(gelöst) Sicherheitsabfragen

Smalltalk
Antworten
guennid

(gelöst) Sicherheitsabfragen

Beitrag von guennid » 25.03.2018 11:15:06

Ich habe ein Mailkonto bei Arcor (Vodafone?). Es ist Jahre her, seit ich das letztmals via Browser geöffnet habe. Soweit ich erinnere, konnte ich mich bei www.arcor.de mit der Mail-Adresse und meinem Passwort einloggen und hatte dann den Inhalt meines Kontos. Jetzt kommt nach diesem Einloggen bei Arcor eine https-vodafone-Seite und verlangt von mir die Beantwortung dreier "Sicherheitsabfragen" Kann man verifizieren, dass das seine Richtigkeit hat?
Zuletzt geändert von guennid am 03.04.2018 09:05:35, insgesamt 1-mal geändert.

BenutzerGa4gooPh

Re: Sicherheitsabfragen

Beitrag von BenutzerGa4gooPh » 25.03.2018 11:35:45

guennid hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 11:15:06
Jetzt kommt nach diesem Einloggen bei Arcor eine https-vodafone-Seite und verlangt von mir die Beantwortung dreier "Sicherheitsabfragen" Kann man verifizieren, dass das seine Richtigkeit hat?
Bei vielen Anbietern wählt man aus vorgegebenen Sicherheitsabfragen einige aus und definiert die persönlichen AWs. Blödes Beispiel,
Auswahl: Name der Katze, Name des Hundes. Name der Katze davon ausgewählt, persönliche Antwort konfiguriert: Wuff. Also beidseitig verifizierbar. (Dreiseitig - falls Wuff noch leben sollte und er/sie dir zu antworten gedenkt. Katzen beiderlei kastriertem Geschlechts sind da etwas eigen. Mein Mann hat mir das auch lange Zeit übel genommen.)
Zuletzt geändert von BenutzerGa4gooPh am 25.03.2018 12:21:34, insgesamt 6-mal geändert.

eggy
Beiträge: 3331
Registriert: 10.05.2008 11:23:50

Re: Sicherheitsabfragen

Beitrag von eggy » 25.03.2018 11:44:13

Falls Du Dich darueber wunderst dass da jetzt Vodafone steht: https://www.heise.de/newsticker/meldung ... 08615.html
Ob die Seite inzwischen immernoch von Vodafone betrieben wird oder die die aufgegeben haben, keine Ahnung. Das https-Zertifikat ansehen wäre der nächste Schritt. Einfach mal bei Kundendienst nachfragen ne andere (wobei da evtl auch nur ein uninformierter Mensch die URL in nen Browser eintippt, sieht "ah unser Logo" und schlussfolgert "also ist es auch unserer Seite")

guennid

Re: Sicherheitsabfragen

Beitrag von guennid » 25.03.2018 14:38:41

eggy hat geschrieben:Falls Du Dich darueber wunderst, dass da jetzt Vodafone steht:
Nein eigentlich nicht. Dass da wie auch immer geartete Geschäftsbeziehungen existier(t)en, war mir bekannt. Ich stehe nur wieder mal vor dem Problem, dass man als Laie eigentlich ziemlich hilflos bin, bei dem, was man da so mit seiner Maus schubst oder in die Tasten haut (gewischt wird hier noch nicht :wink: ).
Jana66" hat geschrieben:Bei vielen Anbietern wählt man aus vorgegebenen Sicherheitsabfragen einige aus
Mein Problem ist, dass ich genauso weing wie eggys "uninformierter" Vodafone-Mitarbeiter weiß, ob der der sich da als mein Anbieter ausgibt, tatsächlich mein Anbieter ist. Diese dümmlichen Fragen mit irgendwie witzigen Antworten zu konterkarieren, wird mir wohl nicht schwerfallen.
Das https-Zertifikat ansehen wäre der nächste Schritt.
Wie geht das?

BenutzerGa4gooPh

Re: Sicherheitsabfragen

Beitrag von BenutzerGa4gooPh » 25.03.2018 14:54:38

guennid hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 14:38:41
Mein Problem ist, dass ich genauso weing wie eggys "uninformierter" Vodafone-Mitarbeiter weiß, ob der der sich da als mein Anbieter ausgibt, tatsächlich mein Anbieter ist. Diese dümmlichen Fragen mit irgendwie witzigen Antworten zu konterkarieren, wird mir wohl nicht schwerfallen.
Da hast du mich wohl falsch verstanden: An den akzeptierten AWs (deine recht persönlichen) merkst du das.
Reales Beispiel: Familienname deiner Unterstufenlehrerin wird gefragt ... Du hattest vor Jahren die AWs wohl bei Arcor vorgegebenen. Denke ich jedenfalls. In Verbindung mit 2 weiteren Fragen/Antworten recht einzigartig. Konterkarieren / falsche AW wird zur Ablehnung eines Anliegens führen: Das Verfahren wird oft dazu verwendet, vergessene Passworte des richtigen Anforderers zurück zu setzen.

Kann natürlich sein, dass der Arcor-Rechtsnachfolger Vodafone das Verfahren nun neu einführt, du nun deine speziellen AWs erstmals vorgeben sollst. Damit wäre die Thread-Eröffnung und -Titel verwirrend gewesen, es geht dir dann nur darum, eine Website zu verifizieren. Also das Zertifikat. Bzw. bei Änderung des Anbieters dessen korrekten Rechtsnachfolger. Also Zertifikat prüfen sowie Handelsregister, falls du eggys Link oder Wikipedia nicht traust. :wink:
https://ssl-trust.com/SSL-Zertifikate/check für https://www.vodafone.de oder https://www.arcor.de
Per Browser: https://www.libe.net/Zertifikate
Die Arcor AG & Co. KG war bis zur Übernahme durch die Vodafone Group am 19. Mai 2008 nach der Deutschen Telekom das zweitgrößte Festnetz-Telekommunikationsunternehmen Deutschlands. Ihr Hauptsitz war in Eschborn. Zum 1. August 2009 wurde die Arcor AG & Co. KG in Vodafone AG & Co. KG umfirmiert. Gleichzeitig fand für die gesamte Produktwelt des Festnetz- und Internetanbieters der Markenwechsel von Arcor zu Vodafone statt.

Am 8. März 2011 wurde die Arcor AG & Co. KG aus dem Handelsregister gelöscht und ist somit als eigenständige Firma nicht mehr existent.
https://de.wikipedia.org/wiki/Arcor

guennid

Re: Sicherheitsabfragen

Beitrag von guennid » 25.03.2018 15:29:58

Jana66 hat geschrieben:Da hast du mich wohl falsch verstanden:
oder du mich. :wink:
Du hattest vor Jahren die AWs wohl bei Arcor vorgegebenen. Denke ich jedenfalls.
Ich nicht. Zumindest habe ich keinerlei Erinnerung daran - ich schreibe sowas gemeinhin auf. Das eingegebene Passwort wurde auch nicht als falsch angemeckert.
Kann natürlich sein, dass der Arcor-Rechtsnachfolger Vodafone das Verfahren nun neu einführt, du nun deine speziellen AWs erstmals vorgeben sollst.
Mal immer erst mal das Gute in allen Menschen unterstellend, vermute ich das auch :wink: Aber im gegebenen Zusammenhang: WEIß man's? :wink:

Die Übernahme von arcor (eigentlich Mannesmann) durch vodafone war dazumalen eine ziemlich große Sache im Themenzusammenhang "feindliche Übernahme". Kann man Bezüge herstellen zur VW/Porsche-Geschichte (wag the dog - übrigens einer meiner Lieblingsfilme) - diesmal ganz ohne Diesel. :wink:

Was den bemängelten Threadtitel angeht: Den habe ich bei Vodafone abgeschrieben. 8)

guennid

Re: Sicherheitsabfragen

Beitrag von guennid » 25.03.2018 15:50:12

guennid hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 15:29:58
Jana66 hat geschrieben:Da hast du mich wohl falsch verstanden:
oder du mich. :wink:
Du hattest vor Jahren die AWs wohl bei Arcor vorgegebenen. Denke ich jedenfalls.
Ich nicht. Zumindest habe ich keinerlei Erinnerung daran - ich schreibe sowas gemeinhin auf. Das eingegebene Passwort wurde auch nicht als falsch angemeckert.
Kann natürlich sein, dass der Arcor-Rechtsnachfolger Vodafone das Verfahren nun neu einführt, du nun deine speziellen AWs erstmals vorgeben sollst.
Mal immer erst mal das Gute in allen Menschen unterstellend, vermute ich das auch :wink: Aber im gegebenen Zusammenhang: WEIß man's? :wink:

Die Übernahme von arcor (eigentlich Mannesmann) durch vodafone war dazumalen eine ziemlich große Sache im Themenzusammenhang "feindliche Übernahme". Kann man Bezüge herstellen zur VW/Porsche-Geschichte (wag the dog - übrigens einer meiner Lieblingsfilme) - diesmal ganz ohne Diesel. :wink:

Was den bemängelten Threadtitel angeht: Den habe ich bei Vodafone abgeschrieben. 8)
Und danke für die Links! :THX:

Ich habe mal den 1. aufgerufen, da soll ich eine "domain" angeben. Alles, was ich zu wissen glaube, ist, dass eine domain ein Bestandteil einer Netzwerkadresse ist. Die komplette im Adressfeld ersichtliche URL poste ich erst mal nicht, immerhin erscheint die ja nach einem wie vollständig auch immer erfolgten login meinerseits

BenutzerGa4gooPh

Re: Sicherheitsabfragen

Beitrag von BenutzerGa4gooPh » 25.03.2018 16:41:28

guennid hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 15:50:12
Ich habe mal den 1. aufgerufen, da soll ich eine "domain" angeben.
Eine URL hatte ich getestet. www.arcor.de wird im Eingabefeld automatisch draus gemacht, https:// fest vorgegeben.
Common Name Details Schlüssellänge Gültigkeit Signatur-Algorithmus Ergebnis
www.arcor.de
Alternativen:
www.arcor.de
arcor.de
C=GB
ST=Berkshire
L=Newbury
O=Vodafone Group Services Limited
OU=TOSP
2048 bit 13.04.2017
bis
18.04.2019 SHA256
DigiCert SHA2 Secure Server CA
C=US
O=DigiCert Inc
2048 bit 08.03.2013
bis
08.03.2023 SHA256
DigiCert Global Root CA
C=US
O=DigiCert Inc
OU=www.digicert.com
2048 bit 10.11.2006
bis
10.11.2031 SHA1
Common Name Details Schlüssellänge Gültigkeit Signatur-Algorithmus Ergebnis
*.vodafone.de
Alternativen:
*.vodafone.de
vodafone.de
2048 bit 03.03.2017
bis
02.05.2018 SHA256
RapidSSL SHA256 CA - G2
C=US
O=GeoTrust Inc.
2048 bit 10.06.2014
bis
09.06.2024 SHA256
GeoTrust Primary Certification Authority - G3
C=US
O=GeoTrust Inc.
OU=(c) 2008 GeoTrust Inc. - For authorized use only
2048 bit 02.04.2008
bis
01.12.2037 SHA256
Aber nun musst du noch die CAs ("Zertifikat-Autoritaeten") und ssl-trust.com verifizieren - oder denen vertrauen ... ein Aluhut ist zwar nicht aber hat's schwer. :mrgreen:

guennid

Re: Sicherheitsabfragen

Beitrag von guennid » 25.03.2018 17:06:53

OK, da kommt dann wie bei dir raus, dass die Seite ssl-trust.com meint, dass die Seite www.vodafone.de vertrauenswürdig sei. Nun vertraue ich zwar ssl-trust.com nicht, aber ich vertraue Jana, die mich bestimmt darauf hingewiesen hätte, wenn mit ssl-trust.com etwas problematisch gewesen wäre. :wink:

BenutzerGa4gooPh

Re: Sicherheitsabfragen

Beitrag von BenutzerGa4gooPh » 25.03.2018 17:21:08

guennid hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 17:06:53
Nun vertraue ich zwar ssl-trust.com nicht, aber ich vertraue Jana, die mich bestimmt darauf hingewiesen hätte, wenn mit ssl-trust.com etwas problematisch gewesen wäre.
Wieso vertraust du mir? Wir kennen uns doch gar nicht persönlich. Im Zusammenhang "Zertifikate" recht ernsthaft und rhetorisch gefragt, antworten musst du nicht. :wink:

Die Seite hat mir auch nur mein Haustier (Duckduckgo) verraten (kein Problem, gibt weitere Websites, also verifizierbar) und wichtiger: Die Vertrauenswürdigkeit der CAs kann ich nicht beurteilen. Gibt ähnliche Seiten und ähnliche Methoden mit m. E. gleichen Grundlagen. Suchbegriffe "https Zertifikat prüfen" für teutsche Treffer!

Gegenprüfung wäre mal eine betrügerische Website. Gibt mit Sicherheit viele mit gültigem Zertifikat. Geht ja nur darum, festzustellen, es ist wirklich der, der sich von der Zertifizierungsstelle (CA) oder von einem von ihr autorisierten Unternehmen ein Zertifikat gekauft hat und dieses gültig ist. Gibt auch 10-Jahres-Zertifikate (zwischendurch Kontrollen?) und weitergeben/stehlen funktioniert u. U. auch. Nebenbei gab (gibt?) es Symantec als Zertifizierungsstelle, der das Vertrauen von Mozilla und Google entzogen wurde. Nach etlichen Unregelmäßigkeiten, längerer Ankündigung und nicht von jetzt auf gleich. Fehlerhaft ausgestellte Zertifikate waren auch nach Bekanntwerden der Unregelmäßigkeiten gültig.
https://www.sslpoint.com/de/chrome-vert ... -symantec/
Der Caching-Dienst Cloudflare bietet seit einigen Monaten Gratis-Zertifikate per Mausklick. Jetzt sind auch die Online-Ganoven auf den Geschmack gekommen. Sie nutzen den Dienst, um täuschend echt wirkende Phishing-Sites zu erstellen.
...
Der "Flexible SSL" getaufte Zertifikatsdienst von Cloudflare ist nicht unumstritten: Durch die gültigen Zertifikate entsteht bei den Website-Besuchern der Eindruck, dass die Verbindung zum genutzten Dienst verschlüsselt ist. Tatsächlich ist aber nur die Verbindung bis zu dem Caching-Servern von Cloudflare verschlüsselt. Diese kommunizieren bei Flexible SSL unverschlüsselt mit dem eigentlichen Webserver. Befindet sich der Cloudflare-Server in den USA, wird der Traffic also im Klartext von dort aus an den Webserver geschickt.

Ihr Vorhaben hätten die Phisher allerdings auch ohne Cloudflare umsetzen können: Mit etwas höherem Aufwand hätten Sie das Zertifikat auch bei anderen Herausgebern bekommen. In der Regel überprüfen diese nur, ob man tatsächlich die Kontrolle über die Domain hat. Die Nutzung von Cloudflare hat für die Ganoven jedoch den Vorteil, dass die Seite auch noch auf den Caching-Servern des Unternehmens zwischengespeichert wird und so auch unter großer Besucherlast gut erreichbar bleibt.
https://www.heise.de/security/meldung/P ... 14585.html

guennid

Re: Sicherheitsabfragen

Beitrag von guennid » 25.03.2018 19:43:28

Jana66 hat geschrieben:Wieso vertraust du mir? Wir kennen uns doch gar nicht persönlich. Im Zusammenhang "Zertifikate" recht ernsthaft und rhetorisch gefragt, antworten musst du nicht. :wink:
Ach Jana!
Jana66 hat geschrieben:Die Seite hat mir auch nur mein Haustier (Duckduckgo) verraten (kein Problem, gibt weitere Websites, also verifizierbar) und wichtiger: Die Vertrauenswürdigkeit der CAs kann ich nicht beurteilen.
Womit wir wieder am Anfang wären. Ich kann's auch nicht. :wink:

BenutzerGa4gooPh

Re: Sicherheitsabfragen

Beitrag von BenutzerGa4gooPh » 26.03.2018 09:07:15

guennid hat geschrieben: ↑ zum Beitrag ↑
25.03.2018 19:43:28
Womit wir wieder am Anfang wären. Ich kann's auch nicht. :wink:
1. Nö. 2. Doch: Du könntest eine zweite, unabhängige, öffentlich kontrollierte "Person" nach der korrekten Website befragen: https://de.wikipedia.org/wiki/Vodafone#Weblinks
oder/und Telefonbuch / telefonische Verifikation (Mitarbeiter nach Website fragen) für Standorte:
Die Konzern-Standorte der heutigen Vodafone GmbH befinden sich in Düsseldorf-Heerdt[6] (Vodafone-Campus und Zentrale), Eschborn und Berlin (Konzernrepräsentanz). Daneben gibt es insgesamt acht Regional-Niederlassungen: Hamburg und Langenhagen (Region Nord), Berlin (Region Nord-Ost), Dortmund (Region Nord-West), Eschborn/Frankfurt (Region Rhein-Main), Radebeul/Dresden (Region Ost), München (Region Süd), Stuttgart (Region Süd-West) sowie Ratingen/Düsseldorf (Region West).[7]
Wenn 2 oder 3 unabhängige "Auskunfteien" das Gleiche sagen ... Thread nun gelöst?

TuxPeter
Beiträge: 1954
Registriert: 19.11.2008 20:39:02
Lizenz eigener Beiträge: MIT Lizenz

Re: Sicherheitsabfragen

Beitrag von TuxPeter » 26.03.2018 10:15:24

Wer an allem zweifeln wollte, der würde auch nicht bis zum Zweifel kommen“
Ludwig Wittgenstein

franjowulff
Beiträge: 9
Registriert: 13.09.2017 15:15:24

Re: Sicherheitsabfragen

Beitrag von franjowulff » 26.03.2018 14:22:23

Ja ich persönlich finde das auch jedes Mal ziemlich blöd, weil das einfach unnötig ist.

guennid

Re: Sicherheitsabfragen

Beitrag von guennid » 03.04.2018 09:03:18

TuxPeter hat geschrieben:
Wer an allem zweifeln wollte, der würde auch nicht bis zum Zweifel kommen“
Ludwig Wittgenstein
Nun ja, Zweifel an einer Internetadresse halt ich dann doch für noch etwas anderes als Zweifel "an allem". :wink:
Nichtsdestotrotz, ich habe mich dann in Erinnerung an das hier (1) ergeben, die Prozedur durchgezogen und bin bei meinen Mails für das Arcor-Konto gelandet.

(1):
„Ich brauchte seinerzeit einen neuen Regenschirm. Es war zu überlegen‚ wie ich in meiner Rolle als Abnehmer die in der freien Marktwirtschaft mir obliegende Pflicht der Auswahl am besten treffen könnte. In Köln gibt es, so nahm ich an, etwa 50 Läden, in denen man einen Regenschirm kaufen kann. Diese müßte ich pfiichtgemäß alle aufsuchen ... Dann gibt es schätzungsweise 200 Sorten Regenschirme für Herren. Da es ein schwarzer Regenschirm mit gebogener Krücke sein sollte, mag sich die Sortenzahl auf 100 ermäßigen. Nun aber geht es mir um einen möglichst dauerhaften Regenschirm, dessen Stoff, Stock und Mechanik lange halten und auch bei starkem Wind brauchbar bleiben. Ich fand bald heraus, daß, allein um die Güte der Regenschirmstoffe auf Haltbarkeit und Wasserdurchlässigkeit zu prüfen, ein Kursus nötig sei, den ein Freund auf 4 Wochen Dauer schätzte ... Auch die Mechanik sei, so meinte er,in ihrer Qualität verschieden, und man müsse schon etwas davon verstehen, wenn man eine sachkundige Auswahl treffen wolle. Diese Überlegungen führten dahin, daß ich, um mich und meine Familie mit dem nötigen Hausrat und der nötigen Bekleidung zu versehen, meinen Beruf aufgeben und dazu noch einen Assistenten anstellen müsse.
Dieses bedenkend, verzichtete ich auf jede Konkurrenzprüfung, ging in den nächsten Laden und kaufte unter den zehn vorgelegten Schirmen einen ohne lange Prüfung und zahlte dafür, was gefordert wurde.“
(Eugen Schmalenbach, Der freien Wirtschaft zum Gedächtnis, Köln/Opladen 1958 S. 58. Zit. Nach:Bernhard Sutor, Politik, Paderborn 1994, S. 260, Hervorhebungen von mir.)

Antworten