Neue Sicherheitsvorkehrungen bei E-Mail-Dienstleister GMX
Der E-Mail-Service GMX will mehr fĂĽr die Sicherheit der Kundenkonten tun. Er hat nach eigenen Angaben mehrere potenzielle Angriffspunkte abgestellt.
Der E-Mail-Service GMX will mehr fĂĽr die Sicherheit der Kundenkonten tun. Er hat nach eigenen Angaben mehrere potenzielle Angriffspunkte abgestellt.
So verzichtet der Dienst ab sofort auf den Mechanismus der Geheimabfrage: Bisher konnten Nutzer, die ihr Passwort vergessen hatten, durch die Beantwortung einer von ihnen zuvor eingegebenen Frage vollen Zugang zum Account bekommen. "Die Nutzer verwenden häufig eine zu leicht zu erratende Geheimfrage beziehungsweise -antwort. Das gesamte Geheimfrage-Prozedere wird deshalb abgeschafft", erklärte GMX heute. Stattdessen kann sich der Nutzer einen Freischalt-Code an einen alternativen E-Mail-Account oder aber per SMS zuschicken lassen. Um Missbrauch vorzubeugen, sei der versendete Zugangs-Code nur für kurze Zeit gültig und könne "in einem bestimmten Zeitintervall nur einmal ausgelöst werden".
Um "Brute-Force"-Attacken den Garaus zu machen, sperrt GMX das Konto nach drei misslungenen Login-Versuchen am Web-Frontend für zehn Minuten, wie es beim POP3-Zugang bereits üblich ist. Außerdem muss das Passwort mindestens acht Zeichen lang sein "und ein bestimmtes Mindestmaß an Komplexität aufweisen". Der User werde jetzt interaktiv Schritt für Schritt zu einem sicheren Passwort geleitet und auf mögliche Schwachstellen hingewiesen. Auch werde er künftig alle zwei Monate beim Login darauf aufmerksam gemacht, dass er sein Passwort regelmäßig ändern sollte.
Eine andere Schwachstelle, die von Sicherheitsexperten stets kritisiert wurde, hat GMX nun ebenfalls behoben: Das Web-Frontend zeigt HTML-formatierte E-Mails als Plaintext an. Aktive Inhalte führt es nicht mehr aus. Die vollständige Darstellung einer E-Mail erfolge nun "unter einer separaten Domain", um einen unberechtigten Zugriff auf die aktive Session auszuschließen. Die Darstellung von HTML-Formatierungen hatte in der Vergangenheit dazu geführt, dass Angreifer Passwörter von GMX-Konten ohne Wissen der Nutzer ändern konnten. Die neue Lösung entspreche "nun den höchsten Sicherheitsstandards", versicherte GMX in einer Mitteilung. (hob)
