GMX ohne Passwortsicherheit
Bekanntlicherweise wurden viele E-Mail-Konten bei GMX gehackt.[1] Die Hacker verwenden sogar das persönliche Adressbuch und verschicken im Namen des Opfers Spam-Mails an die Kontakte. Das Erste was man dann natürlich macht, ist es das Passwort abzuändern (und dabei möglichst sicher zu gestalten).
Man wundert sich dann allerdings, wenn man sich bei GMX anmeldet und feststellt, dass es danach diverse fehlgeschlagene Anmeldeversuche gibt, die nicht von einem selbst stammen. Versucht da eine Person erneut in mein Account einzudringen? Ist es vllt. schon erneut gehackt?
Eine Analyse führte auf die Spur der praktischen Smartphones. Am eigenen Handy musste das Passwort nämlich nicht geändert werden und trotzdem werden E-Mails abgerufen. Wie das? Wird das Passwort etwa "synchronisiert"? Benötigt das Gerät kein Passwort? Kommt der Hacker dann evtl. auch ohne Passwort in mein Konto? Bekommt ein Hacker auf seinem Smartphone das neue Passwort synchronisiert und könnte dieses dann auslesen?
Ein Blick in die Sicherheitsoptionen von GMX (Passwortänderung) beantwortet dann diese Fragen. Die Apps auf Mobiltelefonen benötigen einmalig ein Passwort und sind dann quasi bei GMX "registriert"; nachfolgend ist keine Eingabe eines Passworts mehr nötig bzw. das alte funktioniert weiterhin.
Eine krasse Sicherheitslücke, geschaffen um es den modernen Smartphone-Benutzer einfacher zu machen (und vermutlich um nicht jedesmal ein gespeichertes Passwort zu übertragen). Ein Hacker braucht so nur ein Mal das Passwort und kann danach dem Opfer auf den Fersen bleiben. Eine bloße Passwortänderung ist also nutzlos. Aber GMX bietet zumindest die Möglichkeit auch die Passwörter auf den Mobilgeräten zurückzusetzen; man muss danach halt einmalig das neue Kennwort am Mobiltelefon eingeben.