Ich liebe das Thema der „geheimen Fragen“ und das ganze Drumherum verlorener Usernames und Passwörter. Hab schon einen ganzen Zeix Usability Guide darüber geschrieben, damals, 1870/71.
Eigentlich hasse ich es natürlich. Ich liebe es nur, weil es aus Usability-Sicht so vielschichtig ist. Das ganze Thema „Wiederherstellen von verlegten Usernames und Passwörtern“ wächst sich nämlich langsam zur Epidemie aus. Seit nämlich viele Sites dazu übergegangen sind, keine normalen Usernames mehr zuzulassen, sondern den Leuten die Mailadresse als Username abzuverlangen (m.E. ursprünglich eine Usability-Überlegung, weil damals und bis heute viele Anfänger den Unterschied zwischen Username und Passwort nicht verstehen – klingt absurd, aber ich weiss, wovon ich rede, habe zahlreiche Beispiele erlebt.)
Also die E-Mail-Adresse. Aktuell weiss man die meist. Aber retrospektiv muss man sagen: Welche? Wann? Hier meine jeweiligen Haupt-E-Mailadressen in den letzten zehn Jahren (das ist nicht der Anfang, vorher waren es auch schon fünf):
- peter@hogen….com (privat, seit 1997, vor etwa drei Jahren de facto aufgegeben wegen zuviel Spam und – damals – zu schlechter Filter)
- peter.hogen…@unisg.ch (1998-2000)
- peter.hogen…@zeix.net (2000-20002) am Anfang hatten wir .com noch nicht, das haben wir erst später gekauft, nachdem jemand es nicht verlängert hat)
- peter.hogen…@zeix.com (2002 bis 2005, immer noch regelmässig genutzt für Zeix-Logins)
- peter.hogen…@gmail.com (Haupt-Privatadresse seit 2005)
- peter.hogen@blogwerk.com (seit 2006)
Zusammen mit meinem Standard-Username phogenkamp (den man aber wie gesagt beim Registrieren nicht überall nehmen kann, weil oft eine Mailadresse verlangt wird) sind das schon mal sieben mögliche Usernames. Ich versuche jeweils zu schätzen, wann ich mich irgendwo angemeldet habe und dadurch die damals relevante Mailadresse zu erraten. Das geht öfter schief als es klappt.
Von den verschiedenen Passwörtern wollen wir gar nicht reden. Ich habe eine Handvoll, die ich variiere, aber ich habe keine Superlösung wie Roboform oder so, bei der ich mir ein Passwort generieren lasse, ohne es jemals zu kennen. Habe ich mal probiert, hat sich nicht als praktikabel erwiesen. Ich arbeite an zu vielen Computern, und um immer denselben Memory Stick bei mir zu haben, bin ich zu unorganisiert.
Dann gibt es natürlich noch Sites, wo einem der Username einfach zugewiesen wird und h123456 ist, aber beim Login sagen sie einem das natürlich nicht, d.h. wenn man sich nicht erinnern kann, probiert man erstmal ein Dutzend der anderen Varianten durch, bevor man es vielleicht wieder rausfindet. Bei SWITCH z.B. ist mir das schon x Mal passiert; jedes Mal, wenn ich es ein halbes Jahr nicht nutze, vergesse ich den Zahlenquatsch wieder.
Und dann gibt es noch den nicht identischen, aber auch ganz lustigen Fall, dass man nicht weiss, bei welchem Dienst man überhaupt welchen Service abonniert hat. Das geht mir oft bei den Domain-Registrars so. Angefangen habe ich dort mit Internic, als sie noch Monopolist waren, dann kam Register.com hinzu, weil die billiger waren, dann – den dritten hab ich vergessen, sag ich ja! – dann Speednames, dann United Domains. Und überall sind zwei, drei versprengte Domains, und weil ich früher sowas immer selbst gemacht habe, auch noch privat und Zeix gemischt.
In den letzten Monaten haben der Zeix-Sysadmin Philipp (im Hauptberuf ist er Consultant; das macht er nur nebenbei) und ich die Zeix-Domains konsolidiert, d.h. alle auf Zeix als Inhaber umgemeldet und zu nur noch zwei Registrars übertragen. Selten so einen zähen Prozess gesehen. Das liegt an vielen Dingen, aber Autorisierungsmechanismen sind einer der grössten Nervfaktoren.
Der vorläufige Höhepunkt kam diese Woche. Wir wollten zeix.org, das bei register.com war, von dort wegholen. Dazu braucht man einen „AUTH CODE„. Den mailen sie einem, aber auch wenn peter@hogen….com dort eingetragen war, kam die Mail nicht an, auch nicht mit dreimal probieren, auch nicht im Spamfilter.
Dann mailte Philipp, der Kontakt mit Register.com hatte:
Der Support will Deine geheime Frage wissen.
> Could you reply to this email with the answer to the secret
> question: What is the first and last name of your first boyfriend
> or girlfriend?
Oops. Wie konnte das überhaupt sein? Normalerweise nehme ich immer eine selbstgestellte geheime Frage, die sich um den Wohnort einer Verwandten einer Schulfreundin dreht. Wo das nicht geht, halt „Mother’s maiden name“ (auch wenn das ja haufenweise Leute wissen) – aber doch nicht „First Girlfriend“! Das kann eigentlich nur heissen, dass die Alternativen extrem dämlich gewesen sein müssen. Ich tippe auf pet’s name (hatte und habe ich nicht), favorite color, food, band, song, etc. – also alles, was man eigentlich nicht eindeutig sagen kann, schon gar nicht nach Jahren.
Hab schnell mal nachgeschaut:
- What was your favorite place to visit as a child? (Keine Ahnung! Das Sofa vor dem Fernseher?)
- Who is your favorite actor, musician, or artist? (War noch nie ein Fan-Typ. Und, überhaupt, in welchem Alter? Shakin Stevens? Spider Murphy Gang? Billy Joel?)
- What is the first and last name of your first boyfriend or girlfriend?
- What street did you grow up on? (Kurt-Schumacher-Straße. Hat 22 Zeichen. Mit ß oder ss?)
- What was the name of your favorite teacher? (Keine Ahnung. Und wieder: Grundschule, Gymnasium, Unterstufe, Mittelstufe, Oberstufe?)
(3-20 alphanumeric characters)
Kein Wunder bei dieser miesen Auswahl, dass man einige Jahre später man nicht nur Username und Passwort vergessen hat, sondern auch die Antwort auf die geheime Frage. Also musste es „girlfriend“ sein. Und das jetzt auch noch via Philipp.
Ich hätte natürlich selbst mit denen mailen können, aber um es nicht komplizierter zu machen – sie hiess: Anja Rathert, habe ich Philipp anvertraut. (Da sie schon kurz danach geheiratet hat, ist die Chance, dass sie sich unter ihrem Mädchennamen googelt, überschaubar.) Trotzdem irgendwie komisch, das mit Philipp zu teilen und einem wildfremden Supporter. Man rechnet ja damit, dass man über solche Dinge nur mit der Datenbank kommuniziert. Was wäre, wenn er Stefan geheissen hätte?
Jedenfalls, Dick Hardt, ja, Du, mit der vor zwei Jahren omnipräsenten Lawrence-Lessig-Identity-2.0-Präsentation – Du bist dringend nötig. Von mir aus auch OpenID oder was auch immer; aber irgendwas muss passieren. Wenn ich die letzten zehn Jahre auf die nächsten dreissig hochrechne, kann es so nicht weitergehen. Danke fürs Drumkümmern.
Ja und war Anja nun die richtige Antwort? Oder war da doch noch eine vor Anja?
Fragen über Fragen ;-)
*lol* witziger Beitrag ;-)
Hab mich auch schon oft gefragt, ob es sich nicht einmal lohnen würde, etwas Systematik ins eigene Passwort-Chaos zu bringen.
Ach so.