HiFi Forum  

Zurück   HiFi Forum > HÖRERLEBNISSE, ERFAHRUNGSBERICHTE > Mitglieder stellen sich vor

Mitglieder stellen sich vor HiFi Lebenslauf und noch mehr

Thema geschlossen
 
Themen-Optionen Ansicht
Alt 11.09.2016, 13:53   #1
Hifi-Realist
Gast
 
Beiträge: n/a
Standard Eine ganz harte Linie

Hallo zusammen, ich werde nachdem was ich hier über Hifi gelesen habe eine ganz harte Linie bezüglich des vielen Schall und Rauches über Hifi vertreten. Bitte bereits im voraus um Verständnis. Bevor ich weiter etwas über mich schreibe so muss ich eine DRINGENDE WARNUNG für die Registrierung abgeben bezüglich eines Sicherheitsrisikos dass ein ganz neu registrierter gekapert werden kann! Bei der Registrierung erhält man ein vorläufiges Passwort als email. Ohne dies geht es nicht. Man soll es schnell ändern. Macht man dies nicht schnell genug so kann ein unbefugter sich mit diesem Passwort anmelden und den Account kapern. Dieses Passwort wird vermutlich vom System standardmäßig vergeben und dürfte nicht einzigartig sein. Daher wäre es gut wenn ein ganz individuelles Passwort bei der Anmeldung verteilt würde. Nix für ungut.
 
Alt 11.09.2016, 13:58   #2
ruedi01
Abgefahrener Benutzer
 
Benutzerbild von ruedi01
 
Registriert seit: 16.02.2011
Ort: Oberhausen Rheinland
Beiträge: 10.147
ruedi01 befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

Zitat:
Bei der Registrierung erhält man ein vorläufiges Passwort als email. Ohne dies geht es nicht. Man soll es schnell ändern. Macht man dies nicht schnell genug so kann ein unbefugter sich mit diesem Passwort anmelden und den Account kapern.
Du kannst sicherlich auch genau erklären wie das gehen könnte...und warum jemand bei diesem Forum einen Account kapern sollte bzw. was er damit bezwecken könnte.

So, und jetzt kannst Du ruhig Deinen selbstgebastelten Aluhut wieder vom Kopf nehmen, denn wir sind hier alle 'echt'.

Gruß

RD
ruedi01 ist offline  
Alt 11.09.2016, 14:31   #3
Hifi-Realist
Gast
 
Beiträge: n/a
Standard AW: Eine ganz harte Linie

Offensichtlich schreiben wir etwas aneinander vorbei. Es geht nicht darum dass jemand unecht sei oder warum jemand dies machen solle sondern nur darum dass es ohne weiteres möglich ist. Ganz ohne Wertung. Nun zu der gestellten Frage wie so etwas gehen kann. Sobald der neu registrierte vom System oder Administrator freigeschaltet ist. Er taucht dann unter wir begrüßen unser neues Mitglied auf. Dann muss man sich nur selbst mit diesem Benutzernamen anmelden und dazu das standardmäßige "hochgeheime" Passwort eingeben falls es das echte Neumitglied noch nicht geändert hat. Schon kann man diesen Account nach Belieben verändern incl. der vorhandenen email adresse sowie die bsherige angegebene erkennen. Um dies zu vermeiden wird bei anderen Internetseiten ein vom System zufällig generiertes Passwort für die Erstanmeldung bei der Neuanmeldung als email verschickt.
 
Alt 11.09.2016, 14:35   #4
schauki
Erfahrener Benutzer
 
Registriert seit: 28.02.2010
Beiträge: 6.974
schauki befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

Hallo!

Das erste Passwort ist nicht etwa sowas: "p3dgt8h"?

mfg
schauki ist gerade online  
Alt 11.09.2016, 14:38   #5
Hifi-Realist
Gast
 
Beiträge: n/a
Standard AW: Eine ganz harte Linie

Nein es ist nicht ein derartiges. Will über das Passwort jetzt nichts im Detail schreiben sondern nur auf die Sicherheitslücke aufmerksam machen wenn sich jemand neu anmeldet dass er sein Passwort möglichst schnell ändert bzw ein sicheres erhält. Hat man das Anmeldepasswort erst einmal selbst geändert so ist danach ja alles erstmal wieder gut.
 
Alt 11.09.2016, 14:50   #6
Hifi-Realist
Gast
 
Beiträge: n/a
Standard AW: Eine ganz harte Linie

Die Art dieses unsicheren zugeteilten ersten Anmeldepasswort lässt vermuten dass dies immer das gleiche ist.
 
Alt 11.09.2016, 16:29   #7
ruedi01
Abgefahrener Benutzer
 
Benutzerbild von ruedi01
 
Registriert seit: 16.02.2011
Ort: Oberhausen Rheinland
Beiträge: 10.147
ruedi01 befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

...nun mal gaanz langsam...

Ich sehe eigentlich nur zwei realistische Möglichkeiten, wie man einen Foren-Account kapern kann.

Entweder der e-mail Account ist bereits gehackt bzw. gekapert und ein anderer kann auf die mails unbemerkt zugreifen. Dann könnte dieser die Freischaltungs-Mail als erster bearbeiten und sich ein neues geändertes Passwort vergeben.

Oder der Rechner des Foren-Users ist von einem Trojaner befallen mit dem der Hacker die Aktionen des Users verfolgen und selber in alle Aktionen dieses Rechners eingreifen kann und er könnte sich so ein neues Passwort geben, worauf der legale User nicht mehr an seinen Foren-Account kommt.

In beiden Fällen hätte der User aber ein weitaus größeres Problem als den Verlust des Zugriffs auf das Forum. Und im Übrigen scheint mir beides doch eher die ganz große Ausnahme zu sein.

Im Übrigen wird das erste Anmeldepasswort immer von einem Zufallsgenerator erstellt, dabei kommt dann sowas heraus wie schauki es geschrieben hat, oder noch was komplizierteres. Das zu erraten dürfte praktisch unmöglich sein.

Gruß

RD

Geändert von ruedi01 (11.09.2016 um 17:40 Uhr).
ruedi01 ist offline  
Alt 11.09.2016, 17:48   #8
Hifi-Realist
Gast
 
Beiträge: n/a
Standard AW: Eine ganz harte Linie

Ruedi01 ich unterstreiche was du geschrieben hast. Diese Möglichkeiten bestehen. Das Problem bei Registrierung hier besteht eigentlich in dem unsicheren Passwort welches nicht wirklich schierig und schnell ausprobiert ist. Wird ein sicheres Passwort als email versendet so ist das dann kein Problem mehr. Das unsichere Passwort wird als vorläufiges vom Admin / System eingetragen. Wer sich mit diesem zuerst einloggt der hat den Account bzw. gekapert. Mitunter vergeht eine Weile bis der neue User sich erstmalig einloggt bzw. einloggen kann und das Passwort ändert. Der Admin ist nicht ständig besetzt. Die Problematik besteht also nicht in der Versendung des Passwortes als email. Sondern an der sehr leichten Erratbarkeit des Passwortes. Ist ein User erstmal registriert so ist derjenige der Gewinner der zuerst das richtige Passwort eingibt. Sobald ein User registriert ist erscheint er unter Neue Mitglieder. Eine automatische Sperrung nach einer gewissen Anzahl an Fehlgeschlagenen Loginversuchen erfolgt nicht.
 
Alt 11.09.2016, 18:34   #9
longueval
Erfahrener Benutzer
 
Registriert seit: 01.03.2013
Beiträge: 7.105
longueval befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

nun, das ist eine pempal seite, da hält sich meine angst in grenzen.
im übrigen gilt, dass, wenn man paranoid ist, das nicht heißt, dass man nicht verfolgt wird
__________________
ALSregel: besser man kann mehr, als man macht, als man macht mehr, als man kann. (brecht)
longueval ist offline  
Alt 11.09.2016, 19:02   #10
debonoo
Wetter und Menschenfreund
 
Benutzerbild von debonoo
 
Registriert seit: 18.07.2007
Beiträge: 7.211
debonoo befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

debonoo ist offline  
Alt 11.09.2016, 19:05   #11
B. Albert
...
 
Registriert seit: 27.08.2011
Beiträge: 2.252
B. Albert befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

Zitat:
Zitat von debonoo Beitrag anzeigen
Geht mir auch so.

VG Bernd
B. Albert ist offline  
Alt 11.09.2016, 19:32   #12
schauki
Erfahrener Benutzer
 
Registriert seit: 28.02.2010
Beiträge: 6.974
schauki befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

Hallo!

Bei der Registrierung hier wird auf die angegebene e-mail adresse ein (ersten) Passwort geschickt.
Dieses scheint kein zufällig generiertes zu sein.

Mit diesem ersten Passwort kann an sich nach Freischaltung durch den Admin hier einloggen und div. Einstellung machen u.a. das Passwort ändern.

In der Zeit zwischen dem Erscheinen des Usernames auf der Startseite (Neue Benutzer) und dem erstmaligen einloggen des Users, könnte ein Böser mit dem (ersten) Passwort dass leicht zu erraten sein dürfte, sich vor dem eigentlichen User einloggen und hätte dann Zugriff auf den Account (mit den hinterlegten Daten - email, ...).


Oft wird bei ähnlichen Registriervorgängen ein zufällig erstelltes Passwort verwendet und an die User e-mail geschickt. Dieses ist 1) nicht immer gleich und 2) nicht leicht zu erraten.


Wobei ich das Passwort um das es hier geht nicht kenne, aber ich glaube dem Threadstarter dass es ein nicht zufälliges ist und dann dürfte es auch immer gleich sein.

mfg
schauki ist gerade online  
Alt 11.09.2016, 19:38   #13
Hifi-Realist
Gast
 
Beiträge: n/a
Standard AW: Eine ganz harte Linie

Danke zu deiner Erklärung schauki gut geschrieben. Dieses Passwort ist so einfach dass man es nur einmal in der email zu lesen braucht dann eine cd oder mehrere hört und dann noch immer eingeben kann ohne erst in die email sehen zu müssen. Daher wäre ein zufälliges Passwort oder zumindest eines welches menschlich zufällig ist und nicht immer gleich ist die bessere Wahl.
 
Alt 11.09.2016, 19:54   #14
Hifi-Realist
Gast
 
Beiträge: n/a
Standard AW: Eine ganz harte Linie

Es müsste schon ein überaus grosser Zufall sein wenn mein Passwort zufällig gewesen wäre. Ich muss noch korrigieren wenn man 3 cds geehört hat könnte es sein dass man es nicht beim ersten mal richtig eingibt ohne in die email zu schauen aber beim 2 oder 3 mal ganz sicher.
 
Alt 11.09.2016, 19:58   #15
Leo1
Benutzer
 
Benutzerbild von Leo1
 
Registriert seit: 21.03.2015
Beiträge: 943
Leo1 befindet sich auf einem aufstrebenden Ast
Standard AW: Eine ganz harte Linie

Es ist immer das Gleiche.

Habe mich selber schon zweimals aus dem System katapultiert und von David immer das selbe Passwort bekommen.

Wäre aber noch spannend, wie ein anderer User unter meinem Namen hier schreiben würde.
So ein Ghostwriter hätte was praktisches. Bezahlen würde ich ihn aber nicht.

Den Threadtitel finde ich noch interessant. Bin gespannt wie es hier weitergeht.
__________________
Viele Grüsse Leo
Leo1 ist offline  
Thema geschlossen

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Gehe zu



Alle Zeitangaben in WEZ +2. Es ist jetzt 00:17 Uhr.


Powered by vBulletin® Version 3.7.1 (Deutsch)
Copyright ©2000 - 2017, Jelsoft Enterprises Ltd.
Powered by vBCMS® 1.2.2 ©2002 - 2017 vbdesigns.de