joinR empfiehlt Mitgliedern schwache Passwörter
Das deutsche Social Network joinR ermuntert seine Benutzer zum Einsatz unsicherer Passwörter. Ein unverantwortliches und kurzsichtiges Vorgehen.
Update am Ende des Artikels
joinR ist ein deutsches Social Network mit nach eigenen Angaben über 700.000 Mitgliedern. Die Zielgruppe wird von joinR selbst als ’14+’ bezeichnet. Ein recht hoher Anteil dürften also Jugendliche sein. joinR zeichnet sich vor allem dadurch aus, dass man sein Profil auf recht einfache Art personalisieren kann. Martin hat im Dezember letzten Jahres in seinem Ausblick für Social Networks geschrieben:
Abzuwarten bleibt, ob es Social Networks aus der zweiten Reihe 2009 gelingen wird, weiter zu wachsen. Für Anbieter wie KWICK!, Jappy, StayFriends oder joinR könnten die kommenden Monate über ihre Zukunft entscheiden – aggressiv wachsen und den Marktführern ihre Positionen streitig machen, fusionieren oder der Konzentration und stärkeren Netzwerkeffekten der Wettbewerber zum Opfer fallen, das ist die Frage.
joinR ist definitiv ein deutsches Social Network der zweiten Reihe, dürfte unter diesen aber zu den etablierteren gehören.
Angesichts der Tatsache, dass joinR offensichtlich die MySpace-Generation anspricht, ist ein leger Ton im Umgang mit den Usern nicht verwunderlich. Welche Mail aber an die Nutzer geschickt wird, wenn diese ihr Passwort vergessen haben und sich ein neues zuschicken lassen wollen, geht eindeutig zu weit:
Hallo [Benutzername],
Du brauchst ein neues Passwort? Hey, ich mach Dir da keinen Vorwurf. Mir passiert das auch ständig. Ich habs nicht so mit dem Merken. Diese ganzen Passwörter, überall. Das wird einem einfach zuviel, mit der Zeit. Ich meine…, was soll das Getue eigentlich? Warum nicht einfach 12345? Sind wir in Fort Knox? Muss man jeden Mist mitmachen???… Äh, wo waren wir stehen geblieben? Ach, genau:
Deine Benutzername (bleibt wie er ist): [Benutzername]
Dein Passwort: darfst gleich selbst ändernUm das Passwort zu ändern geh auf: [Link]
Danke und viel Spaß,
Dein joinR-Vergesslichkeits-Zivi
Die eigenen Benutzer dazu zu ermuntern, leicht zu knackende Passwörter zu verwenden, grenzt an Fahrlässigkeit. Jugendliche etwa, die ihre ersten Schritte im Web machen, werden am Ende ohne groß darüber nachzudenken, tatsächlich 12345 als Passwort verwenden. Solang, bis jemand damit auf ihren Account kommt und die privaten Nachrichten liest. Das kann ein nicht auf den Kopf gefallener ‘Freund’ sein oder jemand, der angesichts dieser erhaltenen Email auf die Idee kommt, einen Bot über joinR zu jagen.
Eigentlich ein No-Brainer: Social Networks sollten ihre User immer dazu ermuntern, sichere Passwörter zu verwenden. Nicht zuletzt in ihrem eigenen Interesse. Denn ist das Vertrauen in eine Kommunikationsplattform aus welchen Gründen auch immer verloren, verliert man auch den jeweiligen User, der weiterzieht. Von der Verantwortung der Betreiber ihren Nutzern gegenüber ganz zu schweigen.
Wir haben joinR um eine Stellungnahme gebeten und werden den Artikel entsprechend aktualisieren.
Update: Uns wurde von joinR mitgeteilt, dass die Email geändert wird. Eine ausführliche Stellungnahme von joinR folgt.
Artikel per Feed
Artikel per E-Mail
Artikel bei Twitter
Facebook-Seite
Unsichere Passwörter zu empfehlen ist mehr als nur Verlässig. Zum Glück werden User immer sensibler für das Thema Sicherheit gemacht, dank der Medien & Co., so dass zu hoffen bleibt, dass sich niemand diesen Rat annehmen wird.
Habe damals die Seite ge-beta-testet bis mir auffiel das es genauso Augenkrebs hervorruft wie MySpace.
Auf jeden Fall kann ich sagen das 2007-05-03 noch eine normale Mail bei PW vergessen kam, seit 2008-03-07 kommt dann schon obiger Unfug mit dem Unterschied das damals das neue PW noch vorgegeben wurde.
Gut dass ihr das mit scharfem, investigativem
JournalismusBlogalismus aufgedeckt habt. Habe mich auch schon gewundrt.Ich glaube, das sollte lustig sein oder so. Fand ich aber nicht, Passwörter sind ein heikles Thema und man sollte auf gar keinem Fall 12345 verwenden. Dann kann man ja gleich gar kein Passwort nehmen, mit etwas Glück kommt niemand auf die Idee das Feld leer zu lassen ;)
Nee, gar kein Passwort nehmen war myON-ID ;)
1234 als Passwort sollte als Passwort gar nicht angenommen werden. Genauso wie alles was in einem Wörterbuch steht.
Niemand sollte dort einen Account anmelden… An vielen Stellen gibt es XSS-Lücken, persistente und reflektive.
Wikipedia: Cross-Site-Scripting
Als Passwort werden vier Leerzeichen akzeptiert. ;O)
Da muss ich mal wieder widersprechen. Vorsichtshalber, denn “Spaß-Regulierung” halte ich für ganz problematisch. Die Nutzer zum Gebrauch sicherer Passwörter zu ermuntern, ist zwar eine gute Sache, aber das ist ja nun eindeutig Spaß.
Der Vorschlag von Christoph, solch unsichere PWs gar nicht erst zu akzeptieren, geht in die richtige Richtung.
Nur weil junge Zielgruppen angesprochen werden, ist der Sachverhalt nicht anders zu beurteilen. Nach meiner Erfahrung ist das Bewusstsein für sichere PWs bei Jugendlichen weit, weit besser ausgeprägt als bei Nutzern über 30 oder gar über 40.
Die Namen von Familienmitgliedern, Lieblingskünstlern und Haustieren kann man einigen Nutzern kaum ausreden, weil das Problembewusstsein fehlt. Dabei haben diese Nutzer nur eine handvoll Accounts, für die sie sich PWs merken müssen.
Die Digital Natives mögen leichtfertig mit den Angaben in ihren Profilen und generell im Veröffentlichen privater Informationen sein, doch dass sie ihre Accounts schützen sollten, ist ihnen schon klar.
Ich halte diese Mail auch als einen spaß, da es ja gerade die jungen nutzer ansprechen soll und die sich meistens eh weit besser in der Thematik auskennen wie die älteren. Die Sicherheitslücke liegt nur da, das solche passwörter auch angeommen werden, das darf in der heutigen Zeit nicht mehr passieren!
joinR hat uns mitgeteilt, dass die Email geändert wird. Eine ausführlichere Stellungnahme von joinR folgt.
@alle: Ich glaube, Ihr überschätzt die Medienkompetenz von Internet-Nutzern. Besonders bei joinR, das ein junges Publikum anspricht, das u.U. mit joinR seine ersten Erfahrungen im Netz sammelt, sollte man kein Risiko eingehen. Das Thema Sicherheit und Passwörter ist zu wichtig, als dass man damit Scherz treibt.
“@alle: Ich glaube, Ihr überschätzt die Medienkompetenz von Internet-Nutzern.”
Dem schliesse ich mich an.
Die Email lässt sich problemlos in verschiedene Richtungen interpretieren. Wenn es für die Spassgeneration cool ist, mit Nutzern auf dieser Schiene zu kommunizieren, ok. Aber sobald es um Sicherheit, Regeln und Rechtliches geht, sollte auch die Kommunikation den einzig passenden Ton finden, und der ist so sachlich zu halten, dass Anleitungen und Bedingungen unmissverständlich kommuniziert werden können.
Ziemlich blöde ist m.V. auch die Verwendung von “Zivi”. Ein Zivi ist kein Hiwi. Nehmen sich diese Netzwerke neuerdings alle ein schlechtes Beispiel an openPeople? Hilfe.
Lange wirds nicht gut gehen
Die ganzen Formulierungen sind einfach nur zwanghaft auf lustig getrimmt und doch einfach nur lächerlich. Junge Zielgruppe schön und gut, aber halbwegs vernünftige Sätze statt die Ermunterung zu sorglosem Umgang mit dem Internet wäre vielleicht angebracht.
Langfristig wird man bei Plattformen wie JoinR hoffentlich gar kein Passwort mehr eingeben müssen, sondern sich über OpenID o.ä. einloggen. Dann bleibt aber zu hoffen, dass die OpenID selbst nicht nur mit ’12345′ gesichert ist …
Wobei bei OpenID ja der Vorteil besteht, dass man sich nur noch ein einziges Passwort merken muss, wodurch es leichter fällt ein sichereres und längereres Passwort zu nehmen, weil der Merkaufwand deutlich geringer ist. Alternativ kann ich KeePass empfehlen, eine Open Source Software, die Passwörter in einem verschlüsselten Container ablegt. Dann können auch all die 100 Passwörter die man so hat 20 Zeichen lang usein nd aus Sonderzeichen etc. bestehen, da man sie sich die nun nicht mehr merken muss. Die Container-Datei sollte man natürlich nicht verlieren und das Master-Passwort sollte natürlich auch nicht 12345 sein…
Hallo, obwohl ich der Spam-Bude jointR niemals beigetreten bin, bekomme ich ständig bescheuerte Spam-Mails dieser Idioten zugeschickt (“Brieftaube von jointR”), in denen Leute mit bescheuerten Namen einen zum Kennenlernen einladen – immer und immer wieder! Ich hab’s so satt, weiter von diesen Deppen vollgespammt zu werden. Eine entspr. Mail hat nicht geholfen.Weiß jemand Rat???? LG Lola