Da Internetnutzer, welche lediglich ein wenig surfen und emails schreiben wollen, keine wirkliche Vorstellung von Sicherheitskonzepten haben, sollten default-Einstellungen so viel Sicherheit wie möglich bringen. Dazu ein zweilfelhaftes Beispiel.

Als ich vorkurzem eine email-Adresse für Bekannte bei gmx einrichtete, nahm ich wohlwollend zur Kenntniss, dass Passwörter auf Stärke hin überprüft werden. Als Beispiele werden Schema wie z.B. Kfr5Tgg2 angeführt. Eigentlich eine lobenswerte Sache.

Als ich mich daraufhin anmelden wollte, mußte ich feststellen, dass nirgends ein Link zu einer SSL-Anmeldung vorhanden war. Im Klartext heißt das, dass sich jeder Unbedarfte über HTTP einloggt, was die Überprüfung der Passwortstärke ad absurdum führt. Schlimmer noch, den Nutzern wird dadurch eine Sicherheit vorgegaugelt, die de facto nicht exisitert.

Erst nach längerem Suchen in den Hilfeseiten fand ich dann, dass eine gesicherte Anmeldung möglich ist, wenn man als Adresszeile https://… benutzt. Als krönender Abschluss kommt hinzu, das www.gmx.de ein Link auf www.gmx.net/de ist, was den Browser hinsichtlich Zertifikat sauer aufstoßen läßt. Spätestens an dieser Stelle ist auch derjenige Nutzer, der sich vielleicht doch mit der Materie befassen will, endgültig überfordert und klickt genervt auf ok. (Wenn er sich das einmal angewöhnt hat, merkt er auch einen evtl. mitm-Angiff nicht mehr…)

Was spicht eigentlich dagegen, web-logins generell über ssl zu fahren? Mir fällt jedenfalls nicht ein vernünftiger Grund dagegen ein. Dazu noch eine ordentliche und sorgfältige Zertifikatverwaltung, und wir hätten eine deutlich erhöhte Sicherheit per default.

Aber na ja, wer kehrt…