Zur Zeit läuft eine (kleine) Diskussion über die Sicherheit der (alten Version der) Postcard von der Postfinance (Anm. die Kundenkarte der Schweizer Postbank) z.B. bei bei Blogging Tom. Ausgelöst wurde das Gespräch durch den Vortrag «A not so smart card» von Bernd R. Fix am 23rd Chaos Communication Congress.
Für mich spannend, dass Bernd denselben Umstand bzgl. der Schlüssellänge an einer namics internen Weiterbildung im Jahre 2003 bereits ausführlich geschildert hatte… die Nachricht braucht lange um Aufmerksamkeit zu erlangen. Damals war der Beitrag gepaart mit einem spannenden Referat, welches ich hier gerne zur Verfügung stellen: Warum Hacker für die Computersicherheit kein Problem, sondern der Ansatz für eine Lösung sind… [pdf, 83KB].
Was ich aber erzählen wollte ist irgendwie off-topic, beschäftigte mich jedoch schon. Heute war ich am Postomat und wollte meinen Kontostand prüfen. Also ich diesen am Bildschirm hatte, begann das Gerät zu piepsen und die Transaktion wurde nach rund 10 Sekunden angebrochen. Für mich war es nicht möglich am Bildschirm die gesuchte Information zu lesen und als Navigationspunkte gab es nur «Hauptmenu» und «drucken». So eine Art Timeout wegen der Sicherheit nehme ich an… Ein Knopf zum verlängern wäre noch «usable» gibt es aber nicht.
Also ein erneutes Login und dann gleich ausdrucken des Kontostandes. Und so kam der folgende Zettel raus:
Und nun war ich wirklich verwirrt. Bitte liebe Postfinance, passt den Ausdruck so an, dass auch ein Mensch diesen lesen kann ohne eingebauten ASCII-Parser im Hirn.
PS: Und nun das peinliche Detail… Ich war so mit der möglichen Interpretation des Ausdrucks so beschäftigt, dass ich tatsächlich mein bezogenes Geld in der Maschine liegen liess… Dass mir je so was passierten könnte, hätte ich vorher nicht gedacht. Aber wie gesagt: Mein persönliches Sicherheitsproblem und es hat nichts mit der Schlüssellänge zu tun…
Mein persönliches Sicherheitsproblem heute
M
Tja und wie lautet der Rest der Story? Wenn so was passiert wird das Geld wieder eingezogen und gutgeschrieben, es sei denn, jeman kommt dazwischen und nimmt das Geld für sich. Letzteres wäre dann noch peinlicher. Ist mir auch schon passiert. Verdammt!
Ich finde den jetzt nicht sooo unleserlich! Über den Jahreswechsel sieht er natürlich nicht ganz so toll aus, aber der Platz ist natürlich beschränkt.
Ich muss Jürg unterstützen – es ist eine Katastrophe. Vor allem das vermutlich wichtigste Detail, nämlich das Plus hinter den Kommastellen des aktuellen Kontostands ist enorm leicht zu übersehen.
Das geht besser – und zwar mit wenig Aufwand.
@Leo. Was meinst Du nicht sooo unleserlich. Habe ich einen Knacks in der Linse oder bricht gar das Datum ganz oben über zwei Zeilen um. Geschweige von UEBRIGE CHF 0.00 unten… Ich raff es (fast) nicht.
Ok, gut. Der Umbruch ist schon ein wenig unschön (wenn man genug lange schlechten Code gewartet hat schreckt einem das nicht mehr ab). Da hat wohl einer die Zeichen nicht sauber abgezählt. Aber vieleicht solltest du dir einfach eine Linse mit Knack kaufen 😉