Nein, keine Angst, es handelt sich nicht um das Türchen. So alt ist der Nikolaus auch noch nicht.
Aber um was denn? Lasst es mich mit einem Witz erklären. Ich weiß, unter Nerds und ähnlichen bleichen Gestalten gehen immer wieder Witze umher, über die kein Mensch lachen kann… außer eben Nerds. Der Folgende ist so einer. Kurz ist er obendrein: Lässt sich ein IT-Profi ein Kennwort zuschicken…
Das war's schon. Ich gebe es zu, so lustig war der auch wieder nicht. Über so etwas macht man nämlich keine Witze, denn das Zuschicken von Kennwörtern ist immer noch ein beliebtes Mittel, eine Passwort-Recovery-Funktion anzubieten. Besonders lustig wird einem dann zumute, wenn man das in der Mail enthaltene Kennwort wiedererkennt.
Wie dem auch sei, fest steht, dass das Zusenden von Kennwörtern keine sichere Sache ist und eigentlich nicht mehr Praxis sein sollte, was aber leider Wunschdenken ist. Immer wieder erlebt man es, dass man über die Eingabe seiner E-Mail-Adresse eine Mail mit einem neuen (oder eben auch dem alten) Kennwort bekommt, das manchmal obendrein nur aus Zahlen besteht (sozusagen als Hommage an die vielen Seiten, die vorschreiben, dass ein Kennwort nur alphanumerische Zeichen enthalten darf).
Was aber existiert als Alternative? Diese Funktion einfach nicht anzubieten, ist nicht nett dem User gegenüber.
Viele Anwendungen bieten eine sog. „Erinnerungsfrage“, die in etwa lautet „Wie ist der Mädchenname Ihrer Mutter?“ oder „Wie lautet der Name Ihres Haustiers?“. Vor allem prominente Personen haben hier ganz schlechte Karten. Folglich ist diese Variante ein absolutes No-go, wie man so schön auf Neudeutsch sagt.

Kleiner Tipp zwischendurch: manche Anwendungen erfordern sogar eine solche Frage. In diesem Falle sollte, wenn möglich, eine eigene Frage eingegeben werden, die in etwa so lautet

Zitat:

Wonna break in?

Als Antwort auf diese Frage aber bitte nicht „yes“ angeben sondern eine ellenlange Folge aus wild zusammengewürfelten Zeichen, die praktisch nicht zu knacken ist (funktioniert in aller Regel natürlich auch ohne eigene Frage, ist dann aber nur halb so lustig).

Eine vernünftige Lösung für dieses Problem ist das sogenannte Challenge-Response-Verfahren. Dieses sollte eigentlich jedem sicherheitsbewussten Programmierer bekannt sein, doch nur erstaunlich wenige verwenden es.
Der Begriff stammt ursprünglich aus dem Militär und bezeichnet ein Frage-Antwort-Protokoll zur Identifizierung des Gegenübers. Im Internet läuft es in der Regel etwas anders ab als auf dem Schlachtfeld, doch das Grundprinzip ist das gleiche geblieben.
Durch Eingabe seiner E-Mail-Adresse oder eines anderen Identifikationsmerkmals fordert der User ein neues Kennwort an. Daraufhin wird in der Datenbank eine zufällige Challenge-ID angelegt und in Form eines Links an dessen E-Mail-Adresse gesendet. Wichtig zu beachten ist hierbei, dass noch kein Kennwort geändert wurde. So ist zum einen sichergestellt, dass es nicht in fremde Hände gelangt und zum anderen, dass der Login nicht durch ein neues Kennwort versperrt wird, wenn ein Fremder die Adresse des Users eingibt.
Der Link, der an die Adresse gesendet wurde, ist nur eine bestimmte Zeit gültig, in der Regel 24. Stunden. Wird er in er Zeit nicht aufgerufen, verfällt die Challenge-ID.
Wird der Link aber aufgerufen, ist es dem User möglich, auf der Seite ein neues Kennwort zu setzen. Natürlich ist die HTTP-Verbindung verschlüsselt, um hier maximale Sicherheit zu gewährleisten. Erst jetzt ist das Kennwort geändert und die Challenge-ID verfällt.
Natürlich ist auch das Challenge-Response-Verfahren nicht gegen Manipulation gefeit, aber es bietet ein deutliches Plus an Sicherheit gegenüber der Variante, das Kennwort direkt per E-Mail zu versenden. Sollte der E-Mail-Verkehr abgefangen werden, so befindet sich die Challenge-ID zwar in Händen des Angreifers, aber sollte er diese benutzen, wird der User es merken, da er mit einer Fehlermeldung konfrontiert wird, dass der Link bereits aufgerufen wurde. Hat der User das Kennwort aber bereits über den Link geändert, kann der Angreifer mit der Challenge-ID nichts mehr anfangen. Stünde jedoch das Kennwort in der Mail, könnte es somit unbemerkt in falsche Hände geraten, was wohl keinem User lieb ist.
Man sieht also: das Challenge-Response-Verfahren kann nicht nur die Pointe eines Nerdwitzes versauen.