„Passwort 1234“
Leute, regt Euch mal ab!
Mir läuft die Mailbox voll mit Hinweisen, dass die Bundeswehr laut Bild für die Verteilung einer Pressemitteilung das Passwort „1234“ verwende. Einer vermutet gar, ich hätte einen sarkastischen Artikel in einem anderen Medium unter Pseudonym verfasst.
Leute, regt Euch mal ab.
1234 ist zwar ein dümmstmögliches Passwort. Aber, ehrlich gesagt, die Aufregung darüber ist kein Stück schlauer.
Denn worum ging es hier?
Es ging um die Verteilung eines Pressestatements. Leute, das ist sowieso öffentlich verfügbar. Und für einen Account, in dem nur Dinge der Sicherheitsstufe „offen“, die sowieso veröffentlicht und an die Presse verteilt werden, die höchstens für ein paar Stunden einer Pressesperrfrist unterliegen, braucht man gar kein Passwort, die kann man auch offen per E-Mail-Verteiler verteilen. Und “1234” ist auch nicht schlechter als gar kein Passwort, und hätten die das einfach offen auf den Webserver zur allgemeinen Abfrage gelegt, hätte das keine Sau interessiert.
Es ist völliger Quatsch, sich da über das Passwort “1234” aufzuregen, wenn es da gar keines Passwortes bedurft hätte, und es um Informationen ging, die sowieso in die Öffentlichkeit gepustet werden.
Jedem, der für 20 Pfennig Ahnung von Sicherheit hat, hätte schon auffallen müssen, dass es in einer Mail, die an „Sehr geehrte Damen und Herren“ geht, allen dasselbe Passwort mitgeteilt wird. Gender hin oder her, Damen und Herren verwenden niemals dasselbe Passwort. Interessant wäre allenfalls die Frage, ob das eine Mitteilung an die Presse war, oder ob das eine interne Information war, denn normalerweise informiert man auch die eigenen Leute über Pressestatements, damit die wissen, was posaunt wurde.
Worüber man sich aufregen könnte – was aber anscheinend keiner tut – ist, dass sie zum Verteilen von Information – anscheinend an die Presse, ist ja nicht so geklärt – nextcloud verwenden. Da sehe ich das größere Problem, denn nextcloud in Ehren, dafür ist es nicht das geeignete Tool. Für solche Mitteilungen verwendet man am besten eine ordinäre Webseite, ob nun mit oder ohne Passwort. Wenn man will, dass nur die Empfänger auf einer Pressemailingliste das finden können, nimmt man eben eine Zufallszahl im Pfad oder baut benutzername/passwort in den URL ein.
Das sieht zwar insgesamt nicht gut aus.
Aber sich ohne näheren Zusammenhang über das Passwort “1234” aufzuregen, wenn es um eine Pressemitteilung geht, die auch ganz ohne Passwort problemlos verteilt werden kann, ist auch Bullshit. Noch nie hat sich jemand aufgeregt, wenn eine Pressemitteilung ganz ohne Passwort verteilt wurde.
Leute, behaltet mal die Nerven und denkt erst mal nach.
Man kann auch blind vor Geifer werden.