...wahrscheinlich kennengelernt.

Soll ein neues Passwort vergeben werden, weil der Nutzer sein Passwort vergessen hat.

Jetzt muss er richtig davon, für welche Anwendung.

Und derjenige kann nicht vor Ort kommen.

Also schlicht und ergreifend das Problem, wenn wir jemanden in Moden mit vertretbarer Aufwand authentizieren.

Das Ganze, was mich zu diesem Kortsportracht animiert hat, war, dass wir uns Anfang des Jahres mal wieder diese Frage gestellt haben.

Und ich dann beschlossen hatte, warum alle jedes Rad selber erzielen.

Ich fragte nochmal die Kollegen und ich hatte eine Umfrage per Mail gestartet.

Innerhalb der Kollegen des Pensioniers und wie sie damit umgehen.

Sie kennen alle eine solche Mail. So oder so ähnlich haben sie die alles schon bekommen.

Nichts weiter nachgefolgt, verfolgt die E-Mail-Adresse.

Wenn man den Namen drückt, wenn es nicht nur ein Kürzel ist, kennen wir alle.

Und wie gehen wir mit einer solchen Mail um?

Das Anlegen ist akzeptiert, denke ich.

Genauso die Tatsache, dass jemand, gerade in den USA, nicht unbedingt bei uns vorbeikommen kann.

Das ist auch klar.

Aber was sicher nicht passieren wird, so einfach ist die dritte Variante.

Dass jemand dann einfach die Mail, die das neue Passenum zugeschickt bekommt.

Welche Fragen stellen Sie für uns?

Wie können wir überprüfen, dass Erika Mustermann oder Musterfrau, die unten die Mail unterschrieben haben will, auch wirklich sie selber ist?

Und auch noch die Person ist, die zu einem Account, der bei uns im Auditorium ist, gehört.

Wie kann Frau Musterfraudigkeit eben identifizieren?

Und wie können wir jetzt dann auch noch ihr auf einem vergleichsweise sicheren Weg ein neues Passenum zukommen lassen?

Gut, ich habe auf diese Anfrage 17 Antworten erhalten.

Ich möchte mich noch einmal ganz herzlich hier im Auditorium an alle, die geantwortet haben, oder auch an die, die vielleicht noch mitgedacht haben, bedanken.

Ja, und jetzt habe ich mal versucht, die Antworten zusammenzufassen und gleichzeitig auch eine gewisse Bewertung dazu zu führen.

Ich meine, das ist natürlich eine ganz eichere Angelegenheit.

Ich führe jetzt als selber Betroffener eine Bewertung durch, also mit anderen Worten ich ziemlich unprovolich selbst im Platthaus sitze.

Aber ich denke mir, man sollte halt den Kollegen auch mal kritisch die ein oder anderen Verfahren sich angucken können.

Und wie gesagt, ich habe jetzt die Zuordnung, welches Verfahren einsetzt, die habe ich komplett weggelassen.

Ich denke, es spielt auch keine Rolle.

Die eine Möglichkeit ist natürlich die, die sagen, läuft nicht, Person muss vor Ort kommen und sich bei uns authentizieren, mit ihrem Studienausweis, das weiß man auch immer.

Reck sich, auf der abschließlichen Seite.

Was auch klar ist, wird von denjenigen, denen wir da jetzt in den USA verhungern lassen, als wenig servicefreundlich empfunden und die eigenen Sicherheitsstrengen, die werden einfach nicht ernst genommen.

Wenn wir so handeln, haben wir es nicht auch keine Mitbrauchsmöglichkeit.

Aber wie gesagt, dann heißt es wieder, wir kennen das alle Jahre, dass eigentlich Zentrum G sind, so serviceunfreundlich und so weiter und so fort.

Und das ist ja auch unser Entvorwurf, den wir uns auch ständig aussetzen wollen. Unabhängig darf man auch für gute Gründe haben oder nicht.

Gut, die nächste Kategorie von Antworten war die, dass in unserem System eine Co-op-Kontenz-Adresse hinterlegt sein sollte.

Hier sind von der Weite nicht die eigene Uni-E-Mail-Adresse sein darf, sondern, weiß ich nicht ganz, die ganz, die ganz.

Und wir schicken dann entweder an diese E-Mail-Adresse oder per SMS an eine hinterlegte Mobilfunknummer dann das Passwort.

Und diese Hinterlegung ist natürlich nur mit der vorhergehenden Authentikierung möglich, wenn die Erste-Situation hier für ihr Passwort noch kennt.

Ja, und das ist eigentlich die gängige Praxis, die man auch in vielen Webdiensten und so weiter und so fort findet.

Wir verwenden das Passwort mit jedenfalls Besaß für, haben letztendlich alle so unsere Bedenken.

Kann man jetzt noch überlegen, verwendet man nur ein Einmalpasswort, das muss dann gleich geändert werden und so weiter und fort kann man durchaus noch Varianten machen.

Was wir bei dem Verfahren nicht machen, ist die Herkunft und die Echtheit unserer Anträge füllen.

Weil wir einfach nur rein, bitte schickt für die Person ein neues Passwort an die Hinterleg-Adresse.

Ja, das Missbrauchspotenzial ist, ich hab's mal als dringend mit eingeschoben, was immer das heißen mag, insofern, auf die Art und Weise können wir schlechten Account kompromissieren.

Aber nahmlegen, weil wir haben jetzt nun mit zwei Szenarien zu tun, es kommt ja nicht immer nur der böse Hecker mit dem Passwort von außen, sondern jemand mal den Account nahmlegen.

Es kann ja durchaus auch eine Methode sein, wissliche Kommilitoninnen und Kommilitonen ja entweder zu ärgern, was die harmlose Variante wäre oder sogar an einer entscheidenden Stelle auszubrennen.

Zum Beispiel, wenn es jetzt um eine Prüfungsanmeldung geht, wo es auf die Reihen, oder der Veranstaltungsanmeldung, wo es auf die Reihenfolge der Anmeldung ankommt.