Losepasswort abschaffen

tobias1985

tobias1985

Der Erlöser
ID: 37913
L
24 April 2006
4.963
607
Hi,
da sowas immer häufiger vorkommt:
https://www.klamm.de/forum/f74/such...n-durch-hacking-und-losediebstahl-384180.html

Und die Leute nur schwer erziehbar sind, das Einweg-Losepasswort zu verwenden, wenn es das Standardlosepasswort noch gibt, möchte ich vorschlagen, das Standard-Losepasswort abzuschaffen und nur noch das Einweg-Losepasswort zuzulassen.

Ein weiterer Vorschlag:
Im Einweg-Losepasswort-Popup einen Button hinzufügen, mit dem man das generierte Einweg-Losepasswort wieder ungültig machen kann.
Dann kann man das Einweg-Losepasswort verwenden, klickt danach auf den Button und hat das 10-Minuten-Zeitfenster geschlossen. (ich weiß, geht wohl auch mit neu generieren. Da man aber das Popup ja schon auf hat, könnte man mit schließen des Popups das Passwort ja automatisch wieder löschen)

Gruß
Tobias
 
tobias1985 schrieb:
Und die Leute nur schwer erziehbar sind, das Einweg-Losepasswort zu verwenden, wenn es das Standardlosepasswort noch gibt
Zum Vergrößern anklicken....
Nein, das Problem ist ein anderes. Es gibt zu viele User, die nur ein Passwort haben und das für die Emailadresse, für klamm und noch X andere Seiten verwenden. Also loggt sich der "Hacker" in die Email ein und sitzt dort quasi an der Quelle. Jedes geänderte Passwort kann er sich einfach zuschicken lassen.

Zum Vorschlag an sich: ich benutze gern mein Losepasswort. Ich könnte nicht nachvollziehen, warum ich jedesmal, wenn ich irgendwo Lose einzahlen will, auf klamm gehen muss. Nur weil es User gibt, die ein einziges Passwort für ausreichend halten, möchte ich nicht zu irgendwas gezwungen werden.
 
Mone schrieb:
Nein, das Problem ist ein anderes. Es gibt zu viele User, die nur ein Passwort haben udn das für die Emailadresse, für klamm und noch X andere Seiten verwenden. Also loggt sich der "Hacker" in die Email ein und sitzt dort quasi an der Quelle. Jedes geänderte Passwort kann es er sich einfach zuschicken lassen.
Zum Vergrößern anklicken....

100% Sicherheit kann man den Usern leider nicht aufzwingen. Da hast du schon recht.

Mone schrieb:
Zum Vorschlag an sich: ich benutze gern mein Losepasswort. Ich könnte nicht nachvollziehen, warum ich jedesmal, wenn ich irgendwo Lose einzahlen will, auf klamm gehen muss. Nur weil es User gibt, die ein einziges Passwort für ausreichend halten, möchte ich nicht zu irgendwas gezwungen werden.
Zum Vergrößern anklicken....

Kann dich verstehen. Hatte es auch gerne genutzt. Aber es reicht 1 Seite aus, die dein Losepasswort loggt. Und schon kann derjenige jederzeit dein Konto leer räumen. Da bringt es dir dann auch nichts, dass du das Passwort nirgendwo sonst verwendest. Da es dein Losepasswort ist, verwendest du es auf zig Loseseiten.

Im Prinzip ist das Einweglosepasswort mit dem TAN-Verfahren gleichzusetzen. Oder willst du bei deiner Bank auch mit einem einzigen Passwort alles machen können? Ohne TANs?
 
Das Problem ist definitiv nicht das LPW. Bei den meisten Accounts werden die Klamm-PW gehackt. Aber sie sind nicht wirklich gehackt, sondern einfach bekannt, weil mehrfach verwendet. Und wer das Klamm-PW hat, kann sich natürlich auch in den Tresor begeben sowie sich ein LPW setzen. Das geht hier schon soweit, das die Forumaccounts fremdgenutzt werden oder auch der EF-Tresor geleert. Wie geht das? Geht nur, wenn man das PW kennt! Keiner, auch kein Mod oder Admin, kann diese PW auslesen. Selbst ein Zuschicken ist da nicht möglich.
Man kann sie nur selbst neu setzen (außer EF-Tresor, da geht gar nichts...)
Nur dazu muss man im Account sein oder die Mail abfragen können.
Es ist schon zur Sicherheit so eingerichtet, das das LPW nicht mit dem Klamm-PW übereinstimmen kann, sonst wäre es noch schlimmer.
Täglich haben wir hier mehrere Fälle von: Ich habe das PW überall gleich..
oder: Ich habe 2 PW (muss ja, LPW und das normale dürfen nicht gleich sein) für alles.
Und komischerweise sind es auch oft dieselben User. Nicht selten werden sie mehrfach "gehackt", ändern (angeblich) die PW und stehen aber eine Woche später wieder auf der Matte....
Da werden Daten auf seltsamen Seiten eingegeben, ohne nachzudenken oder zu hinterfragen. Da braucht man nur schreiben: Es stehen 2 MRD zur Auszahlung, bitte dort melden, und schon gehts los, ....
Man braucht einfach nur als Lose-PW was eintragen, was keiner kennt.
Z.B.:
Isä]Xyß?>|sG³z_9DSj~-9bMax²
Zum Vergrößern anklicken....
Und dann dieses nirgendwo verwenden, nur noch das Einwegpasswort. Oder eben nur dort verwenden, wo man sich sicher ist (so sicher, wie es geht, nichts ist 100%).
Aber solange die User nicht den "Hauptschlüssel", das Klamm-PW, verschlossen halten, kann man machen, was man will...
Weitere Sicherheit wäre, sich Mailadressen hier anzulegen, die keiner kennt. Nur hier verwendet.
Wenn sie nicht bekannt sind, kann der Faker auch kein PW abfragen....
 
Ich kann da Mone nur zustimmen.
Ich verwende zwar auch ab und zu dasselbe Passwort für irgendwelche Seiten, aber nur für "unwichtige" Sachen.
Für so etwas wie das Lose-Passwort verwende ich auf jeder Seite ein anderes Passwort und eines, was auch wesentlich länger ist und sicherer ist.
Und nur weil einige User etwas unvorsichtig mit ihren Passwörtern umgehen, will ich nicht gezwungen werden, mir jedesmal ein neues Passwort zu generieren.

LG,
GoldSaver
 
theHacker schrieb:
FACK!

www.keepass.info
Passwort-Verwaltungsprogramm? - oder: Wie mache ich meinen Account sicherer?
Zum Vergrößern anklicken....
Und nichtmal das bringt was, wenn der Mail-Anbieter eine Recovery-Funktion mit "Geheimfrage" verwendet, deren Antwort du auf der NP oder in (a)sozialen Netzwerken publizierst... ;)

Ich behaupte einfach mal, wenn ich meinen weiteren Bekanntenkreis durchgehe, komme ich bei über der Hälfte in den Mail-Acc. Ohne großen Aufwand oder irgenwas, was mit "hacken" zu tun hätte.

Gruß Aru
 
Das geht noch anders. Ich habe in den letzten Tagen von mindestens 2 Fällen gehört, in denen eine einfache Anfrage beim Webhoster oder Seitenbetreiber "ich habe meine Emailzugangsdaten vergessen, bitte mal die Emailadresse ändern" ausreichte. Und dann wurde anstandslos geändert. Neue Emailadresse war irgendwas@dawox.net. :-?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Schlaufuchs-Bot
Schlaufuchs Wofür benötigt man das Einweg-Losepasswort?
Antworten
1
Aufrufe
1K
storabird
storabird
Zurück
Oben