Ein Passwort muss 8 stellen haben

Jan 15.02.2017, 00:02

Ein Passwort muss 8 Stellen haben! Jedenfalls bei Lüftungsanlagen der Firma Helios.

Ich habe eine Helios EC450 Lüftungsanlage. Dieser Anlagentyp ist mit einem Webserver ausgestattet, der es erlaubt, die Lüftung über ein Webinterface zu steuern.

Das voreingestellte Benutzerkennwort ist "helios" und lässt sich ändern. Das neue Kennwort muss aber zwingend 8 Zeichen enthalten. WTF? Sicherheitstechnisch ist das ein unnötiges Risiko, da ein möglicher Angreifer schon mal die Länge des Kennwortes weiß. Die Sicherheit von Smart Homes war in letztes Zeit immer wieder in der Presse und es sind immer wieder dieses amateurmäßigen Implementierungen, die Löcher aufreißen.

Die Länge des Kennwortes wird aber nur per Javascript geprüft. Man kann also einen Breakpoint in die Methode lenpass(field, minlength, maxlength) setzen und die Variable maxlength von 8 auf 100 erhöhen :) Für Nicht-Softwareentwickler garnicht so einfach. Es bleibt fraglich, was sich die Entwickler dabei gedacht haben.

Es gibt auch einen Account für "Servicetechniker". Das erfährt man aber nur, wenn man sich durch die Bedienungsanleitung wühlt. Eine Benutzerverwaltung existiert nicht.

"Für die Erstinbetriebnahme ist das Servicetechniker-Login Passwort !helios! einzutragen.
Bei Bedarf kann das Passwort nachträglich geändert werden."

Auch dieses Kennwort sollte man tunlichst ändern!

Ich würde ja Helios auch direkt fragen, aber es gibt keine Support-E-Mail-Adresse auf der Webseite.