Plaintext Passwords for the shame!

Vor Kurzem habe ich all meine Passwörter in eine neue Passwortverwaltung umgezogen. Dabei habe ich mir den Spaß gemacht, die Passwort vergessen-Funktion vieler Websites und anderer Systeme auszuprobieren, um danach das Passwort auf ein neues Zufallspasswort zu setzen. Was mir allerdings da widerfahren ist hat mich schon geschockt!

Folgende bekannte Seiten speichern die Passwörter sämtlicher Nutzer im Klartext:

• backpackit.com
• sipgate.de (WAT?)
• selfhtml.de
• symlink.ch
• musicbrainz.org
• ... und mehrere kleinere Webseiten

Das hat mich schon ziemlich erschreckt. Ich dachte eigentlich, dass Größen wie musicbrainz, Sipgate oder 37signals ein kleines bisschen auf Datenschutz wert legen. Da hilft dann nur abmelden oder regelmäßig das Passwort ändern.

Apropos ändern: Einige Seiten baten nicht mal die Möglichkeit an, sein Passwort zu ändern. Die Löschung eines Accounts ist auch selten vorgesehen. Schon mal versucht in einem Wordpress oder einem PHPBB einen Benutzer zu löschen? Diese Funktion ist einfach nicht vorgesehen.

Und wenn man dann den Betreiber anschreibt, er solle doch bitte den Account incl. Daten löschen, bekommt man in den meisten Fällen die Antwort: Das geht leider nicht, melde dich doch einfach nicht mehr an, die Daten sind hier sicher .... alles Klar.

Nachtrag 2012-08-15: 1und1 scheint hier mal wieder total versagt zu haben. Wundert mich eigentlich nicht mehr.