Die Lästerstunde ist noch nicht ganz vorbei, und da ich nun wirklich monatelang die Finger still gehalten habe, wird man mir hoffentlich verzeihen, wenn ich noch einen zweiten Rant dranhänge. Diesen habe ich mir eine ganze Weile aufgespart, obwohl mich soviel Unfähigkeit echt umgehauen hat. Die Geschichte ist etwas länger, aber die Details sind nötig, um zu beschreiben, wie schlampig da gearbeitet wurde.

Es ist nämlich kaum zu glauben, wie unfähig die Programmierer bei Pearson VUE offenbar sein können. Pearson VUE ist ein Unternehmen, das IT-Schulungen und IT-Zertifizierungen für IT-Unternehmen online und in speziellen Testcentern organisiert, mit hoher Wahrscheinlichkeit sogar IT-Security-Zertifizierungen. Also ein Unternehmen, das viel mit der IT, Sicherheit und Qualität in der IT zu tun hat. Man sollte doch davon ausgehen, dass man dort weiß, wie man halbwegs sichere Software entwickelt, und vor allem wie man testet, oder die richtigen Leute dafür kennt, die sowas können. Nichts davon trifft wirklich zu, wie sich mir kürzlich gezeigt hat. Kann sich jemand an mein Problem mit dem QNAP-NAS und dem abgeschnittenen Passwort erinnern? Dies hier ist die umgedrehte und noch dazu fortgeschrittene Variante davon. Und sowas im Jahr 2014.

Schritt 1: Account anlegen

Um an einer IT-Zertifizierung (etwa für Oracle) teilzunehmen, muss man zunächst einen Account bei Pearson VUE anlegen. Das habe ich mit meinem vollen Namen getan. Zuvor wurde betont, dass ich alle meine persönlichen Daten exakt so eingeben muss, wie sie auf dem Personalausweis stehen, da mir eine Zulassung nur bei Übereinstimmung gewährt wird. Im Registrierformular wird man aufgefordert, ein Passwort mit mindestens 7 Zeichen festzulegen. Das fällt mir nicht schwer, meine Passwörter sind in der Regel immer deutlich länger: 22 Zeichen sind es diesmal. Nachweislich sind lange Passwörter sehr viel sicherer gegen Bruteforce-Angriffe. Nach dem erfolgreichen Anlegen meines Accounts bekomme ich eine Bestätigungs-Mail, in der meine Daten wiederholt werden. Als dort Zeichensalat in meinem Nachnamen und in meiner Anschrift vorkommen (wegen den Umlauten), habe ich bereits ein ungutes Gefühl.

pearsonvue2

Schritt 2: Einloggen

Um meine Registrierung abzuschließen, muss ich mich erstmals einloggen. Ich gebe meine Daten in das Login-Formular ein … und bekomme nur eine Fehlermeldung zu sehen. Benutzername oder Passwort seien angeblich falsch. Fantastisch, das fängt ja schon sehr gut an. Ich will nur eine Zertifizierung buchen, scheitere aber schon beim Einloggen. Vertippt? Auch ein zweiter, dritter, und drölfter Versuch schlägt fehl. Inzwischen habe ich haarklein und penibel darauf geachtet, dass ich alles fehlerfrei eingegeben habe. Weder mein Passwort noch mein Benutzername enthalten deutsche Umlaute, daran dürfte es also nicht liegen. Ich erinnerte mich an das alte Problem mit QNAP: Heimlich abgeschnittene Passwörter. Aber es ist sogar noch schlimmer als das.

Schritt 3: Passwort zurücksetzen

Ich beschließe kurzerhand, einfach mein Passwort zurückzusetzen um ein kürzeres zu wählen. Wenn deren System damit nicht klarkommt, hätten sie das bitte auch vorher so schreiben sollen. Aber ich will nun nicht so sein. Das Passwort-Zurücksetzen-Formular ist recht einfach gehalten: Erst den Benutzernamen und dann den vollständigen Vor- und Nachnamen eingeben. Das System prüft dann, ob ein solcher Account vorliegt, bevor man fortfahren kann. Und das System zeigt mir eine Fehlermeldung, dass es meinen Account angeblich gar nicht gibt. Das ist ja hochinteressant, vor allem weil ich eine Bestätigungs-E-Mail vorliegen habe, in der das Gegenteil behauptet wird. Netter Versuch, Jungs. Mir fällt auf, dass das Formular den Umlaut in meinem Nachnamen ebenfalls völlig zerlegt hat. Wenn die DANACH gesucht haben, wundert mich nicht, dass sie nichts finden konnten. Ich versuche es erneut mit „oe“ statt „ö“. Vergeblich. Dann versuche ich es, indem ich den umgewandelten Zeichensalat unverändert wieder ins Formular zurückkopiere, könnte ja sein, dass das dann korrekt umgedreht wird. Wieder kein Treffer. Ich darf mein Passwort also nicht zurücksetzen, weil die meinen Namen auf Grund eines Kodierungsproblems nicht wiedererkennen.

pearsonvue1

Schritt 4: Neuer Account

Ich versuche es nun mit einem anderen Formular, das mir wenigstens meinen Benutzernamen herausfinden soll, wenn man diesen vergessen hat. Entsetzt stelle ich auch hier fest, dass man seinen vollen Namen eingeben muss. Wie erwartet, gibt es auch hier keinen Treffer. Die Webseite kann mit meinem Namen nicht umgehen. Ich ergreife den letzten Strohhalm, der sich mir bietet: Ich versuche einen neuen Account anzulegen, diesmal dann doch ohne Umlaute – wider besseren Wissens. Ich komme aber nicht weit: Schon nach der E-Mail-Adresse teilt mir das System mit, dass es schon einen Account gibt, der auf diese Adresse registriert ist. Ach jetzt auf einmal doch? Neuregistrierung fällt weg. Eine schöne Scheiße ist das. Die Maus knarzt unter meinem zornigen Griff.

Schritt 5: Support kontaktieren

Ich entschließe mich, mich an den Support zu wenden. Ich weise höflich, aber dennoch leicht genervt darauf hin, dass ich einen Account angelegt habe, mich aber weder einloggen, noch mein Passwort zurücksetzen, noch einen neuen Account anlegen darf, und wie zur Hölle ich jetzt bitteschön weitermachen soll. Zusätzlich gebe ich meine Einschätzung an, woran es liegen dürfte. Und dass ich weiß, dass ich nur das lateinische Alphabet benutzen soll, mein Name damit aber nicht korrekt geschrieben werden könne. Überhaupt müsste dieser Fall mit den unerlaubten Sonderzeichen abgefangen werden. Eine automatische Antwort-Mail verspricht, dass man sich um mein Anliegen binnen fünf Tagen kümmern wird. Na toll.

Schritt 6: Trick 17 … bzw. Trick 25

Füße stillhalten liegt mir gerade nicht besonders. Das ganze Thema nervt mich so sehr, dass ich das Einloggen aus Trotz weiter probiere. Schließlich fällt mir auf, dass das Login-Formular gar nicht alle eingegebenen Zeichen aufnehmen will. Das ist auch kein Wunder, wie ein Blick in den HTML-Code bestätigt:

<input type=“password“ size=“20″ autocomplete=“off“ value=““ name=“loginpassword“ maxlength=“16″/>

Meine Damen und Herren, hier sehen Sie ein Eingabefeld, das zwar immerhin 20 Zeichen breit ist, aber maximal 16 Zeichen als Eingabe erlaubt. 16 Zeichen! Mein Passwort ist 22 Zeichen lang! Ihr bescheuerten Spaßvögel von Pearson VUE, mal davon abgesehen, dass eine 16-Zeichen-Limitierung hinsichtlich IT-Sicherheit mindestens steinzeitlich ist, hättet ihr neben der Angabe, dass das Passwort mindestens sieben Zeichen lang sein MUSS, nicht auch schreiben können, dass es MAXIMAL 16 Zeichen lang sein DARF? Verärgert über soviel Inkompetenz wage ich ein kleines Experiment: Mit Hilfe von Firebug verändere ich den entsprechenden Teil in HTML, und setze dort stattdessen ein Limit auf 25 Zeichen. Das von mir modifizierte Login-Formular weihe ich mit meinen Zugangsdaten ein. Ein Klick später – und ich bin tatsächlich drin! Ich habe deren Fehler mal eben für mich korrigiert, und anstandslos konnte ich mich einloggen. Und wie sich herausgestellt hat, steht auch mein Nachname mit dem richtigen Umlaut in deren Datenbank, lediglich das Eingabeformular überträgt die falsche Kodierung. Das Abgleichen schlägt fehl.

Man stelle sich das mal vor: Ich musste die Webseite von Pearson VUE in meinem Browser manipulieren, damit ich mich überhaupt einloggen konnte. Beim Registrieren wird ein starkes Passwort mit einem Farbindikator forciert, sogar 40 Zeichen werden dort erlaubt (ich habe nachgesehen!). Und beim Einloggen dürfen es plötzlich nur noch maximal 16 Zeichen sein, da weiß wohl die rechte Hand nicht was die linke tut. Offensichtlich gibt es auch Nachbesserungsbedarf beim Formular zum Zurücksetzen des Passworts. Inzwischen gab es auch Antwort von Pearson VUE bzw. Oracle: Es gebe wohl doch keine Probleme, wenn man seinen Namen etwas anders schreibt als im Personalausweis. Ich hätte das Problem also von Anfang an vermeiden können. Aber dann wäre mir ja gar nicht aufgefallen, wie schlecht deren Webseite funktioniert.