27. Februar 2009

Auf www.spickmich.de kann man neben diversen Social Networking Funktionen seine Lehrer und seine Schule verwalten. Ich war schon immer neugierig, wie meine ehemaligen Schulen dort abschneiden.

Kurzerhand registrierte ich einen Fake-Account, um ein bisschen in der Schulwelt von Zeulenroda zu stöbern. Zu allererst kann man seine Schule nicht wechseln. Das nervt schonmal tierisch. Nachdem ich mit der ersten Schule fertig war, musste ich meinen Account abmelden und mich erneut anmelden. Kein Problem, selbst mit der gleichen Email-Adresse ging das erneute Anmelden nach dem Abmelden prima. Sicherheit sieht anders aus. Zusätzlich werden die Passwörter von spickmich selbst generiert. Was da rauskommt sind lustige Konstrukte wie "rock-mond52", "freund-oben78" oder "blatt-film56". Wow. Supersicher. Wie viele von den angemeldeten Kiddies werden ihre Passwörter wohl ändern?? Wenn man also die Kombination "wort, bindestrich, wort, zweistellige Zahl" kennt, dann kann man wohl sicher auch schnell Accounts hacken.

Wie sieht das aus? Ganz einfach: Da spickmich.de es unendlich oft zulässt, ein falsches Passwort einzugeben, kann man sich ganz einfach ein Script schreiben. Dieses probiert dann mit Hilfe eines Lexikons so viele dieser Kombinationen durch, bis ein Treffer erzielt ist. Wurde schon gemacht, z.B. bei Twitter (www.heise.de/security/Lehren-aus-dem-Twitter-Hack--/news/meldung/121286).

Was bringt einem das? Naja, inhaltlich hat spickmich nicht viel zu bieten. Die meisten meiner Schulen sind kaum bewertet, schlecht gepflegt und bei den Lehrern sind 10 Bewertungen nötig, bevor überhaupt irgendwas angezeigt wird. Ich konnte Noten von zwei ganzen Lehrern sehen. Nicht der Rede wert. Da wurde in den Medien viel zu viel tamm-tamm gemacht und eigentlich ist nix dahinter. Mittlerweile ist der Fokus anscheinend nicht mehr so sehr auf die Schulbewertung, sondern eher bei den Social Network Features.

Fazit: spickmich.de ist unspektakulär, unsicher und nur bekannt, weil es so einen großen Medienaufschrei gab. Sie sollten noch einen besseren Passwort-Generator und nach 5-10 Login-Versuchen von einer IP das Anmelden erstmal verbieten. Als Schüler hat man nichts verpasst und als Lehrer braucht man sich dort keine großen Gedanken machen. Die Nutzer dort bauen lieber Quizzes oder schreiben sich auf ihren Pinnwänden vorpubertierende Nachrichten, als über ihre Lehrer aubzuhassen.

4 Kommentare:

Unknown hat gesagt…

okey.. hab nicht alles gelesen aber man kann seine schule ändern indem man ne mail an hilfe@spickmich.de schreibt. wollt nur mal so sagen

Anonym hat gesagt…

ich bin da angemeldet un ich hab mein passwort gleich geändert un alle meine freunde die auch in spickmich sind haben ihre passwörter auch geändert.

Anonym hat gesagt…

Was ein schlechter Artikel... Denk mal nach bevor du postest.

Maith hat gesagt…

Ich denke über die Qualität des Artikels lässt sich bestimmt reden. Trotzdem das Nichtvorhandensein von Gedankengängen vor dem Posten dieses Artikels zu vermuten ist einfach falsch.. Fakt ist, Sicherheitstechnisch sind die von Spickmich automatisch generierten Passwörter einfach bedenklich, oder kurz Müll. Da man sie, wie gesagt, mit einer Brute Force Attacke leicht knacken kann. Punkt.

Was regt man sich auch auf, bei einem 1,5 Jahre alten Artikel? Da könnte ich genauso schreiben "Schau dir doch mal das Datum an, bevor du einen Kommentar erstellst". Leute, die anderen Leuten erzählen, dass sie nachdenken sollen, sind meistens auch nicht so die Schnelldenker, nur mal so am Rande...

Andererseits: Die einzigen Leute, die diesen Post hier noch aufrufen sind tatsächlich die, die glauben Spickmich tatsächlich hacken zu können und hier Mittel dafür zu finden. Schwach. Woher ich das weiß? Tägliche Google-Anfragen "Spickmich hacken", die hier landen...

Kommentar veröffentlichen