Kunden der E-Plus-Tochter Simyo berichten immer wieder, dass sie von Mitarbeitern der Firma bei Service-Anfragen über das Telefon nach den ersten Stellen ihres Nutzerpassworts gefragt werden. Vor Kurzem wurde dies auch auf Twitter von Kunden des Mobilfunk-Discounters wieder thematisiert. Auf Anfrage von heise Security teilte Simyo nun mit, dass ihre Mitarbeiter in der Tat Zugriff auf die ersten vier Stellen des Passworts haben. Passwörter bei Simyo müssen mindestens sieben und können maximal 50 Zeichen enthalten.

Bei kurzen Passwörtern führt das dazu, dass der Zugang zu Kundenkonten einfach zu knacken ist, falls ein Angreifer Zugang auf Simyos Datensätze erhält. Da die Kundenbetreuer den ersten Teil des Passworts auslesen können, würden Kriminelle, die in die Server der Firma einbrechen, höchstwahrscheinlich das auch können. Selbst wenn der Rest des Passworts sicher als gesalzener Hash gespeichert wird, sind bei einem siebenstelligen Passwort dann nur noch drei Stellen über, die geknackt werden müssen. Die kann ein Angreifer in Sekundenbruchteilen durchprobieren. Erst ab einer Länge von über 12 Zeichen hätte man wieder eine halbwegs brauchbare Schutzfunktion. So lange Passwörter kommen aber nur sehr selten zum Einsatz.

Gegenüber heise Security teilte Simyo mit, der Schutz von persönlichen Kundendaten habe "oberste Priorität" für das Unternehmen. Es weise Kunden bei der Vergabe des Passworts deutlich darauf hin, dass dies aus einer "Kombination aus Buchstaben, Ziffern und Sonderzeichen" bestehen sollte. Außerdem werde Kunden davon abgeraten, das selbe Passwort für mehrere Dienste zu verwenden.

Das Unternehmen sagt weiter, dass sich Kunden gegenüber Servicemitarbeitern am Telefon ebenfalls durch Nennung der eigenen Rufnummer oder ihrer Kundennummer authentifizieren müssen. Die meisten anderen Mobilfunkanbieter nutzen zum Bestätigen der Identität ihrer Kunden ein spezielles Passwort, dass völlig separat vom eigentlichen Kundenpasswort für Online-Dienste gehandhabt wird.

Das Fragen nach dem Passwort, oder Teilen davon, wirft aber noch ein anderes Problem auf. Viele Anbieter von sicherheitsrelevanten Diensten versuchen ihren Kunden einzubläuen, dass ihre Servicemitarbeiter nie per Telefon oder E-Mail nach ihren Passwörtern fragen würden. Bei solchen Fragen stutzig zu werden und sie nicht zu beantworten, ist eine gute Verteidigung gegen Phishing-Angriffe jeder Art. Sollten Firmen wie Simyo das Fragen nach Passwörtern per Telefon salonfähig machen, untergraben sie diesen antrainierten Reflex und gefährden ihre Nutzer. (fab)