Sie sind hier

Lustige Meldung beim Anfordern eines neuen Passwortes.

Hallo,

ich habe heute ein neues Kennwort/Passwort zum Anmelden bei komascript.de angefordert.
Es hat alles reibungslos funktioniert.

Es wurde mir allerdings zwischendurch folgende Meldung angezeigt:

Das Passwort und weitere Hinweise wurden an die angegebene E-Mail-Adresse gesendet

Diese Meldung fand ich zuerst erschreckend.

Glücklicherweise aber war sie unrichtig, denn das, was an die von mir angegebene E-Mailadresse gesendet worden ist, war nicht das Passwort, sondern ein Link zu einer URL zwecks einmaliger Anmeldung zum Behufe des Änderns des Kennwortes bzw Festlegens eines neuen Kennwortes.

Vielleicht wäre eine Meldung

Ein Link zur Neufestlegung des Kennwortes/Passwortes und weitere Hinweise wurden an die
angegebene E-Mail-Adresse gesendet

auf den ersten Blick weniger erschreckend.

Freundlicherweise waren in der E-Mail Angaben über meine E-Mail-Adresse und meinen Benutzername enthalten, sodass jede/r, die/der meine Mails abfängt, nun in der Lage ist, für meinereiner auf komascript.de ein neues Passwort anzufordern und sich damit dann als meinereiner einzuloggen...

Benutzernamen würde ich aus Paranoiagründen nicht in derartige Mails hineinschreiben.
Leute, die E-Mails abfangen, können dann den Konnex zwischen E-Mailadresse und Benutzernamen - und das ist alles, was fürs Anfordern eines neuen Kennworts/Passwortes nötig ist - nicht so leicht herstellen.

Ulrich

forum: 
Bild von Markus Kohm

Die wäre in den Tiefen der Übersetzung zu suchen, um sie zu ändern.

Zum Rest: Solange komascript.de kein https kann, ist es müßig, darüber nachzudenken …

Bild von Admin

Das Versenden unverschlüsselter E-Mails mit Anmeldelinks ist grundsätzlich nicht unproblematisch. Auch wenn der Link nur einmal verwendet werden kann, kann natürlich dieses eine Mal von jemandem abgefangen werden, der sich dann einloggt und eine weitere Anforderung durchführt. Da ist es ziemlich egal, ob nun in dieser E-Mail Dein Benutzername oder Deine Hutgröße steht. Richtig sicher ginge das nur mit verschlüsselten E-Mails. Davon abgesehen, dass es dafür bisher kein Modul gibt, würde dann aber nur eine verschwindend geringe Anzahl an Anwendern überhaupt die Verschlüsselung nutzen können und von denen würde jeder zweite nach der Anforderung feststellen, dass die Mail mit einem Key verschlüsselt ist, den der Anwender längst nicht mehr verwendet.

Das https-Problem wird dagegen von einigen Admins durchaus als unschön betrachtet. Eventuell wird es irgendwann möglich sein, ein Zertifikat beispielsweise von Let's Encrypt zu verwenden. Dafür muss aber u. a. auch der Serverbetreiber eingespannt werden. Derzeit landet man mit https nämlich noch auf einer anderen Domain. Der Server muss also umkonfiguriert werden.

Nach dem Aufwand mit dem Drupal-Upgrade Ende letzten Jahres, würden wir das daher gerne noch etwas verschieben. Außerdem sind wir derzeit wieder mit der Abwehr massenhafter Spam-Account-Erzeugungen beschäftigt. Die kommen übrigens zunehmend über IPs aus der Ost-Ukraine und natürlich weiterhin aus China und den USA. Die aus Russland sind dagegen signifikant zurück gegangen.

Administratorentscheidungen sind grundsätzlich nicht im Forum zu diskutieren. Für Fragen an die Administratoren ist die bekannte Administrator-E-Mail-Adresse oder das Forum Site zu verwenden.

Da ist es ziemlich egal, ob nun in dieser E-Mail Dein Benutzername oder Deine Hutgröße steht.

Bei komascript.de meldet man sich nicht mit der E-Mailadresse an, sondern mit dem Benutzernamen.
Andererseits fordert man ein neues Passwort nicht mit dem Benutzernamen an, sondern mit der E-Mailadresse.
Diese Trennung finde ich sehr gut.

Angenommen, nach meiner Anforderung eines neuen Passwortes bekomme ich eine E-Mail, in der (zwangsläufig) meine E-Mailadresse und der Link zur Passwortänderung steht, aber sonst nichts - dann erfährt ein Abfänger meinen Benutzernamen nicht.

D.h., auch wenn er den in der abgefangenen Mail enthaltenen Link nutzt, um das Passwort zu ändern, weiss er nicht, wessen Benutzers Passwort er gerade ändert, kann also Benutzername und Passwort nicht zusammenbringen und sich - auch wenn er spasseshalber über den Link das Passwort ändert - nicht einloggen.

Deshalb wäre es gut, in der E-Mail mit dem Passwortänderungslink keine Benutzernamen zu nennen.

Oder habe ich da einen Denkfehler drin?

(Mir ist natürlich klar, dass ich grade eher "rein (pseudo-)akademisch" herumschwadroniere, denn bei komascript kann ja erstens im Prinzip jeder einen Account bekommen, und zweitens werden die Leute diese Accounts hoffentlich nicht dazu nutzen, ihre Scheckkartennummern oder sonstige sensible Daten zu hinterlegen.)

Ulrich

Bild von Admin

Wenn jemand die Mail mit dem Link für die Einmalanmeldung hat abfängt und den Link verwendet, kann er Deinen Account übernehmen und so an all Deine Daten gelangen. Wenn er dann sofort einer erneute Passwortanforderung durchführt und diese E-Mail an Dich durchlässt, merkst Du davon nichts. Deshalb ist es vollkommen egal, ob in der E-Mail Dein Benutzername steht oder nicht.

Dieses Risiko ist so grundsätzlich, dass einige Seiten gar keinen Einmalanmeldelink mehr per E-Mail versenden. Wir haben allerdings kein SMS-Gateway o. ä. das wir stattdessen verwenden könnten.

Diese Diskussion hier hat übrigens einen Vor- und einen Nachteil. Vorteil ist, dass sich vielleicht der eine oder andere bewusst wird, welches Risiko er eingeht, wenn er in Shop XY das "Passwort vergessen"-Prozedere durchführt. Der Nachteil ist, dass eventuell auch wieder soziale Tiefflieger mit zu viel Zeit auf dieses Problem aufmerksam werden.

Administratorentscheidungen sind grundsätzlich nicht im Forum zu diskutieren. Für Fragen an die Administratoren ist die bekannte Administrator-E-Mail-Adresse oder das Forum Site zu verwenden.

Comments for "Lustige Meldung beim Anfordern eines neuen Passwortes." abonnieren