[gelöst] Passwort wird im Klartext per Mail versendet :-(

[cool_smile]

Hallo,

habe mich gerade hier registriert. Wie auch viele andere - nehme ich mal an - habe ich weniger Kennwörter als Forenaccounts etc., d.h. ich verwende Kennwörter doppelt. Gerade dann ist es besonders ärgerlich, wenn das Kennwort, das ich gerade auf Debianforum festgelegt habe, mich im Klartext per Mail erreicht. Gerade von Leuten, die über ein Betriebssystem diskutieren, das als sehr sicher gilt, sollte soetwas nicht passieren!

Bitte versendet solche Mail ab sofort ohne das Kennwort -- es gibt doch einen automatischen Kennwort-Service, sollte man es vergessen.

Danke!
Nils

[KBDCALLS]

Man sollte ja sein Passwort nach der Anmeldung sofort wechseln. Und auch mal zwischendurch. Oder sogar regelmäßig wenn ganz paranoid veranlagt ist. Zumal die Mail nur einmalig versendet wird. Und dann nicht mehr. Schlimmer finde ich das manche Mailinglisten, regelmäßig (monatlich) einen Reminder im Klartext versenden. Und wer sich sein Passwort mit pwgen generiert ist schon mal etwas sicherer was das anbetrifft. Und wer dann noch sein Geburtsdatum oder den Namen seiner Freundin oder Hundes usw. nimmt braucht sich nicht wundern über geknackte Passwörter,

PS: Willkommen im Forum

[startx]

mit pwgen generiert ist schon mal etwas sicherer was das anbetrifft.

oder apg

http://www.adel.nursat.kz/apg/

[cool_smile]

Hi!

Klar kann ich mich zunächst mit einem generierten Kennwort anmelden, um das dann zu ändern. Würde man auf das Kennwort in der Mail (das keinerlei Vorteil bietet) verzichten, würde auch dieser Schritt entfallen. Zudem kann man vorher ja nicht wissen, ob das Kennwort nochmal zugesendet wird oder nicht.

Grüße
Nils

[inneas]

Hallo erstmal,

dass mein erster Beitrag hier gleich Kritik sein wird hätte ich eigentlich nicht erwartet.

Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.
Sowas tut man nicht, nein, niemals.
Ok, vl. wenn ihr das PW generiert - und das beim ersten Login geändert werden muss.
Von mir aus auch wenn ihr euch vorher meinen public-key besorgt und das ganze verschlüsselt.

Das Problem ist, dass ich zumindest für ein paar Seiten identische PW verwende (ja ich weiß, das macht man auch nicht).
Hinzukommt das ich google-apps nutze, das heißt mein PW liegt jetzt für immer und ewig auf den Google-Servern.

Vielleicht denkt ihr ja doch nochmal drüber nach.

lg
Andreas

[catdog2]

Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.
Sowas tut man nicht, nein, niemals.
Ok, vl. wenn ihr das PW generiert - und das beim ersten Login geändert werden muss.

Dem kann ich nur Zustimmen.

Besonders, wenn das Passwort kurz zuvor selbst angelegt wurde macht es gar keinen Sinn dieses wie auch immer zu versenden.

[habakug]

Hallo!

Es wundert mich auch etwas, das sich das, seit ich mich hier angemeldet habe, noch nicht geändert hat. Vor allem vermisse ich den Hinweis auf dieses Vorgehen, ich kann es zumindest nirgendwo finden. Es könnte in etwa so lauten:

Das eingegebene Passwort wird am Ende der Registrierung im Klartext an die eingegebene e-Mail Adresse geschickt. Daher sollte zunächst ein einfaches Passwort verwendet werden und dieses später geändert werden. Wir empfehlen Ihnen weiterhin, keine Passwörter zu verwenden, die für Sie geschäftskritisch sind.

Das es User gibt, die "Generalpasswörter" für nahezu alles nutzen, will ich nicht kritisieren. Jeder muß selber wissen, wie er sich und seine Daten schützt. Es sollte aber immer auf die Gefahren und Nachteile eines solchen Verhaltens hingewiesen werden.

Gruß, habakug

[Duff]

Von mir aus auch wenn ihr euch vorher meinen public-key besorgt und das ganze verschlüsselt.

Die Idee ist sicherlicht nicht schlecht auch wenn die Umsetzung ein wenig schwieriger ist.
Zumal wohl nicht jeder einen public-key im Einsatz hat bzw. PGP oder was auch immer in seinem Mail-Programm verwendet.

[123456]

Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.

Ich hätte es nicht fett geschrieben, aber sonst hast du natürlich Recht.

Das Problem ist, dass ich zumindest für ein paar Seiten identische PW verwende (ja ich weiß, das macht man auch nicht).

Genau.

[cool_smile]

Ich denke, wir sind uns doch alle einig, dass es so nicht bleiben sollte. Als Alternativen schlage ich vor:

• Ausdrücklich darauf hinweisen, dass das Kennwort im Klartext verschickt wird.
• Ein Wegwerfkennwort generieren und dieses im Klartext übertragen; es muss bei der ersten Anmeldung geändert werden
• Einen Link schicken, und das Kennwort erst nach der ersten Anmeldung festlegen (am Besten natürlich über https)
• Das Kennwort überhaupt nicht verschicken, und im Fall der Fälle (nämlich Kennwort vergessen) ein neues generieren

Ich mein, der status quo kann doch nicht der Ernst der debianforum-Admins sein. Jeder Popel-Board, dass ich in 3 Minuten aufgesetzt habe, kann das besser!

Mit stößt bei der Gelegenheit eine ganz andere Frage noch unangenehm auf: Werden die Kennwörter etwa im Klartext auf dem Server gespeichert? Es wäre nicht das erste Mal, dass ein großes Forum o.Ä. gehackt wird und ohnehin schon genügend persönliche Daten (z.B. Emailadressen) gestohlen werden. Aber in diesem unangenehmen Fall sollten die Kennwörter auf dem Server nur gehasht vorliegen! Alles andere würde von Naivität oder Dummheit zeugen.

Hoffentlich liest das hier einer der Admins ....

Grüße,
Nils

[feltel]

Das das Kennwort bei einer Registrierung im Forum im Klartext gesendet wird ist bei phpBB (was hier schon immer verwendet wird) und auch bei anderen Forensystemen, Wikis etc. eigentlich fast Standard. Keine Ahnung warum, aber es ist halt so. Das man das vielleicht nicht machen sollte, okay da gebe ich euch Recht. Fakt ist aber auch, das man für solche Registrierungen mit niedriger Priorität nie ein Kennwort verwenden sollte, wie man es für wichtige Anmeldungen (z.B. Systemkennwort, ...) verwendet.

Ich könnte mich auch nicht daran erinnern (hab jetzt nicht explizit danach gesucht), das dieses "Feature" schonmal hier auf Kritik gestoßen wäre. Auf phpBB.com (wo es als Upstream-Quelle eigentlich hingehört) kann ich aktuell nicht suchen.

Die Idee mit der GPG-Verschlüsselung der Forenmails klingt zwar gut, nur hat wahrscheinlich nicht einmal ein viertel aller User hier schonmal GPG verwendet oder gar einen aktuellen Key (wo sie noch den Private Key haben und sich an die Passphrase erinnern) auf einem öffentlichen Keyserver. Von daher würde dieses Feature nur wenigen was bringen.

Ich mein, der status quo kann doch nicht der Ernst der debianforum-Admins sein. Jeder Popel-Board, dass ich in 3 Minuten aufgesetzt habe, kann das besser!

Kannst Du dies auch mit einer öffentlich zugänglichen Testinstallation hinterlegen?

Mit stößt bei der Gelegenheit eine ganz andere Frage noch unangenehm auf: Werden die Kennwörter etwa im Klartext auf dem Server gespeichert? Es wäre nicht das erste Mal, dass ein großes Forum o.Ä. gehackt wird und ohnehin schon genügend persönliche Daten (z.B. Emailadressen) gestohlen werden. Aber in diesem unangenehmen Fall sollten die Kennwörter auf dem Server nur gehasht vorliegen! Alles andere würde von Naivität oder Dummheit zeugen.

Selbstverständlich werden die Kennwörter gehasht in der DB hinterlegt.

[KBDCALLS]

Ich möchte mal sehen was passiert , wenn man beim Regiestrieren aufgefordert wird einen gpg oder pgp Key erst einzureichen. Und wenn man das gemacht hat kriegt man erst seine Anmeldebestätogung samt Passwort. Wäre eventuell eine Idee um den Russenspam einzudämmen, obwohl es so aussieht als wenn die momentan die Lust verloren haben.

[TRex]

Naja, denen ist nicht langweilig...werd über IM zugespammt...

[cool_smile]

Ich mein, der status quo kann doch nicht der Ernst der debianforum-Admins sein. Jeder Popel-Board, dass ich in 3 Minuten aufgesetzt habe, kann das besser!

Kannst Du dies auch mit einer öffentlich zugänglichen Testinstallation hinterlegen?

Na klar

Ich muss zugeben, ich habe 10 Minuten gebraucht, und phpBB ist auch nicht unbedingt ein "Popel-Board"; aber es ist den Aufwand wert, wie ich finde.

http://testboard.sn4b.de/ (Edit: ist wieder offline. -- 16.02.09)

Bitte nicht missbrauchen.

Grüße,
Nils

[darken.muh]

Hinzukommt das ich google-apps nutze, das heißt mein PW liegt jetzt für immer und ewig auf den Google-Servern.

Es sollte allerdings gemeinhin bekannt sein, dass es Dienste (Foren, Browsergames, etc) gibt, welche das Passwort versenden, und nicht nur aus dieser Sicht ist es unsinnig Google-Dienste zu versenden, wenn du dich um Datensicherheit scherst. Aber das ist ja auch ein anderes Thema

[manes]

einen gnupgp-key bei der anmeldung halte ich angesichts des überaus öffentlichen charakters dieses forums und mangels hüstel relevanz (wenn ich mich über den geknackten mailaccount meines nachbarn anmelde: who cares?) für überzogen.
auf der registrierungsseite habe ich bei einem oberflächlichen drübersuchen keinen hinweis auf nen passwortversand gefunden.

für hinreichend sicher _und_ komfortabel halte ich aber eine der zwei anderen schon gemachten vorschläge:
-- automatische generierung eines per bestätigungsmail mitgeteilten wegwerfpasswortes, das bei der ersten anmeldung geändert werden muß
-- passwortvergabe bei der ersten anmeldung über mittels mail mitgeteilten link

my 2¢
manes

[feltel]

Mit dem Update auf phpBB 3.0.6 habe ich das Mailtemplate überarbeitet und ab sofort werden keine Kennwörter mehr in den Willkommensmails versandt.

[cool_smile]

hehe, zwei Jahre später, aber immerhin! Danke!