Das Problem: Sobald eine E-Mail - Adresse kompromittiert wird, kann der Angreifer durch die "Passwort vergessen" - Funktion diverser Webseiten problemlos das Passwort ändern und sich somit Zugriff auf dieses Konto verschaffen. Meine Gedankengänge beschäftigen sich damit, wie man als Benutzer dieses Problem lösen kann:
Es wird nur eine E-Mail Adresse für alle Dienste im Internet benutzt
Das ist die Ausgangsposition und vermutlich die weitverbreiteste Variante. Die E-Mail - Adresse kann auf 2 Wege kompromittiert werden:
- Durch ein (in)direktes Eigenverschulden, indem man sich zum Beispiel einen Trojaner eingefangen hat, der die Passwörter mitloggt.
- Wenn der E-Mail - Provider gehackt wird.
Sobald der Angreifer Zugriff auf die E-Mail - Adresse hat, kann er versuchen die Passwörter sämtlicher verknüpfter Konten zurückzusetzen. Das setzt einige Sachen vorraus:
- Der Angreifer muss die Konten kennen, welche mit dieser E-Mail - Adresse verknüpft sind. Allerdings sollte man sich durch die potentielle Unwissenheit des Angreifers nicht in Sicherheit wägen, da notfalls ausprobiert und nach Informationsstand heuristisch eingeschränkt wird.
- Der jeweilige Dienst im Internet muss es zulassen, dass der Besitz einer E-Mail - Adresse bereits ausreicht, um das Passwort zu ändern (was bei den meisten Dienste im Internet der Fall sein dürfte, sogar bei Amazon trifft das zu).
Für jeden Dienst im Internet wird eine eigenständige E-Mail Adresse benutzt
Das Prinzip klingt einfach, man nutzt für jeden Dienst im Internet eine eigene E-Mail Adresse. Denn sobald eine kompromittiert wird, ist auch nur ein Dienst im Internet betroffen. Allerdings treten hier auch wieder Probleme auf:
- Wenn man alle E-Mail - Adressen bei dem selben E-Mail - Provider lagert braucht dieser nur gehackt zu werden und man hat das selbe Problem wie oben.
- Um dieses Problem zu umgehen könnte man sich verschiedene E-Mail - Provider suchen, aber das dürfte mit der steigenden Anzahl an Konten, die man im Internet irgendwo erstellt relativ problematisch werden.
Zumindest hat diese Variante den Vorteil, dass man ein Indiz hat, wer schon wieder die E-Mail - Adresse an Dritte verkauft hat, sobald man Spam bekommt.
Man hostet einen eigenen Mailserver
Mit dieser Lösung kann man mehr Kontrolle behalten, allerdings lauern hier auch wieder Probleme:
- Wenn der Mailserver über einen Anbieter gemietet wird, könnte dieser auch gehackt werden und dann hat der Angreifer auch Zugriff auf alle E-Mail - Konten. Ideal wäre also ein lokaler-/Remote-Mailserver, über den man komplett die eigene Kontrolle hat. Aber selbst dann gibt es wieder Probleme:
- Der Mailserver ist überlicherweise an eine DNS - Adresse gebunden, was bedeutet, sobald jemand den DNS-Anbieter hackt, könnte er die DNS auf eine andere Adresse umleiten und da man bei den verschiedenen Diensten im Internet ja die DNS-Version der E-Mail Adresse angibt, hat er damit Zugriff auf alle E-Mail - Konten.
- Möchte man das Einschränken, indem man auf eine DNS verzichtet, hat man wiederrum das Problem, dass man irgendwann die Kontrolle über die IP verlieren könnte. In dem Fall hat man keinen Zugriff auf die E-Mail - Konten mehr, allerdings hat sie dann theoretisch Derjenige, der die IP dann neu zugewiesen bekommt.
- Der Mailserver ist überlicherweise an eine DNS - Adresse gebunden, was bedeutet, sobald jemand den DNS-Anbieter hackt, könnte er die DNS auf eine andere Adresse umleiten und da man bei den verschiedenen Diensten im Internet ja die DNS-Version der E-Mail Adresse angibt, hat er damit Zugriff auf alle E-Mail - Konten.
Die registrierten E-Mail - Adressen werden auf "tote" Adressen geändert
Man könnte bei der Registrierung eines Kontos bei einem Dienst im Internet einfach eine kryptische E-Mail - Adresse angeben, welche nicht existiert. In dem Fall könnte man sogar eine E-Mail - Adresse für alle Dienste im Internet benutzen. Allerdings ist das auch wieder nicht problemlos:
- Üblicherweise verlangen Dienste im Internet eine Verifizierung der E-Mail Adresse während der Registrierung und oft sogar, wenn man sie nachträglich ändern möchte, dann hat man das selbe Problem wie oben.
- Falls man eine nicht-verifizierte E-Mail - Adresse durchbekommt, wäre man tatsächlich sicher, da der kryptische Name wie ein Passwort wirkt und normalerweise nicht einfach so erraten werden kann. Allerdings verliert man so bei dem jeweiligen Dienst im Internet so die Verknüpfung zu einer E-Mail - Adresse und das könnte äußerst nachteilig sein:
- Sollte der Anbieter des Dienstes im Internet mal gehackt werden, könnte er alle Passwörter sperren und der Benutzer muss sich zwangsweise eins zusenden lassen, wenn er sich das nächste mal einloggen möchte. In diesem Fall würde man den Zugriif auf den Account dauerhaft verlieren, wenn der Anbieter keine alternative Methode anbietet, welche man auch erfüllen kann.
- Wichtige E-Mails können nicht mehr zugestellt werden, zum Beispiel, dass ein Artikel bei Amazon doch auf einmal nicht mehr lieferbar ist. Das ist zwar etwas ärgerlich, aber kann durchaus in Kauf genommen werden.
- Sollte der Anbieter des Dienstes im Internet mal gehackt werden, könnte er alle Passwörter sperren und der Benutzer muss sich zwangsweise eins zusenden lassen, wenn er sich das nächste mal einloggen möchte. In diesem Fall würde man den Zugriif auf den Account dauerhaft verlieren, wenn der Anbieter keine alternative Methode anbietet, welche man auch erfüllen kann.
Wie man sieht, ist das Problem recht komplex und die einzig sichere Methode (eine kryptisch nicht vorhandene E-Mail - Adresse zu benutzen) bringt ein anderes schwerwiegendes Problem mit sich. Aktuell ist dieses E-Mail - Problem also unlösbar (weswegen ich es vermutlich damals nicht fortgeführt habe), was den Schluss zulässt, das ganze als Client-Server - Modell zu betrachten:
- Man hat keine Kontrolle über Dienste im Internet, dementsprechend kann man ausgehen, dass mit genügend Zeit früher oder später jedes Konto im Internet selbst ohne die Zuhilfenahme einer E-Mail - Adresse gehackt werden könnte (was man ja nur zu oft in letzter Zeit bei großen Anbietern gesehen hat).
Allerdings werde ich es dementsprechend auch als Sicherheitslücke ansehen, wenn bei einen Dienst im Internet der Besitz einer E-Mail - Adresse ausreicht, um die Kontrolle über das jeweilige Konto zu bekommen. Daher sollte immer einer weitere Sicherheitsmethode zum Einsatz kommen, zum Beispiel einer Sicherheitsfrage, welche man als Passwortersatz ansehen könnte und somit verhindern kann, dass ein Angreifer über die E-Mail - Adresse Zugriff auf dieses Konto bekommt.
Eventuell hat ja jemand noch andere Ideen, findet einen Fehler in einer meiner Ausführungen oder hat sonst was zu diskutieren.
Dieser Beitrag wurde von Sworddragon bearbeitet: 22. Januar 2014 - 05:27