OWASP Membership mit CVENT – Wie man es nicht macht: Passwörter & CVV

von |14. März 2014|IT-Sicherheit|0 Kommentare|

Ich habe mich heute dazu entschlossen dem Open Web Application Security Project (OWASP) beizutreten. Zur Anmeldung, Verwaltung und Zahlung des Eintritts wird auf die Dienstleistung von cvent.com zurückgegriffen.

Wie gewöhnlich generiere ich mit Keepass für die Registrierung ein Passwort: Lang + Komplex = Sicher. Man könnte meinen, bei einer Anmeldung bei dem internationalem Projekt für Webanwendungssicherheit sei das kein Problem. Ist es aber – keine Sonderzeichen und maximal 20 Zeichen.

password_policy_owasp_cvent

 

Dass die Webseite optisch nicht auf dem aktuellsten Stand ist, kann ich verschmerzen. Die Beschränkung der Passwortkomplexität aber nicht. Das lässt erahnen, welchen Sicherheitszustand die Anwendung dahinter besitzt.

Der Mitgliedsbeitrag kann nur mit Kreditkarte beglichen werden. Gut, kein Problem. Über das Passwort konnte ich noch schmunzeln, aber jetzt hört der Spaß auf. Der CVV meiner Kreditkarte wird nicht nur beim Eingeben angezeigt, sondern auch vom Browser gespeichert. In der Entwicklung von cvent war es anscheinend nicht nötig, die angemessenen HTML-Parameter beim Formular zu setzen. Hier hört der Spaß auf…

cvv_owasp_cvent
 

Die Registrierung und Zahlung bei OWASP hat, höflich ausgedrückt, noch Möglichkeiten sich an den ansonsten guten Veröffentlichungen von OWASP zu orientieren und zu verbessern…. peinlich ists trotzdem :-(.