkcd 936 „Password Strength” von Randall Monroe.

Ich würde mich sehr freuen, wenn Ihr Euer Anmeldeformular zeitnah an den Stand der Technik anpassen könntet.

P.S.: Ich hoffe sehr, dass Ihr die Passwortregeln nicht nur im Browser

<input type="password" name="password" id="password" … pattern="^(?=.*[a-z])(?=.*[A-Z])(?=.*\d)(?=.*[#+*~:.\-_,;=()\[\]{}%$!\?\|\^])(?!.*\s)[a-zA-Z\d#+*~:.\-_,;=()\[\]{}%$!\?\|\^]*$">

sondern auch am Server im Backend verifiziert. Ich hab mir jetzt nicht auch noch die Zeit genommen, das zu überprüfen. ;)

Tagged as: AK, cybersecurity, password, security | Author: Martin Leyrer
[Freitag, 20260501, 14:15 | permanent link | 0 Kommentar(e)