Nach einer längeren Oddysee zum ändern meines Passwortes und einem erschreckenden Ergebnis möchte ich mich damit gerne an dieses Forum wenden.
Was geschehen ist:
Ich wollte mein Passwort für Freenet Mail ändern. Geht ja eigentlich ganz einfach: Passwort-Generator angeworfen, neues Passwort auf der Website eingegeben und fertig. Doch dann: Eine Fehlermeldung: Einige der Sonderzeichen sind nicht erlaubt.
Nun gut, dann also ein neues Passwort generiert welches nur die erlaubten Sonderzeichen enthält, eingegeben und siehe da: Die Website gibt auch gleich einen grünen Hacken und stuft es als "sicher" ein. Danach kommt die Bestätigung, dass das Passwort erfolgreich geändert wurde.
Doch dann wollte ich mich neu einloggen und es kam die Meldung: Benutzername oder Passwort falsch!
Merkwürdig. Tippfehler können beim Herauskopieren aus dem Passwortmanager nicht passieren. Also das Passwort ist definitiv richtig und der Benutzername hatte vor wenigen Sekunden ja auch noch funktioniert.
Also gut, Passwort nochmal zurücksetzen lassen und das ganze Prozedere erneut probiert.
Doch das Ergebnis blieb gleich: Das neue Passwort funktionierte wieder nicht.
Dann dachte ich mir: Vielleicht liegt es doch an den paar verbleibenden Sonderzeichen? Doch auch ein erneuter Versuch ohne Sonderzeichen führte zum gleichen Ergebnis...
Was also tun? --> Den Support fragen.
Schnell stellte sich heraus: Mein eingegebenes Passwort war zu lang. (Ein Hoch auf die Eingabeprüfung, die Fehler bei nicht erlaubten Sonderzeichen anzeigt, aber keinerlei Fehlermeldung bei zu langen Passwörtern ausgiebt...)
Doch dann kam das erschreckende: Der gute Mensch beim Support begründete mir das ganze damit, dass sie nur 16 Zeichen Speicher pro Passwort reserviert haben und man deshalb keine längeren Passwörter verwenden kann.
Das machte mich stutzig. Denn aus dem Passwort sollte eigentlich immer ein Hash-Wert ermittelt werden und immer nur der Hash-Wert in der Datenbank gespeichert werden. Dieser ist aber unabhängig von der Passwortlänge immer gleich lang.
Auf die Frage ob dies bedeutet, dass Freenet die Passwörter im Klartext speichert kam ein "Wir entschuldigen uns für die unannehmlichkeit."???
Nun gut, mir ist durchaus bewusst das an solchen Hotlines oft keine technisch besonders hellen Köpfe sitzen und dass die auch oft nicht wirklich wissen was ihr System im Hindergrund wirklich tut.
Und nun zu meiner Frage:
Als Kunde gibt es ja keine wirkliche Möglichkeit zu überprüfen wie eine Firma x Passwörter Speichert.
So weit ich weiß gibt es auch keine unabhängige Kontrollinstanz die überprüfen kann ob eine Firma x zumindest halbwegs nach dem Stand der Technik arbeitet.
Was bleibt einem also übrig? Blindes Vertrauen?