Losepasswort

raven

Well-known member
20 April 2006
5.039
539
Schau mal in dein E-Mail-Postfach - ist da nen Hinweis, dass dein Losepasswort aufgrund von 4 Wochen Inaktivität zurückgesetzt wurde, und du doch bitte das Einmal-PW nutzen möchtest? ;)

Von so ner Mail habe ich heute jedenfalls gehört - wenn auch das erste Mal ...
 

Fleischwolf

Member
ID: 294775
L
5 September 2007
9
2
Hi raven

interessante Aussage.

Aber leider habe ich gerade genau das selbe Problemm und von der Mail die du erwähnst leider keine Spur.

Meine letzte Transaktion war am 22.11.09, 02:38:49 und bis dahin funktionierte dies auch.

Ein neues Passwort setzen scheint auch nicht zu funktionieren und jedesmal für eine Transaktion ein Einwegpasswort zu holen ist auch nicht gerade das tollste.

Aber vieleicht weiß ja schon jemand was genaueres und kann für Aufklärung sorgen.

MFG Fleischwolf
 

LasMiranda

kanz pöhse
ID: 28058
L
5 Mai 2006
3.091
254
...und jedesmal für eine Transaktion ein Einwegpasswort zu holen ist auch nicht gerade das tollste...
Ähm, das Passwort gilt 10 Minuten lang. Das ist das sicherste, was man machen kann ohne das Passwort gespeichert werden kann - zumindest dauerhaft.

Ich kann nur empfehlen die 10-Minuten-Passwort-Sache zu nutzen und nicht auf das normale Losepasswort zurückzugreifen. Wenn das gespeichert wird, dann kann bis zur nächsten Passwortänderung das Passwort gespeichert/genutzt werden.
 

Snyke

Well-known member
ID: 348381
L
27 Mai 2009
400
28
Also ich bin sowieso seit einiger Zeit dafuer dass die Klamm-Schnittstelle durch OAuth erweitert wird. Damit muesste man gar kein Passwort mehr weitergeben.
 

traxtrax

www.SlotKings.de
ID: 12353
L
25 September 2006
3.049
398
Hi,

genau das gleiche ist mir auch passiert. In der Nacht ging alles einwandfrei und als ich Abends mein Losepw nutzen wollte, wäre dies Falsch gewesen.

Hab dann mal mein Klammlogin und Losepw geändert ;P

mfg

traxtrax
 

theHacker

sieht vor lauter Ads, den Content nicht mehr
Teammitglied
ID: 69505
L
20 April 2006
22.643
1.280
Schau mal in dein E-Mail-Postfach - ist da nen Hinweis, dass dein Losepasswort aufgrund von 4 Wochen Inaktivität zurückgesetzt wurde, und du doch bitte das Einmal-PW nutzen möchtest? ;)
Sowas gibts? Könnte der Versuch von Luke sein, das dauerhafte Lose-Passwort ganz abzuschaffen. Wäre ein klarer Fortschritt für die Sicherheit :)

Ich hab so ne eMail noch nie bekommen, hab mein Lose-Passwort aber sicherlich schon n paar Jahre nimmer benutzt :ugly:
 

klamm

Chef
Teammitglied
ID: 20876
L
20 April 2006
12.613
712
Ja, das ist neu.

Wenn man auf klamm "inaktiv" ist (länger als 4 Wochen nicht eingeloggt), dann wird das Losepasswort zur Sicherheit zurückgesetzt. Es gab in letzter Zeit immer mehr Brute-Force-Versuche, Losepasswörter von inaktiven Accounts durch Ausprobieren zu knacken. Das wird dann zumindest unterbunden. Außerdem finde ich es durchaus vertretenswert, wenn man im Lose-Sektor aktiv ist, dass man sich zumindest 1x im Monat auf klamm einloggen sollte.

Der Hinweis, am Besten nur noch Einweg-PW zu nutzen ist auch drin. ;) Eine Email hat beim 1. Durchgang jetzt nur derjenige bekommen, der nicht mehr als 8 Wochen inaktiv ist, sonst wärs zu viel gewesen. Ab sofort läuft das Teil regulär.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
klamm.de :: Service-Mail
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Hallo Lukas Klamm!

Sie waren schon 4 Wochen lang nicht mehr auf klamm.de aktiv.
UserID: 20876 (klamm)

Ihr Lose-Passwort wurde daher aus Sicherheitsgründen zurückgesetzt.
Sie können im Profil jederzeit ein neues Lose-Passwort festlegen.

Wir empfehlen jedoch die ausschließliche Verwendung eines Einweg-
Lose-Passwortes. Dieses verfällt nach 10 Minuten automatisch und
Sie sind somit vor unberechtigten Abbuchungen geschützt. Nähere
Infos zum Einweg-Lose-Passwort finden Sie in unseren FAQ.
http://www.klamm.de/?faq=95

Wir würden uns freuen, sie auch weiterhin auf klamm.de begrüßen zu
dürfen. Schauen Sie doch mal wieder rein, es gibt viel zu entdecken!

Mit freundlichen Grüßen,
Lukas Klamm
http://www.klamm.de

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
!# Dies war eine einmalige Systemmitteilung
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 

theHacker

sieht vor lauter Ads, den Content nicht mehr
Teammitglied
ID: 69505
L
20 April 2006
22.643
1.280
Du solltest das an alle schicken, die ihr Lose-Passwort nicht mehr benutzen. Somit den Leuten, die ausschließlich im Lose4 inaktiv sind oder auch Leute, die nur noch Einweg-LPW nutzen, die Möglichkeit geben, ihr LPW komplett löschen zu lassen.
 

klamm

Chef
Teammitglied
ID: 20876
L
20 April 2006
12.613
712
Du solltest das an alle schicken, die ihr Lose-Passwort nicht mehr benutzen. Somit den Leuten, die ausschließlich im Lose4 inaktiv sind oder auch Leute, die nur noch Einweg-LPW nutzen, die Möglichkeit geben, ihr LPW komplett löschen zu lassen.
Ich sehe nicht, wer "im Lose Sektor" aktiv ist. Höchstens per fortlaufender Transaktionslisten-Auswertung, was aber wieder performancemäßig reinhaut. Ich sehe nur "Lose-PW ist gesetzt" oder "nicht".

Löschen kannst Du das Losepw, indem Du einfach nen 15+ Zeichen-Müll reintippst. Das ist dann so gut wie gelöscht. Es ging hier mehr um Accounts mit Losepw "test" oder "123456" und dergleichen.
 

theHacker

sieht vor lauter Ads, den Content nicht mehr
Teammitglied
ID: 69505
L
20 April 2006
22.643
1.280
Ich sehe nicht, wer "im Lose Sektor" aktiv ist. Höchstens per fortlaufender Transaktionslisten-Auswertung, was aber wieder performancemäßig reinhaut. Ich sehe nur "Lose-PW ist gesetzt" oder "nicht".
Logg halt n "LPWLasttimeUsed"-Datum, immer wenn einer sein Lose-Passwort nutzt (beim Ändern des LPW und bei einem erfolgreichen API-Call).
Löschen kannst Du das Losepw, indem Du einfach nen 15+ Zeichen-Müll reintippst. Das ist dann so gut wie gelöscht.
Jo klar, so gut wie. Aber immer noch "unsicherer" als ganz weg.
 

27o8

abgemeldet
2 Mai 2006
9.028
933
Jo klar, so gut wie. Aber immer noch "unsicherer" als ganz weg.

Wollte auch damals, dass es gelöscht wird, damals wurde mir dann (ich glaube von raven) das gleiche empfohlen. Hab dann einfach mal auf alle Tasten gedrückt und nutze nur noch das Einwegpw. Glaube auch kaum das jemand das andere knackt :ugly:
 

chrisi01

Romy lieb haben
ID: 101113
L
26 November 2008
2.854
238
Naja, die W-keit, dass das dann durch probieren geknackt wird, ist kleiner, als dass ein Meteor auf's Rechenzentrum stürzt. :ugly:

15 stellen Alphanumerisch --> 15^36 ~ 2*10^42

Meteor auf bestimmten Punkt der Erde -->

alle 300.000 Jahre ein Meteor

Die Oberfläche der Erde misst 510 Millionen km²

Demnach beträgt die Wahrscheinlichkeit für ein Objekt mit ~1KM Das er genau das RZ trifft (an einen bestimmten Tag) etwa:

300000 Jahre * 365 Tage * 510000000 KM² = 5.5845 × 10^16


Da 2*10^42 > 5.5845 × 10^16 hast du eindeutig recht :mrgreen:

Ok ich gebe zu einiges ist eine Milchmädchenrechnung aber so grob in etwa sollte es hinhaun und beweisen das Chef recht hat. Achja stimmt mir ist langweilig


mfg

Chris

P.S. Ich will hier verewigen das mir dieser Beitrag die 2000 Renopunkte gebracht hat danke an alle und weiter so :mrgreen:
 
Zuletzt bearbeitet:

klamm

Chef
Teammitglied
ID: 20876
L
20 April 2006
12.613
712
Lol, ich hätte jetzt keine Rechnung erwartet, aber als Informatiker und Mathematiker war ich mir sicher, dass meine Behauptung richtig ist. 8)

Das verdeutlicht übrigens auch recht gut, dass es ein 10 Zeichen PW genauso tut - und nicht wirklich sinnvollere Sicherheit bietet - als ein 50 Zeichen PW. Supercomputer-Brute-Force natürlich immer ausgeschlossen.
 

chrisi01

Romy lieb haben
ID: 101113
L
26 November 2008
2.854
238
Supercomputer-Brute-Force natürlich immer ausgeschlossen.

Doofe Frage:

Wie soll man ein Losepasswort Bruto forcen? Einen EF kaufen mit 10Mio Anfragen kaufen und hoffen das man dann einen Treffer (ich rechne jetzt mal nicht die Wahrscheinlichkeit :nö: dürfte wohl weit unter 0,00000001% bei 10 Zeichen Alphanumerisch liegen) landet um Lose im Wert von 5€ abbuchen zu können :ugly: Geht sich igendwie nicht aus.

mfg

Chris
 

Bububoomt

ohne Vertrauen
ID: 10361
L
28 April 2006
19.666
768
Es haben scheinbar welche eine Lösung gefunden, ohne eigenen EF. Aber mehr muß man dzau nciht sagen, keinen auf böse Ideen bringen will...
 

raven

Well-known member
20 April 2006
5.039
539
Es haben scheinbar welche eine Lösung gefunden, ohne eigenen EF. Aber mehr muß man dzau nciht sagen, keinen auf böse Ideen bringen will...
Wie wärs dann, wenn du einfach gar nichts sagst, und die Möglichkeit - sofern sie dir bekannt ist - im KzA meldest ;)?

Gackern und das Ei dann nicht legen kommt dem Versuch gleich, einen Pudding an die Wand zu nageln ... damit ist keinem geholfen.
 

Ähnliche Themen