[gelöst] Passwort wird im Klartext per Mail versendet :-(
-
- Beiträge: 9
- Registriert: 26.01.2008 14:25:30
-
Kontaktdaten:
[gelöst] Passwort wird im Klartext per Mail versendet :-(
Hallo,
habe mich gerade hier registriert. Wie auch viele andere - nehme ich mal an - habe ich weniger Kennwörter als Forenaccounts etc., d.h. ich verwende Kennwörter doppelt. Gerade dann ist es besonders ärgerlich, wenn das Kennwort, das ich gerade auf Debianforum festgelegt habe, mich im Klartext per Mail erreicht. Gerade von Leuten, die über ein Betriebssystem diskutieren, das als sehr sicher gilt, sollte soetwas nicht passieren!
Bitte versendet solche Mail ab sofort ohne das Kennwort -- es gibt doch einen automatischen Kennwort-Service, sollte man es vergessen.
Danke!
Nils
habe mich gerade hier registriert. Wie auch viele andere - nehme ich mal an - habe ich weniger Kennwörter als Forenaccounts etc., d.h. ich verwende Kennwörter doppelt. Gerade dann ist es besonders ärgerlich, wenn das Kennwort, das ich gerade auf Debianforum festgelegt habe, mich im Klartext per Mail erreicht. Gerade von Leuten, die über ein Betriebssystem diskutieren, das als sehr sicher gilt, sollte soetwas nicht passieren!
Bitte versendet solche Mail ab sofort ohne das Kennwort -- es gibt doch einen automatischen Kennwort-Service, sollte man es vergessen.
Danke!
Nils
Zuletzt geändert von cool_smile am 27.11.2009 15:22:44, insgesamt 1-mal geändert.
- KBDCALLS
- Moderator
- Beiträge: 22364
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Man sollte ja sein Passwort nach der Anmeldung sofort wechseln. Und auch mal zwischendurch. Oder sogar regelmäßig wenn ganz paranoid veranlagt ist. Zumal die Mail nur einmalig versendet wird. Und dann nicht mehr. Schlimmer finde ich das manche Mailinglisten, regelmäßig (monatlich) einen Reminder im Klartext versenden. Und wer sich sein Passwort mit pwgen generiert ist schon mal etwas sicherer was das anbetrifft. Und wer dann noch sein Geburtsdatum oder den Namen seiner Freundin oder Hundes usw. nimmt braucht sich nicht wundern über geknackte Passwörter,
PS: Willkommen im Forum
PS: Willkommen im Forum
Zuletzt geändert von KBDCALLS am 26.01.2008 15:46:53, insgesamt 2-mal geändert.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
oder apgmit pwgen generiert ist schon mal etwas sicherer was das anbetrifft.
http://www.adel.nursat.kz/apg/
-
- Beiträge: 9
- Registriert: 26.01.2008 14:25:30
-
Kontaktdaten:
Hi!
Klar kann ich mich zunächst mit einem generierten Kennwort anmelden, um das dann zu ändern. Würde man auf das Kennwort in der Mail (das keinerlei Vorteil bietet) verzichten, würde auch dieser Schritt entfallen. Zudem kann man vorher ja nicht wissen, ob das Kennwort nochmal zugesendet wird oder nicht.
Grüße
Nils
Klar kann ich mich zunächst mit einem generierten Kennwort anmelden, um das dann zu ändern. Würde man auf das Kennwort in der Mail (das keinerlei Vorteil bietet) verzichten, würde auch dieser Schritt entfallen. Zudem kann man vorher ja nicht wissen, ob das Kennwort nochmal zugesendet wird oder nicht.
Grüße
Nils
Re: Passwort wird im Klartext per Mail versendet :-(
Hallo erstmal,
dass mein erster Beitrag hier gleich Kritik sein wird hätte ich eigentlich nicht erwartet.
Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.
Sowas tut man nicht, nein, niemals.
Ok, vl. wenn ihr das PW generiert - und das beim ersten Login geändert werden muss.
Von mir aus auch wenn ihr euch vorher meinen public-key besorgt und das ganze verschlüsselt.
Das Problem ist, dass ich zumindest für ein paar Seiten identische PW verwende (ja ich weiß, das macht man auch nicht).
Hinzukommt das ich google-apps nutze, das heißt mein PW liegt jetzt für immer und ewig auf den Google-Servern.
Vielleicht denkt ihr ja doch nochmal drüber nach.
lg
Andreas
dass mein erster Beitrag hier gleich Kritik sein wird hätte ich eigentlich nicht erwartet.
Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.
Sowas tut man nicht, nein, niemals.
Ok, vl. wenn ihr das PW generiert - und das beim ersten Login geändert werden muss.
Von mir aus auch wenn ihr euch vorher meinen public-key besorgt und das ganze verschlüsselt.
Das Problem ist, dass ich zumindest für ein paar Seiten identische PW verwende (ja ich weiß, das macht man auch nicht).
Hinzukommt das ich google-apps nutze, das heißt mein PW liegt jetzt für immer und ewig auf den Google-Servern.
Vielleicht denkt ihr ja doch nochmal drüber nach.
lg
Andreas
Re: Passwort wird im Klartext per Mail versendet :-(
Dem kann ich nur Zustimmen.Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.
Sowas tut man nicht, nein, niemals.
Ok, vl. wenn ihr das PW generiert - und das beim ersten Login geändert werden muss.
Besonders, wenn das Passwort kurz zuvor selbst angelegt wurde macht es gar keinen Sinn dieses wie auch immer zu versenden.
Unix is user-friendly; it's just picky about who its friends are.
- habakug
- Moderator
- Beiträge: 4313
- Registriert: 23.10.2004 13:08:41
- Lizenz eigener Beiträge: MIT Lizenz
Re: Passwort wird im Klartext per Mail versendet :-(
Hallo!
Es wundert mich auch etwas, das sich das, seit ich mich hier angemeldet habe, noch nicht geändert hat. Vor allem vermisse ich den Hinweis auf dieses Vorgehen, ich kann es zumindest nirgendwo finden. Es könnte in etwa so lauten:
Gruß, habakug
Es wundert mich auch etwas, das sich das, seit ich mich hier angemeldet habe, noch nicht geändert hat. Vor allem vermisse ich den Hinweis auf dieses Vorgehen, ich kann es zumindest nirgendwo finden. Es könnte in etwa so lauten:
Das es User gibt, die "Generalpasswörter" für nahezu alles nutzen, will ich nicht kritisieren. Jeder muß selber wissen, wie er sich und seine Daten schützt. Es sollte aber immer auf die Gefahren und Nachteile eines solchen Verhaltens hingewiesen werden.Das eingegebene Passwort wird am Ende der Registrierung im Klartext an die eingegebene e-Mail Adresse geschickt. Daher sollte zunächst ein einfaches Passwort verwendet werden und dieses später geändert werden. Wir empfehlen Ihnen weiterhin, keine Passwörter zu verwenden, die für Sie geschäftskritisch sind.
Gruß, habakug
Re: Passwort wird im Klartext per Mail versendet :-(
Die Idee ist sicherlicht nicht schlecht auch wenn die Umsetzung ein wenig schwieriger ist.inneas hat geschrieben: Von mir aus auch wenn ihr euch vorher meinen public-key besorgt und das ganze verschlüsselt.
Zumal wohl nicht jeder einen public-key im Einsatz hat bzw. PGP oder was auch immer in seinem Mail-Programm verwendet.
Oh, yeah!
Re: Passwort wird im Klartext per Mail versendet :-(
Ich hätte es nicht fett geschrieben, aber sonst hast du natürlich Recht.inneas hat geschrieben:Aber bitte, man versendet einfach keine Passwörter in Klartext per E-Mail.
Genau.Das Problem ist, dass ich zumindest für ein paar Seiten identische PW verwende (ja ich weiß, das macht man auch nicht).
-
- Beiträge: 9
- Registriert: 26.01.2008 14:25:30
-
Kontaktdaten:
Re: Passwort wird im Klartext per Mail versendet :-(
Ich denke, wir sind uns doch alle einig, dass es so nicht bleiben sollte. Als Alternativen schlage ich vor:
Mit stößt bei der Gelegenheit eine ganz andere Frage noch unangenehm auf: Werden die Kennwörter etwa im Klartext auf dem Server gespeichert? Es wäre nicht das erste Mal, dass ein großes Forum o.Ä. gehackt wird und ohnehin schon genügend persönliche Daten (z.B. Emailadressen) gestohlen werden. Aber in diesem unangenehmen Fall sollten die Kennwörter auf dem Server nur gehasht vorliegen! Alles andere würde von Naivität oder Dummheit zeugen.
Hoffentlich liest das hier einer der Admins ....
Grüße,
Nils
- Ausdrücklich darauf hinweisen, dass das Kennwort im Klartext verschickt wird.
- Ein Wegwerfkennwort generieren und dieses im Klartext übertragen; es muss bei der ersten Anmeldung geändert werden
- Einen Link schicken, und das Kennwort erst nach der ersten Anmeldung festlegen (am Besten natürlich über https)
- Das Kennwort überhaupt nicht verschicken, und im Fall der Fälle (nämlich Kennwort vergessen) ein neues generieren
Mit stößt bei der Gelegenheit eine ganz andere Frage noch unangenehm auf: Werden die Kennwörter etwa im Klartext auf dem Server gespeichert? Es wäre nicht das erste Mal, dass ein großes Forum o.Ä. gehackt wird und ohnehin schon genügend persönliche Daten (z.B. Emailadressen) gestohlen werden. Aber in diesem unangenehmen Fall sollten die Kennwörter auf dem Server nur gehasht vorliegen! Alles andere würde von Naivität oder Dummheit zeugen.
Hoffentlich liest das hier einer der Admins ....
Grüße,
Nils
- feltel
- Webmaster
- Beiträge: 10379
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Passwort wird im Klartext per Mail versendet :-(
Das das Kennwort bei einer Registrierung im Forum im Klartext gesendet wird ist bei phpBB (was hier schon immer verwendet wird) und auch bei anderen Forensystemen, Wikis etc. eigentlich fast Standard. Keine Ahnung warum, aber es ist halt so. Das man das vielleicht nicht machen sollte, okay da gebe ich euch Recht. Fakt ist aber auch, das man für solche Registrierungen mit niedriger Priorität nie ein Kennwort verwenden sollte, wie man es für wichtige Anmeldungen (z.B. Systemkennwort, ...) verwendet.
Ich könnte mich auch nicht daran erinnern (hab jetzt nicht explizit danach gesucht), das dieses "Feature" schonmal hier auf Kritik gestoßen wäre. Auf phpBB.com (wo es als Upstream-Quelle eigentlich hingehört) kann ich aktuell nicht suchen.
Die Idee mit der GPG-Verschlüsselung der Forenmails klingt zwar gut, nur hat wahrscheinlich nicht einmal ein viertel aller User hier schonmal GPG verwendet oder gar einen aktuellen Key (wo sie noch den Private Key haben und sich an die Passphrase erinnern) auf einem öffentlichen Keyserver. Von daher würde dieses Feature nur wenigen was bringen.
Ich könnte mich auch nicht daran erinnern (hab jetzt nicht explizit danach gesucht), das dieses "Feature" schonmal hier auf Kritik gestoßen wäre. Auf phpBB.com (wo es als Upstream-Quelle eigentlich hingehört) kann ich aktuell nicht suchen.
Die Idee mit der GPG-Verschlüsselung der Forenmails klingt zwar gut, nur hat wahrscheinlich nicht einmal ein viertel aller User hier schonmal GPG verwendet oder gar einen aktuellen Key (wo sie noch den Private Key haben und sich an die Passphrase erinnern) auf einem öffentlichen Keyserver. Von daher würde dieses Feature nur wenigen was bringen.
Kannst Du dies auch mit einer öffentlich zugänglichen Testinstallation hinterlegen?cool_smile hat geschrieben:Ich mein, der status quo kann doch nicht der Ernst der debianforum-Admins sein. Jeder Popel-Board, dass ich in 3 Minuten aufgesetzt habe, kann das besser!
Selbstverständlich werden die Kennwörter gehasht in der DB hinterlegt.cool_smile hat geschrieben:Mit stößt bei der Gelegenheit eine ganz andere Frage noch unangenehm auf: Werden die Kennwörter etwa im Klartext auf dem Server gespeichert? Es wäre nicht das erste Mal, dass ein großes Forum o.Ä. gehackt wird und ohnehin schon genügend persönliche Daten (z.B. Emailadressen) gestohlen werden. Aber in diesem unangenehmen Fall sollten die Kennwörter auf dem Server nur gehasht vorliegen! Alles andere würde von Naivität oder Dummheit zeugen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
- KBDCALLS
- Moderator
- Beiträge: 22364
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Re: Passwort wird im Klartext per Mail versendet :-(
Ich möchte mal sehen was passiert , wenn man beim Regiestrieren aufgefordert wird einen gpg oder pgp Key erst einzureichen. Und wenn man das gemacht hat kriegt man erst seine Anmeldebestätogung samt Passwort. Wäre eventuell eine Idee um den Russenspam einzudämmen, obwohl es so aussieht als wenn die momentan die Lust verloren haben.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Re: Passwort wird im Klartext per Mail versendet :-(
Naja, denen ist nicht langweilig...werd über IM zugespammt...
Jesus saves. Buddha does incremental backups.
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
Windows ist doof, Linux funktioniert nicht • Don't break debian! • Wie man widerspricht
-
- Beiträge: 9
- Registriert: 26.01.2008 14:25:30
-
Kontaktdaten:
Re: Passwort wird im Klartext per Mail versendet :-(
Na klarfeltel hat geschrieben:Kannst Du dies auch mit einer öffentlich zugänglichen Testinstallation hinterlegen?cool_smile hat geschrieben:Ich mein, der status quo kann doch nicht der Ernst der debianforum-Admins sein. Jeder Popel-Board, dass ich in 3 Minuten aufgesetzt habe, kann das besser!
Ich muss zugeben, ich habe 10 Minuten gebraucht, und phpBB ist auch nicht unbedingt ein "Popel-Board"; aber es ist den Aufwand wert, wie ich finde.
http://testboard.sn4b.de/ (Edit: ist wieder offline. -- 16.02.09)
Bitte nicht missbrauchen.
Grüße,
Nils
Zuletzt geändert von cool_smile am 16.02.2009 12:02:39, insgesamt 1-mal geändert.
-
- Beiträge: 8
- Registriert: 07.08.2006 20:09:02
Re: Passwort wird im Klartext per Mail versendet :-(
Es sollte allerdings gemeinhin bekannt sein, dass es Dienste (Foren, Browsergames, etc) gibt, welche das Passwort versenden, und nicht nur aus dieser Sicht ist es unsinnig Google-Dienste zu versenden, wenn du dich um Datensicherheit scherst. Aber das ist ja auch ein anderes Themainneas hat geschrieben:Hinzukommt das ich google-apps nutze, das heißt mein PW liegt jetzt für immer und ewig auf den Google-Servern.
Re: Passwort wird im Klartext per Mail versendet :-(
einen gnupgp-key bei der anmeldung halte ich angesichts des überaus öffentlichen charakters dieses forums und mangels hüstel relevanz (wenn ich mich über den geknackten mailaccount meines nachbarn anmelde: who cares?) für überzogen.
auf der registrierungsseite habe ich bei einem oberflächlichen drübersuchen keinen hinweis auf nen passwortversand gefunden.
für hinreichend sicher _und_ komfortabel halte ich aber eine der zwei anderen schon gemachten vorschläge:
-- automatische generierung eines per bestätigungsmail mitgeteilten wegwerfpasswortes, das bei der ersten anmeldung geändert werden muß
-- passwortvergabe bei der ersten anmeldung über mittels mail mitgeteilten link
my 2¢
manes
auf der registrierungsseite habe ich bei einem oberflächlichen drübersuchen keinen hinweis auf nen passwortversand gefunden.
für hinreichend sicher _und_ komfortabel halte ich aber eine der zwei anderen schon gemachten vorschläge:
-- automatische generierung eines per bestätigungsmail mitgeteilten wegwerfpasswortes, das bei der ersten anmeldung geändert werden muß
-- passwortvergabe bei der ersten anmeldung über mittels mail mitgeteilten link
my 2¢
manes
Sometimes you have a programming problem and it seems like the best solution is to use regular expressions; now you have two problems.
David Mertz
David Mertz
- feltel
- Webmaster
- Beiträge: 10379
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
Re: Passwort wird im Klartext per Mail versendet :-(
Mit dem Update auf phpBB 3.0.6 habe ich das Mailtemplate überarbeitet und ab sofort werden keine Kennwörter mehr in den Willkommensmails versandt.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
-
- Beiträge: 9
- Registriert: 26.01.2008 14:25:30
-
Kontaktdaten:
Re: Passwort wird im Klartext per Mail versendet :-(
hehe, zwei Jahre später, aber immerhin! Danke!