Passwort-Sicherheit im Forum
Moderators: Hacker, Stefan2, white
Passwort-Sicherheit im Forum
Hallo. Ich habe mich neu angemeldet und musste ein Passwort setzen. Zweimal und es wurde mit Sternchen abgedeckt: ******. Danach bekam ich ein Mail mit dem gesetzten Passwort zugesendet!? Kann man das nicht ändern? Ich will nicht mein Passwort in Klarschrift in meiner Mailbox. Ich nehme an, andere wollen das auch nicht. Imho nicht der Sinn eines geheimen Passworts. Gruss, Tarant.
-
ghisler(Author)
- Site Admin
- Posts: 50625
- Joined: 2003-02-04, 09:46 UTC
- Location: Switzerland
- Contact:
Das macht leider die (zugegebenermassen schon ältere) Forensoftware so. Allerdings habe ich das auch bei anderen Foren schon so gesehen, und sogar genutzt, weil ich sie manchnal Jahre lang nicht besucht hatte...
Author of Total Commander
https://www.ghisler.com
https://www.ghisler.com
einfach die ********* als Passwort eingeben. Dann denkt jeder, die Mail wäre verschlüsselt 
Nein, Scherz beiseite. Ich habe mein Passwort vorgestern geändert und keine neue Mail bekommen. Also bei der 1. Anmeldung ein Dummy vergeben und dann gleich ändern.
Gruß MrGolgi
PS. ******* als Passwort kommt tatsächlich häufiger vor, als man meinen möchte.
Nein, Scherz beiseite. Ich habe mein Passwort vorgestern geändert und keine neue Mail bekommen. Also bei der 1. Anmeldung ein Dummy vergeben und dann gleich ändern.
Gruß MrGolgi
PS. ******* als Passwort kommt tatsächlich häufiger vor, als man meinen möchte.
Ein Pessimist ist ein Optimist mit Erfahrung
Hallo,
Wenn man sich an die Regel hält, für jedes Forum, jede WebSite usw. mit Passwort ein eigenes Passwort zu verwenden, ist das per Mail übermittelte Passwort kein Sicherheitsproblem.
Für die Verwaltung der vielen Passworte gibt es genügend gute Programme wie Keypass, Roboform usw. Letzteres verwende ich und damit muss ich mir die Passworte auch nicht merken, solange ich das (genügend lange" Passwort im Kopf habe, weil alle WebSiten und Foren nur noch via Roboform angewählt werden.
Am sichersten ist aber immer noch ein Verzicht auf Internet & Co.
Freundliche Grüsse
Gian
Wenn man sich an die Regel hält, für jedes Forum, jede WebSite usw. mit Passwort ein eigenes Passwort zu verwenden, ist das per Mail übermittelte Passwort kein Sicherheitsproblem.
Für die Verwaltung der vielen Passworte gibt es genügend gute Programme wie Keypass, Roboform usw. Letzteres verwende ich und damit muss ich mir die Passworte auch nicht merken, solange ich das (genügend lange" Passwort im Kopf habe, weil alle WebSiten und Foren nur noch via Roboform angewählt werden.
Am sichersten ist aber immer noch ein Verzicht auf Internet & Co
.Freundliche Grüsse
Gian
gian,
Roman
Solange alle Passwörter verschieden sind darf sie jeder kennen?Wenn man sich an die Regel hält, für jedes Forum, jede WebSite usw. mit Passwort ein eigenes Passwort zu verwenden, ist das per Mail übermittelte Passwort kein Sicherheitsproblem.
Roman
Mal angenommen, du drückst Strg+F, wählst die FTP-Verbindung (mit gespeichertem Passwort), klickst aber nicht auf Verbinden, sondern fällst tot um.
-
ghisler(Author)
- Site Admin
- Posts: 50625
- Joined: 2003-02-04, 09:46 UTC
- Location: Switzerland
- Contact:
Wieso jeder? Schon mal versucht, ein e-mail von jemandem abzufangen?
Author of Total Commander
https://www.ghisler.com
https://www.ghisler.com
Christian,
Ich habe ja nichts gegen das Versenden des Passworts im Klartext (prinzipiell schon, aber das ist jetzt egal). Aber die Aussage, dass es sicher ist Passwörter als Klartext zu versenden solange sie verschieden sind, stimmt einfach nicht. Oder anders - wenn es egal ist, ob Passwörter als Klartext verschickt werden oder nicht, dann ist es auch egal welche als Klartext verschickt werden.
MrGolgi,
gian,
Roman
Es reicht nur das Passwort für den Webmail zu kennen. Dann stehen ja schon alle Mails mit Passwörtern drin.Wieso jeder? Schon mal versucht, ein e-mail von jemandem abzufangen?
Ich habe ja nichts gegen das Versenden des Passworts im Klartext (prinzipiell schon, aber das ist jetzt egal). Aber die Aussage, dass es sicher ist Passwörter als Klartext zu versenden solange sie verschieden sind, stimmt einfach nicht. Oder anders - wenn es egal ist, ob Passwörter als Klartext verschickt werden oder nicht, dann ist es auch egal welche als Klartext verschickt werden.
MrGolgi,
Und mit dem Passwort für dein Onlinebanking funktioniert der Zugriff auf dieses Forum nicht. Dein Punkt wäre?Nein, aber mit meinem Passwort für dieses Forum funktioniert mein Onlinebanking nicht!
gian,
Dann sind aber im Klartext übermittelte Passwörter aber prinzipiell nicht sicher, egal ob sie verschieden sind oder nicht.Natürlich nicht
Roman
Mal angenommen, du drückst Strg+F, wählst die FTP-Verbindung (mit gespeichertem Passwort), klickst aber nicht auf Verbinden, sondern fällst tot um.
Hallo Hacker Roman,
Bei Banken gibt es ja auch genügend Alternativen, im gegensatz zum TC 
Ich denke gian wollte auf den Grundsatz hinweisen, dass generell jede Sicherheitslücke in einer einzelnen Anwendung zu einem Riesenproblem wird, wenn man überall das selbe Passwort benutzt. Der Umkehrschluss, dass jede Sicherheit überflüssig ist, wenn man verschiedene Passwörter verwendet ist natürlich unzulässig.
Gruß MrGolgi
Mein Punkt ist folgender: Natürlich ist ein Passwort in einer Mail im Klartext nicht sicher, aber hier ging es ja konkret um das Passwort zu diesem Forum. Ein ernsthaftes Risiko entsteht dabei doch erst, wenn jemand das selbe Passwort auch woanders, z.B. fürs Onlinebanking benutzt. Mit dem Passwort für dieses Forum kann man ja nur einen sehr begrenzten Schaden anrichten. Maximal wird mein Account wegen Spam gesperrt. Wenn eine Bank mein Passwort per Mail im Klartext versenden würde, wäre sie nicht lange meine BankUnd mit dem Passwort für dein Onlinebanking funktioniert der Zugriff auf dieses Forum nicht. Dein Punkt wäre?
Bei Banken gibt es ja auch genügend Alternativen, im gegensatz zum TC Ich denke gian wollte auf den Grundsatz hinweisen, dass generell jede Sicherheitslücke in einer einzelnen Anwendung zu einem Riesenproblem wird, wenn man überall das selbe Passwort benutzt. Der Umkehrschluss, dass jede Sicherheit überflüssig ist, wenn man verschiedene Passwörter verwendet ist natürlich unzulässig.
Gruß MrGolgi
Ein Pessimist ist ein Optimist mit Erfahrung
Hallo,
.
So muss jeder selber wissen, wie er seine Daten, WebSites usw. schützt und wenn man für jeden Dienst ein eigenes Passwort generiert, ist man sicher auf der besseren Seite.
Aber ein Passwort eines mir bekannten Forums, das mir via Mail mitgeteilt wird, sehe ich nicht als Sicherheitsrisiko, auch kann man das vorgegebene, mitgeteilte Passwort ändern. Im allerschlimmsten Fall könnte eine fremde Person in meinem Namen einen Beitrag schreiben, den könnte ich aber löschen und nachträglich das Passwort neu setzen.
Von Google kam einmal ein Mail mit dem Hinweis, dass ein Angriffversuch auf mein Google-Konto stattgefunden hat und es wurde mir empfohlen, mein Passwort zu ändern, um die Sicherheit ganz sicher zu gewährleisten, was ich dann auch gemacht habe.
Von Fachleuten wird ja auch empfohlen, die Passwörter alle paar Monate zu ändern, etwas Afwand der sich sicher lohnt. Mit dem richtigen Passwortmanager (der selber auch mit einem Passwort gesichert ist und alles mit 256er Verschlüsselung ablegt, ist auch das kein Problem.
Selbstverständlich lasse ich in meinen Browsern auch keine Passwörter abspeichern und allenfalls sogar noch via Internet zu synchronisieren.
Freundliche Grüsse
Gian
(NB: Seit IBM XT mit 2 grossen 360kB Floppys PC-User (dürften über 25 Jahre sein) und ich habe noch nie einen Virus oder ähnliches gesehen. Allerdings kann ich darauf auch gut verzichten.
Genau das habe ich gemeint! Für meine Passwörter verwende ich den Dienst der badenwürttembergischen Hochschulen "ZENDAS" unter http://www.zendas.de/service/passwort_generator.html und zwar 16 stellig! Auch meine beiden NAS-Server haben unterschiedliche, so generierte Passwörter, dito auch meine eigene WebSite, die z.B. gestern aus der Ukraine erfolglos angegriffen und nach 5 Versuchen für die Angreifer geblockt wurde. Für meine Passwörter reichen 5 Versuche nicht, um sie zu knackenMrGolgi wrote:Ich denke gian wollte auf den Grundsatz hinweisen, dass generell jede Sicherheitslücke in einer einzelnen Anwendung zu einem Riesenproblem wird, wenn man überall das selbe Passwort benutzt.
.So muss jeder selber wissen, wie er seine Daten, WebSites usw. schützt und wenn man für jeden Dienst ein eigenes Passwort generiert, ist man sicher auf der besseren Seite.
Das wäre nicht nur leichtsinnig sondern fatal! Leiter scheint aber der Leichtsinn bei der grossen "Masse" weitverbreitet zu sein wie man in der entsprechenden Fachpresse lesen kann!MrGolgi wrote:Der Umkehrschluss, dass jede Sicherheit überflüssig ist, wenn man verschiedene Passwörter verwendet ist natürlich unzulässig.
Aber ein Passwort eines mir bekannten Forums, das mir via Mail mitgeteilt wird, sehe ich nicht als Sicherheitsrisiko, auch kann man das vorgegebene, mitgeteilte Passwort ändern. Im allerschlimmsten Fall könnte eine fremde Person in meinem Namen einen Beitrag schreiben, den könnte ich aber löschen und nachträglich das Passwort neu setzen.
Von Google kam einmal ein Mail mit dem Hinweis, dass ein Angriffversuch auf mein Google-Konto stattgefunden hat und es wurde mir empfohlen, mein Passwort zu ändern, um die Sicherheit ganz sicher zu gewährleisten, was ich dann auch gemacht habe.
Von Fachleuten wird ja auch empfohlen, die Passwörter alle paar Monate zu ändern, etwas Afwand der sich sicher lohnt. Mit dem richtigen Passwortmanager (der selber auch mit einem Passwort gesichert ist und alles mit 256er Verschlüsselung ablegt, ist auch das kein Problem.
Selbstverständlich lasse ich in meinen Browsern auch keine Passwörter abspeichern und allenfalls sogar noch via Internet zu synchronisieren.
Freundliche Grüsse
Gian
(NB: Seit IBM XT mit 2 grossen 360kB Floppys PC-User (dürften über 25 Jahre sein) und ich habe noch nie einen Virus oder ähnliches gesehen. Allerdings kann ich darauf auch gut verzichten.