GMX will Zugriffssicherheit auf Webmail verbessern

Als wichtigste Maßnahme schafft GMX "Geheimfrage/Geheimantwort"-Verfahren bei vergessenen Passwörtern ab. Es soll durch ein sicheres Authentifizierungsverfahren (alternative E-Mail-Adresse/SMS) ersetzt werden. Als weitere wichtige Verbesserung erfolgt die Volldarstellung von potenziell gefährlichen Dateianhängen und HTML-Mails nun unter einer separaten Domain, wodurch die persönlichen Daten des Users besser geschützt werden sollen.

Hat ein User sein GMX-Passwort vergessen, hatte er bisher die Möglichkeit, durch die Beantwortung einer von ihm bei der Anmeldung einmal definierten Geheimfrage Zugang zu seinem Account zu erhalten. Dies wird nun abgeschafft. In seinen Benutzerdaten kann jedes GMX-Mitglied eine alternative E-Mail-Adresse angeben. Im Falle eines vergessenen Passworts wird an diese Adresse auf Wunsch eine E-Mail mit einem kodierten Link auf eine spezielle GMX-Seite geschickt. Gleichzeitig wird ein Zugangscode auf dem Bildschirm angezeigt, der dann auf der Ziel-Seite eingegeben werden muss. Anschließend kann dann ein neues Passwort eingestellt werden.

Neu ist bei GMX die alternative Möglichkeit der User-Authentifizierung über SMS. Analog zum oben beschriebenen Verfahren kann das GMX-Mitglied im Falle eines vergessenen Passworts an die in seinen Benutzerdaten gespeicherte Handynummer eine SMS schicken lassen. Diese enthält den Zugangscode, welcher auf der über den auf dem Bildschirm angezeigten Link erreichbaren Seite eingegeben werden muss, um anschließend ein neues Passwort einrichten zu können.

Als weitere Vorsichtsmaßnahme wird die Vorgehensweise bei Passwort-Fehlversuchen geändert: Wird innerhalb einer kurzen Zeitspanne drei Mal ein falsches Passwort eingegeben, so wird der Account für zehn Minuten vollständig gesperrt.

Zusätzlich gelten bei GMX ab sofort strengere Sicherheitsanforderungen für die Auswahl des Zugangspassworts. Es muss künftig mindestens acht Zeichen lang sein und ein bestimmtes Mindestmaß an Komplexität aufweisen. Zudem wird die Verwendung von zu leicht zu erratenden Begriffen ausgeschlossen. Auch wird der User künftig alle zwei Monate beim Login darauf aufmerksam gemacht, dass er sein Passwort regelmäßig ändern sollte. Verpflichtet wird er jedoch dazu leider nicht.

Die vollständige E-Mail inklusive des aktiven Contents wird in einem neuen Browser-Fenster dargestellt. Diese so genannte "Volldarstellung" erfolgt künftig unter einer separaten Domain. Dadurch wird der Zugriff auf die aktive Session noch wirkungsvoller verhindert, als das bisher der Fall war. Darüber hinaus werden User vor dem Download von Mail-Anhängen, die ausführbare Dateien enthalten, zusätzlich gewarnt.