amilo-forum.de

Inoffizielles Forum rund um die Notebooks der Amilo- und Lifebook-Serien von Fujitsu

Passwort wird im Klartext per Mail versendet :-( Thema ist gelöst

Ankündigungen, Verbesserungsvorschläge usw.

Passwort wird im Klartext per Mail versendet :-(

Beitragvon hikaru » 09.02.2009 12:38

Hallo,

es gibt gerade einen gleichlautenden Thread im Debianforum:
http://debianforum.de/forum/viewtopic.php?f=14&t=95063&start=0

Soweit ich mich erinnern kann wird hier in der Aktivierungsmail auch das Passwort im Klartext mit übertragen. Jedenfalls habe ich meine Begrüßungsmail gelöscht, was ich normalerweise nur mache, wenn sie sensible Daten enthält.
Bei den Debianern herrscht die Meinung vor, dass man dies aus Sicherheitsgründen ändern sollte, auch wenn man sich über die Details noch nicht einig ist. Ich teile die dort vertretene Meinung.

Im Wesentlichen stehen drei Alternativen zur Verfügung:
1. Das selbstgewählte Passwort aus der Begrüßungsmail entfernen.
2. Das selbstgewählte Passwort mitschicken, aber nach der ersten Anmeldung eine Zwangsänderung vornehmen.
3. Bei der Registrierung ein Passwort automatisch generieren, dieses mitschicken, und nach der Anmeldung eine Zwangsänderung vornehmen.

2. halte ich für unsinnig, 1. und 3. sind für mich gleichrangig, wobei 1. einfacher umzusetzen ist.
Wie steht ihr dazu?
Benutzeravatar
hikaru
Moderator
 
Beiträge: 3780
Registriert: 25.10.2007 10:23
Notebook:
  • Asus EEE 901
  • Amilo Si 1520
  • Desktop (alt)

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon aspettl » 09.02.2009 13:30

Das Passwort aus der Begrüßungsmail entfernen wäre ein einfacher Schutz - aber:
Mit der Begrüßungsmail (damit hat man Benutzername und Empfänger) kann man auch leicht die "Passwort vergessen"-Funktion nutzen ;-) Dafür braucht man aber immerhin Zugriff auf neue Mails, nicht nur auf die schon früher abgerufenen. Der eigentliche Nutzer des Accounts könnte das immerhin bemerken, wenn "sein" Kennwort nicht mehr geht...

Die anderen Varianten erfordern eine Modifikation von phpBB3, was ich im Allgemeinen vermeiden möchte.

Gruß
Aaron

PS: Die Frage nach dem Klartext der Passwörter aus debianforum.de: Natürlich wird kein Passwort im Klartext gespeichert, sondern es wird mit einem Salt ein Hashwert gebildet. "Passwort vergessen" sendet deshalb auch ein neues (Zufalls-) Kennwort.
Vor dem Erstellen neuer Themen bitte die Suchfunktion benutzen und Forenregeln lesen!
Bitte trage dein Notebook mit den technischen Daten im Profil ein.
Benutzeravatar
aspettl
Administrator
 
Beiträge: 7188
Registriert: 15.11.2004 12:46
Notebook:
  • Samsung NC10
  • Lifebook E8020D

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon hikaru » 09.02.2009 14:39

Ich sehe das Problem eher in der verbreiteten Praxis, dass viel Leute den gleichen Nicknamen und das gleiche Passwort für verschiedene Anmeldungen nutzen. Kriegt man die Begrüßungsmail eines Accounts, hat man auch die Zugangsdaten der anderen.
Oder willst du mir erzählen, dass die ganzen aspettl's in den verschiedenen Foren die Google bei einer Suche ausspuckt alle unterschiedliche Passwörter haben? ;-)
Benutzeravatar
hikaru
Moderator
 
Beiträge: 3780
Registriert: 25.10.2007 10:23
Notebook:
  • Asus EEE 901
  • Amilo Si 1520
  • Desktop (alt)

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon aspettl » 09.02.2009 15:31

Korrekt, alle aspettl's haben andere (und sehr lange) Kennwörter - und sogar andere E-Mail-Adressen :-D
Ohne Passwort-Manager bin ich deshalb auch aufgeschmissen - aber dass das nicht der Normalfall ist, weiß ich.

Hat es irgendeinen Nutzen, dass das Kennwort in der Aktivierungsmail steht? Wenn die Leute es zu dem Zeitpunkt schon vergessen haben sollten, gibt es ja die Passwort vergessen-Funktion...
Von dem her bin ich einfach für das Entfernen der Passwort-Zeile.

Gruß
Aaron
Vor dem Erstellen neuer Themen bitte die Suchfunktion benutzen und Forenregeln lesen!
Bitte trage dein Notebook mit den technischen Daten im Profil ein.
Benutzeravatar
aspettl
Administrator
 
Beiträge: 7188
Registriert: 15.11.2004 12:46
Notebook:
  • Samsung NC10
  • Lifebook E8020D

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon hikaru » 09.02.2009 15:59

Ich bin auch für ein Entfernen des Passworts aus der Mail. Aber es hätte ja sein können, dass die anderen Alternativen Vorteile bieten, die ich nicht sehe.

Mit Passwortmanagern kann ich mich nicht anfreunden. Man hat immer ein Extragerät dabei, entweder den PDA mit dem sperrigen Display und der Software, oder den USB-Stick mit der Passwort-DB und der Software für mehrere Betriebssysteme. Und man ist dann auch noch auf die Unterstützung des Wirts-PCs angewiesen, was auch nicht immer der Fall ist.
Benutzeravatar
hikaru
Moderator
 
Beiträge: 3780
Registriert: 25.10.2007 10:23
Notebook:
  • Asus EEE 901
  • Amilo Si 1520
  • Desktop (alt)

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon ChaosKrieger » 09.02.2009 20:38

ich wär auch dafür das pw aus der mail zu nehmen
who | grep -i blonde | date; cd ~; unzip; touch; strip; finger; mount; gasp; yes; uptime; umount; sleep; shutdown -r now
Benutzeravatar
ChaosKrieger
Ehemaliger Moderator
 
Beiträge: 418
Registriert: 03.01.2006 13:51
Wohnort: Bühl-Baden
Notebook:
  • DELL XPS M1530
  • Amilo M 1439G

Re: Passwort wird im Klartext per Mail versendet :-(  Thema ist gelöst

Beitragvon aspettl » 10.02.2009 18:09

Da sich keiner dagegen ausgesprochen hat und ich keinen Nachteil sehe, habe ich jetzt das Passwort aus der Aktivierungsmail entfernt.

Gruß
Aaron
Vor dem Erstellen neuer Themen bitte die Suchfunktion benutzen und Forenregeln lesen!
Bitte trage dein Notebook mit den technischen Daten im Profil ein.
Benutzeravatar
aspettl
Administrator
 
Beiträge: 7188
Registriert: 15.11.2004 12:46
Notebook:
  • Samsung NC10
  • Lifebook E8020D

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon hikaru » 10.02.2009 20:15

Gut, dann mach ich mal den Haken.

...ach hattest du ja schn gemacht. :oops:
Benutzeravatar
hikaru
Moderator
 
Beiträge: 3780
Registriert: 25.10.2007 10:23
Notebook:
  • Asus EEE 901
  • Amilo Si 1520
  • Desktop (alt)

Re: Passwort wird im Klartext per Mail versendet :-(

Beitragvon aspettl » 22.11.2009 17:47

Noch eine aktuelle Anmerkung hierzu:
Mit dem neuen phpBB 3.0.6 ist es jetzt Standard, dass das Passwort nicht mehr mitversendet wird :-)

Gruß
Aaron
Vor dem Erstellen neuer Themen bitte die Suchfunktion benutzen und Forenregeln lesen!
Bitte trage dein Notebook mit den technischen Daten im Profil ein.
Benutzeravatar
aspettl
Administrator
 
Beiträge: 7188
Registriert: 15.11.2004 12:46
Notebook:
  • Samsung NC10
  • Lifebook E8020D


Zurück zu Internes zu amilo-forum.de