• Aktualisierte Forenregeln

    Eine kleine Änderung hat es im Bereich Forenregeln unter Abschnitt 2 gegeben, wo wir nun explizit darauf verweisen, dass Forenkommentare in unserer Heftrubrik Leserbriefe landen können.

    Forenregeln


    Vielen Dank

Bestätigungs Email nach Registrierung mit PW in plain text?!?

B

balle007

NPC
Mitglied seit
01.03.2012
Beiträge
3
Reaktionspunkte
0
Bestätigungs Email nach Registrierung mit PW in plain text?!?

Ein Passwort in plain text per email zu senden ist doch der größte Anfängerfehler überhaupt, oder nicht? Da hätte ich von PCG schon mehr erwartet.
 
Geheim hab ich meine Passwörter am liebsten.

Es gibt genug Leute mit Generalpasswort und wenn das dann in einer email steht...

Wie kann das PW in Klartext verschickt werden, wenn es nirgendwo so gespeichert ist? Klar ist es möglich aber gut siehts auf keinen Fall aus.
 
balle007 schrieb:
Geheim hab ich meine Passwörter am liebsten.

Es gibt genug Leute mit Generalpasswort und wenn das dann in einer email steht...

Wie kann das PW in Klartext verschickt werden, wenn es nirgendwo so gespeichert ist? Klar ist es möglich aber gut siehts auf keinen Fall aus.
Zum Vergrößern anklicken....
Ich weiß nicht mehr wie das war (meine Anmeldung ist schon etwas her^^), aber du bekommst doch sicher zunächst ein generiertes Passwort zugeschickt?! Das wird einmal generiert, dann in die Email geschrieben und verschlüsselt in die Datenbank.
Wenn du dich einloggst, wird das was du eingegeben hast genauso verschlüsselt, wie dein Passwort in der Datenbank und die Werte abgeglichen. Passen sie, ist es ein Passwort. So oder so ähnlich. :]
 
Nein. Man gibt ein PW ein bei der Registrierung und das PW wird einem dann in Klartext zugeschickt!

Ich hab den Thread hier nicht nur zum rumheulen erstellt. Ich dachte es kann sein, dass da etwas nicht rund läuft / sicher ist.
 
also, ich gehe mal schwer davon aus, dass die mail nur dann einer missbrauchen kann, der auch schon Dein email-Konto oder sogar den PC "gehackt" hat. Und wenn das der Fall ist, könnte er eh für alles neue Passwörter in deinem Namen anfordern und die mails abfangen... insofern wüßt ich jetzt nicht, wo genau die Problematik dabei ist, dass das Passwort als Text in der Bestätigungsmail war. ^^

aber vlt. liest das hier ja noch ein admin und merkt dann doch, dass da was faul ist ?
 
Das kommt eigentlich ziemlich oft vor, sowohl bei Neuregistrierungen auf diversen Seiten und natürlich auch, wenn du irgendwo ein Passwort zurücksetzt. Das ist aber eigentlich nicht so schlimm. :)
 
Herbboy schrieb:
insofern wüßt ich jetzt nicht, wo genau die Problematik dabei ist, dass das Passwort als Text in der Bestätigungsmail war. ^^
Zum Vergrößern anklicken....

Habe aber auch mal gelesen, dass es möglich sein soll Emails "auf dem Weg" abzufangen, also auch ohne Zugang zum Email Konto den Datenverkehr irgendwo auszulesen und dann evtl. Emails so mitzubekommen.
Keine Ahnung ob da was dran ist, kenn mich mit dem Thema nicht aus.

Ich benutz persönlich auch nicht für jede Seite ein neues Passwort. Für Sachen wie PC Games und andere Foren, oder generell Kram der nicht so wichtig ist benutz ich immer das selbe. Für private Dinge wie z.B. Internetbanking dann aber natürlich ein anderes, und auch eine andere Email Addresse. So oft wie man in letzter Zeit von irgendwelche Hacking Vorfällen hört sicher nicht falsch, und so hat man immer eine Email/PW Kombi die man auch mal relativ achtlos verwenden kann, weil daran eh nur ein paar Logins für Gaming Seiten etc. hängen.
 
Herbboy schrieb:
also, ich gehe mal schwer davon aus, dass die mail nur dann einer missbrauchen kann, der auch schon Dein email-Konto oder sogar den PC "gehackt" hat. Und wenn das der Fall ist, könnte er eh für alles neue Passwörter in deinem Namen anfordern und die mails abfangen... insofern wüßt ich jetzt nicht, wo genau die Problematik dabei ist, dass das Passwort als Text in der Bestätigungsmail war. ^^

aber vlt. liest das hier ja noch ein admin und merkt dann doch, dass da was faul ist ?
Zum Vergrößern anklicken....

Herbboy hat recht, das Passwort wird bei der Registrierung generiert und in der Bestätigungsmail verschickt, wie auch die generierten Passwörter bei der "Passwort vergessen"-Funktion im Klartext verschickt werden müssen, da der Nutzer anderenfalls ja keine Chance hat, an ein neues Passwort zu gelangen. Die VBulletin-Foren, die wir für die Community-Anbindung nutzen, speichern Passwörter wie bereits zuvor erklärt in einem gesalteten Passwort-Hash, aus dem sich das Klartext-Passwort nicht wieder errechnen lässt.

Grundsätzlich ist es jedoch eine gute Idee, für jede Site, auch für unsere, ein eigenes Passwort zu verwenden. Browserplugins wie LastPass erleichtern den Umgang mit einer Vielzahl von Passwörtern und erhöhen damit ganz allgemein die Sicherheit besonders für wichtigere Accounts.

Viele Grüße

Markus
 
Markus_Wollny schrieb:
Herbboy hat recht, das Passwort wird bei der Registrierung generiert und in der Bestätigungsmail verschickt, wie auch die generierten Passwörter bei der "Passwort vergessen"-Funktion im Klartext verschickt werden müssen, da der Nutzer anderenfalls ja keine Chance hat, an ein neues Passwort zu gelangen.
Zum Vergrößern anklicken....
Wie wäre es einen Zeitlich begrenzten Link zu verschicken und dort dann direkt auf der HP das neue Passwort festzulegen anstatt hier die Passwörter durch die gegend (per E-Mail) zu verschleudern.
 
Das wäre überlegenswert, wir müssen allerdings auch in Punkto Nutzerführung darauf achten, das ganze nicht zu kompliziert zu machen. E-Mails lassen sich nicht so ohne weiteres abfangen und falls doch jemand Zugriff auf den E-Mail-Account eines anderen Users erlangen sollte würde solch ein zeitlich begrenzter Link keinerlei Sicherheitsgewinn bedeuten - das Passwort ließe sich dann ebenfalls ändern.

Viele Grüße

Markus
 
Man bekommt das selbst ausgesuchte Passwort in Plaintext zugesendet (gerade ausprobiert :-D). Vielleicht war das mit deiner Antwort auch so gemeint, es hörte sich aber eher so an als würde ein zufälliges "generiert" und müsste dann geändert werden.
Ein Plaintext-Passwort lässt nur auf die Faulheit der Zuständigen schliessen. Es ist doch überhaupt kein Problem direkt einen Passwort-Zurücksetzt-Link in die Mail zu stecken oder z.B. den ersten und den letzten Buchstaben anzuzeigen etwa so: "p******d".
Jeder halbwegs erfolgreiche Webservice macht es nach diesem Schema, man könnte es schon fast einen Web-Standard nennen. Email kann einfach nicht als sicheres Medium angesehen werden solange keine Verschlüsselung eingesetzt wird.
Es ist kein Weltuntergang oder Security-Nightmare aber ein Anzeichen von Faulheit und dieses brauch man sich doch nicht leisten bei einer solch erfolgreichen Seite.
 
Einloggen o. Registrieren zum Antworten.

Ähnliche Themen

F
Wie kann ich Support erhalten vom Rockstar/Social-Club Kundenserver?
Antworten
3
Aufrufe
1K
Loosa
Loosa
McDrake
Verlinkungen im Text
Antworten
3
Aufrufe
693
Loosa
Loosa
Maci Naeem
  • Angeheftet
Die Zukunft des PC Games Podcast
Antworten
5
Aufrufe
2K
HonestLazyBum
HonestLazyBum
J
Support mit Computec Adressänderung
Antworten
5
Aufrufe
816
Toni
Toni
der-gilb
Heiß und fettig oder lahme Frühjahrs-Diät? Feedback PCG 03/24
Antworten
1
Aufrufe
422
maddrax782
maddrax782
Oben Unten
Zurück