Hallo zusammen, ich werde nachdem was ich hier über Hifi gelesen habe eine ganz harte Linie bezüglich des vielen Schall und Rauches über Hifi vertreten. Bitte bereits im voraus um Verständnis. Bevor ich weiter etwas über mich schreibe so muss ich eine DRINGENDE WARNUNG für die Registrierung abgeben bezüglich eines Sicherheitsrisikos dass ein ganz neu registrierter gekapert werden kann! Bei der Registrierung erhält man ein vorläufiges Passwort als email. Ohne dies geht es nicht. Man soll es schnell ändern. Macht man dies nicht schnell genug so kann ein unbefugter sich mit diesem Passwort anmelden und den Account kapern. Dieses Passwort wird vermutlich vom System standardmäßig vergeben und dürfte nicht einzigartig sein. Daher wäre es gut wenn ein ganz individuelles Passwort bei der Anmeldung verteilt würde. Nix für ungut.
Ankündigung
Einklappen
Keine Ankündigung bisher.
Eine ganz harte Linie
Einklappen
Dieses Thema ist geschlossen.
X
X
-
Hifi-RealistStichworte: -
-
AW: Eine ganz harte Linie
Bei der Registrierung erhält man ein vorläufiges Passwort als email. Ohne dies geht es nicht. Man soll es schnell ändern. Macht man dies nicht schnell genug so kann ein unbefugter sich mit diesem Passwort anmelden und den Account kapern.
So, und jetzt kannst Du ruhig Deinen selbstgebastelten Aluhut wieder vom Kopf nehmen, denn wir sind hier alle 'echt'.
Gruß
RD
-
-
Hifi-Realist
AW: Eine ganz harte Linie
Offensichtlich schreiben wir etwas aneinander vorbei. Es geht nicht darum dass jemand unecht sei oder warum jemand dies machen solle sondern nur darum dass es ohne weiteres möglich ist. Ganz ohne Wertung. Nun zu der gestellten Frage wie so etwas gehen kann. Sobald der neu registrierte vom System oder Administrator freigeschaltet ist. Er taucht dann unter wir begrüßen unser neues Mitglied auf. Dann muss man sich nur selbst mit diesem Benutzernamen anmelden und dazu das standardmäßige "hochgeheime" Passwort eingeben falls es das echte Neumitglied noch nicht geändert hat. Schon kann man diesen Account nach Belieben verändern incl. der vorhandenen email adresse sowie die bsherige angegebene erkennen. Um dies zu vermeiden wird bei anderen Internetseiten ein vom System zufällig generiertes Passwort für die Erstanmeldung bei der Neuanmeldung als email verschickt.
Kommentar
-
Hifi-Realist
AW: Eine ganz harte Linie
Nein es ist nicht ein derartiges. Will über das Passwort jetzt nichts im Detail schreiben sondern nur auf die Sicherheitslücke aufmerksam machen wenn sich jemand neu anmeldet dass er sein Passwort möglichst schnell ändert bzw ein sicheres erhält. Hat man das Anmeldepasswort erst einmal selbst geändert so ist danach ja alles erstmal wieder gut.
Kommentar
-
Hifi-Realist
AW: Eine ganz harte Linie
Die Art dieses unsicheren zugeteilten ersten Anmeldepasswort lässt vermuten dass dies immer das gleiche ist.
Kommentar
-
AW: Eine ganz harte Linie
...nun mal gaanz langsam...
Ich sehe eigentlich nur zwei realistische Möglichkeiten, wie man einen Foren-Account kapern kann.
Entweder der e-mail Account ist bereits gehackt bzw. gekapert und ein anderer kann auf die mails unbemerkt zugreifen. Dann könnte dieser die Freischaltungs-Mail als erster bearbeiten und sich ein neues geändertes Passwort vergeben.
Oder der Rechner des Foren-Users ist von einem Trojaner befallen mit dem der Hacker die Aktionen des Users verfolgen und selber in alle Aktionen dieses Rechners eingreifen kann und er könnte sich so ein neues Passwort geben, worauf der legale User nicht mehr an seinen Foren-Account kommt.
In beiden Fällen hätte der User aber ein weitaus größeres Problem als den Verlust des Zugriffs auf das Forum. Und im Übrigen scheint mir beides doch eher die ganz große Ausnahme zu sein.
Im Übrigen wird das erste Anmeldepasswort immer von einem Zufallsgenerator erstellt, dabei kommt dann sowas heraus wie schauki es geschrieben hat, oder noch was komplizierteres. Das zu erraten dürfte praktisch unmöglich sein.
Gruß
RDZuletzt geändert von ruedi01; 11.09.2016, 16:40.
Kommentar
-
-
Hifi-Realist
AW: Eine ganz harte Linie
Ruedi01 ich unterstreiche was du geschrieben hast. Diese Möglichkeiten bestehen. Das Problem bei Registrierung hier besteht eigentlich in dem unsicheren Passwort welches nicht wirklich schierig und schnell ausprobiert ist. Wird ein sicheres Passwort als email versendet so ist das dann kein Problem mehr. Das unsichere Passwort wird als vorläufiges vom Admin / System eingetragen. Wer sich mit diesem zuerst einloggt der hat den Account bzw. gekapert. Mitunter vergeht eine Weile bis der neue User sich erstmalig einloggt bzw. einloggen kann und das Passwort ändert. Der Admin ist nicht ständig besetzt. Die Problematik besteht also nicht in der Versendung des Passwortes als email. Sondern an der sehr leichten Erratbarkeit des Passwortes. Ist ein User erstmal registriert so ist derjenige der Gewinner der zuerst das richtige Passwort eingibt. Sobald ein User registriert ist erscheint er unter Neue Mitglieder. Eine automatische Sperrung nach einer gewissen Anzahl an Fehlgeschlagenen Loginversuchen erfolgt nicht.
Kommentar
-
AW: Eine ganz harte Linie
Hallo!
Bei der Registrierung hier wird auf die angegebene e-mail adresse ein (ersten) Passwort geschickt.
Dieses scheint kein zufällig generiertes zu sein.
Mit diesem ersten Passwort kann an sich nach Freischaltung durch den Admin hier einloggen und div. Einstellung machen u.a. das Passwort ändern.
In der Zeit zwischen dem Erscheinen des Usernames auf der Startseite (Neue Benutzer) und dem erstmaligen einloggen des Users, könnte ein Böser mit dem (ersten) Passwort dass leicht zu erraten sein dürfte, sich vor dem eigentlichen User einloggen und hätte dann Zugriff auf den Account (mit den hinterlegten Daten - email, ...).
Oft wird bei ähnlichen Registriervorgängen ein zufällig erstelltes Passwort verwendet und an die User e-mail geschickt. Dieses ist 1) nicht immer gleich und 2) nicht leicht zu erraten.
Wobei ich das Passwort um das es hier geht nicht kenne, aber ich glaube dem Threadstarter dass es ein nicht zufälliges ist und dann dürfte es auch immer gleich sein.
mfg
Kommentar
-
-
Hifi-Realist
AW: Eine ganz harte Linie
Danke zu deiner Erklärung schauki gut geschrieben. Dieses Passwort ist so einfach dass man es nur einmal in der email zu lesen braucht dann eine cd oder mehrere hört und dann noch immer eingeben kann ohne erst in die email sehen zu müssen. Daher wäre ein zufälliges Passwort oder zumindest eines welches menschlich zufällig ist und nicht immer gleich ist die bessere Wahl.
Kommentar
-
Hifi-Realist
AW: Eine ganz harte Linie
Es müsste schon ein überaus grosser Zufall sein wenn mein Passwort zufällig gewesen wäre. Ich muss noch korrigieren wenn man 3 cds geehört hat könnte es sein dass man es nicht beim ersten mal richtig eingibt ohne in die email zu schauen aber beim 2 oder 3 mal ganz sicher.
Kommentar
-
AW: Eine ganz harte Linie
Es ist immer das Gleiche.
Habe mich selber schon zweimals aus dem System katapultiert und von David immer das selbe Passwort bekommen.
Wäre aber noch spannend, wie ein anderer User unter meinem Namen hier schreiben würde.
So ein Ghostwriter hätte was praktisches. Bezahlen würde ich ihn aber nicht.
Den Threadtitel finde ich noch interessant. Bin gespannt wie es hier weitergeht.Viele Grüsse Leo
Kommentar
-
Kommentar