Ein kurzer Rant zur IT Security bei Versicherungen muss jetzt sein.
Ich bekomme eine Mail, dass eine Nachricht in der Postbox liegt. Darin wird schon darauf hingewiesen, dass man die Zugangsdaten online neu beantragen kann. Verständlich, weil man meldet sich ja nicht täglich dort an.
Ok, Zugangsdaten vergessen. Ich gebe meinen Namen, eine Zahl vom Perso, die übliche Sicherheitsabfrage über Familienmitglieder und Vertragsdaten an. Danach darf in der Korrespondenz von 2009 nach einer PIN suchen und danach ein neues Passwort vergeben. Nebenbei erfahre ich meinen kryptischen Login-Namen.
Soweit so gut, die müssen sich wohl extrem absichern. Denke ich.
Und plötzlich kann ich mir die Zugangsdaten für meine Unterlagen ausdrucken, in DIN A4 mit Briefkopf, Steuernummer und Namen des Vorstands. Und dem Passwort im Klartext!
Welche Experten denken sich so einen Schwachsinn etwas aus? Wenn ein Dienst mein Passwort im Klartext zugänglich macht, kann man sich alle weiteren Mechanismen auch gleich sparen. Lernen die denn nie? Hashwerte mit vernünftigem Salt sind weder Hokuspokus noch Allheilmittel. Das ist Basissicherheit wie ein Zugang per SSL.