1zu160 - Forum



Anzeige:
aat-net - amerikanische und kanadische modellbahnen

THEMA: Neues Passwort bei Modellbahnshop Lippe anlegen

THEMA: Neues Passwort bei Modellbahnshop Lippe anlegen
Startbeitrag
N-Bahn Andi - 29.11.18 18:55
Hallo,

ich habe heute nach längerer Zeit mal wieder beim Lippe-Online-Shop reingeschaut. Beim Anmelden wurde ich aufgefordert ein neues Paßwort anzulegen. Ist diese Aufforderung vertrauenswürdig?

Gruß
Andreas

Hallo Andreas,

diese Aufforderung ist schon sehr lange. Ich bin ihr nachgekommen und habe keine nachteiligen Feststellungen!

VG Christian
Hallo Andreas,
an dieser Aufforderung dürfte ich "schuld" sein. Ich hatte vor einiger Zeit Erpresser-EMails erhalten (sinngemäß "zahl' uns soundsoviel Bitcoins, oder wir veröffentlichen Passwort und verschiedene private Daten").

Ich hätte darauf wenig gegeben, gäbe es nicht das folgende pikante Detail: Die Email ist zielgerichtet an meine Modellbahnshop-Lippe EMail-Adresse gegangen, und zwar als Beweis des Datendiebstahls mit dem Passwort, das ich für diesen Shop verwende. In dieser Kombination kann aber kein Virus oder Trojaner z. B. beim Einloggen oder auf meinem Rechner die Daten abgreifen, da zum Einloggen ein Benutzername und das Kennwort verwendet werden, die EMail ist ausschließlich in den persönlichen Daten im Shop hinterlegt, muss nirgends eingegeben werden und ist auch sonst nirgends zusammen mit dem Passwort hinterlegt, sprich als Datensatz zusammen mit dem Passwort ist sie nur bei Lippe hinterlegt. Wo sonst also als bei Lippe selbst kann jemand die Kombination aus EMail-Adresse und Kennwort abgegriffen haben?

Beim Modellbahnshop wollte man der Sache nachgehen und hat jetzt wohl in letzter Konsequenz alle Benutzer aufgefordert, ihre Kennwörter zu ändern...

Viele Grüße,
Torsten
Hallo Torsten,

ich möchte hier jetzt eine Grundsatzdebatte auslösen. Deine Vermutung halte ich für wenig überzeugend, weil dann sicher nicht nur Du Empfänger  von mehreren "Erpresser-EMails" gewesen wärst sondern eine Vielzahl von Usern hier im Forum. Außerdem kann mit den bei MSL hinterlegten Daten kaum über dich erworbenes Wissen weiter gegeben werden.

Ich vermute (!) eher, dass jemand einen anderen Weg gefunden hat, um Dir die MSL Daten vorzuhalten.

Nächtliche Grüße
Christian
Hi Folks,

aufgrund dieses Threads habe ich mich bei Lippe eingeloggt. Hätte sonst - vorerst - keine Veranlassung dazu gehabt.
Da unmittelbar nach dem Einloggversuch mit dem alten Passwort diese Änderungsseite erscheint, halte ich sie für glaubwürdig. Nach dem Einloggen mit dem neuen Passwort komme ich auch - wie gewohnt - auf die original Lippe-HP und nicht auf irgendein Fake. Von daher bin ich beruhigt.

Gruß aus Nordertown
Hi in die Runde,

ich bin mir jetzt nicht ganz sicher, wahrscheinlich hab' ich die Mail schon gelöscht... - aber war da nicht eine Mail an die Kunden, daß der Shop umgestellt würde, irgendwas wg. der Sicherheit und man deswegen ein neues PW anlegen müsse...

meint grüßend
Roland

der das ebenfalls schon vor einiger Zeit gemacht hat...
@Trainworld,

ich habe die Mail (Systemumstellung im Shop) am 02.11.18 erhalten.

@Alle

diese komischen Erpresser E-Mail`s sind zur Zeit überall im Umlauf, mal ist der Web-Cam Zugang gehackt worden oder der Router usw. Der Schock ist das dass Passwort im Klartext steht.

Macht euch nicht so viele Gedanken, das besste ist es, überall verschiedene Passwörter zu nutzen und diese auch mal zu wechseln. Auf der Arbeit muss ich mir, für meinen Rechner alle 3 Monate ein neues Passwort ausdenken.

Mfg

Mika

moin allerseits,
jetzt muss ich als it´ler mit 35 jahren berufserfahrung mal meinen senf dazugeben:

es ist absolut richtig, dass ein shop bei längerer abwesenheit ein neuen passwort verlangt, ebenso w-re richtig alle paar monate ein neues pw zu verlangen.
nichts im internet ist sicher! das netz ist eine öffentliche strasse.
gehackt wurde dieses jahr spurweite n, hier wurde auf der seite wohl anschließend einiges verbessert.
danach bekam ich auch 2x dir bitcoin mail > ignorieren und passworte ändern und verschiedene login ins und pw nutzen.
es gibt ohne aufwand keine andere methode sich abzusichern.

gruss
jürgen
Hallo,
alle naselang das Passwort zu ändern ist sinnfrei. Wozu? Wenn die Seite nicht gehackt wurde, dann ist ein Passwort auch nach 30 Jahren so sicher wie am ersten Tag. Und wenn jemand unbemerkt im System steckt, kann er das neue PW auch einfach auslesen. Hinzu kommt, dass Nutzer, die zu ständigen PW-Wechseln gezwungen werden, zu unsicheren Passwörtern tendieren, damit sie sich die immer neuen auch merken können. Leider ist die Unsitte immernoch weit verbreitet...

Also, verwendet für jeden Dienst ein eigenes Passwort von ausreichender Länge - dabei hilft ein Passwortmanager ungemein - und ihr habt euer Bestes getan. Wenn dann doch mal ein Anbieter gehackt wird, ist nur dieses eine Passwort kompromittiert und nur der eine Anbieter. Dort setzt ihr ein neues PW, sobald der Anbieter sein System gesäubert hat, und fertig.

Ich bekomme seit Monaten immer wieder Mails von Möchtegern-Erpressern, die ihrer Forderung damit Nachdruck verleihen wollen, dass sie mir ein Passwort mitschicken. Dumm nur, dass das seit Jahren nicht mehr in Gebrauch ist :D Es stammt noch aus der Phase, als ich das Thema auch noch nicht so ernst genommen hab. Irgendwann wurde dann mal ein Dienst gehacked und die PWs abgesaugt, daraufhin hab ich den Passwortmanager eingeführt und jedes PW nur ein einziges Mal verwendet. Seitdem kann ich über solche Witzbolde nur noch müde lächeln.

Viele Grüße
Carsten
Zitat - Antwort-Nr.: 3 | Name: Christian

Deine Vermutung halte ich für wenig überzeugend, weil dann sicher nicht nur Du Empfänger  von mehreren "Erpresser-EMails" gewesen wärst sondern eine Vielzahl von Usern hier im Forum. Außerdem kann mit den bei MSL hinterlegten Daten kaum über dich erworbenes Wissen weiter gegeben werden.


Guten Morgen,

zu Satz 1: Die wenigsten Leute benutzen wie Torsten für verschiedene Adressaten unterschiedliche Adressen, d.h. sie können Spam nicht einer bestimmten Quelle zuordnen. Über Spam wird hier gelegentlich berichtet. Da es sich hier um ein Modellbahnforum handelt, wird aber sicher nicht jede Spam-Mail zum Diskussionsthema.
Oder hast Du eine Übersicht über den Spameingang bei uns Forumsbenutzern?

zu Satz 2: Da wie bereits ausgeführt die wenigsten Menschen mit spezialisierten Adressen arbeiten und auch häufig das selbe Passwort bei verschiedenen Diensten verwendet wird, ist das sehr kritisch. Denn wenn die Daten bei einer Stelle abgegriffen sind, hat der Angreifer auch gleich Zugriff auf das GMX-Postfach, den Facebook-Account, Amazon oder was auch immer. Ein mögliches Szenario ist z.B., dass der Angreifer bei Amazon eine neue Lieferadresse anlegt, weil niemand anzutreffen sein wird bei DHL einen "Ablageort" und dann auf fremde Rechnung einkauft.

Also rede hier bitte Sicherheitsprobleme nicht klein.

Grüße
Zwengelmann
moin allerseits,

wenn user für jeden netzzugang ein anderes pw verwenden dann ist es ok.
aber üblich ist doch seine email adresse zu nehmen und das übliche pw für fast alles.
es soll sogar leute geben die für email und banking das gleiche pw geben......
da ist es schon sehr vernünftig wenn shop systeme ab und zu neue pw verlangen!!
es ist leider bedauerlich dass sich viele shop systeme nicht an die grundvorgaben des bsi halten.

gruß
jürgen
Hallo Michael (@9),

ich sehe keinen Widerspruch! Es geht bei mir alleine (!) um die Frage nach der Quelle der Information. Da sagst Du doch selbst. Es geht auch nicht "Spam", das ist eine unerwünschte Mail, sondern wo Daten ausgelesen wurden (Die daraufhin generierte Mail ist sicher auch unerwünscht aber nicht Gegenstand der Frage von Andreas).

Grüße Christian
Hallo Jürgen

Zitat - Antwort-Nr.: | Name:

da ist es schon sehr vernünftig wenn shop systeme ab und zu neue pw verlangen!!


Wozu? Wer keinen Bock hat, ein vernünftiges Sicherheitskonzept für seine Passwörter durchzuziehen, der wird sich davon nicht umstimmen lassen. Passwörter ändern zu müssen bringt absolut keinen Gewinn an Sicherheit.

Viele Grüße
Carsten
Hallo Carsten,

da hast du Recht, aber es geht um wachrütteln!

Gruß
Jürgen
Zitat - Antwort-Nr.: | Name:


Wo sonst also als bei Lippe selbst kann jemand die Kombination aus EMail-Adresse und Kennwort abgegriffen haben?


Leider gibt es immer noch viel zu viele Systeme welche die Passwords sogar im Klartext speichern (anstelle von einem Hash), da braucht man dann nur die Datei vom Server und nicht mal bei einem aktiven Login "abhören". Klartext macht ja alles sooooo viel einfacher für den Systemprogrammierer

Grüße,
Harald.
Hallo Jürgen,
wenn das aber zu unsichereren Passwörtern bei den Usern führt, dann hast du der Sache einen Bärendienst erwiesen. Das sollte man schon vermeiden.

Viele Grüße
Carsten
jo,
es gibt verschiedene Sichten der Dinge.....
gegen einen DAU ist leider kein Administrator gefeit!
Gruß
Jürgen
Zitat - Antwort-Nr.: 5 | Name: Trainworld

aber war da nicht eine Mail an die Kunden, daß der Shop umgestellt würde, irgendwas wg. der Sicherheit und man deswegen ein neues PW anlegen müsse


Genau so ist es. MSL hat das gemacht, nachdem ich Ihnen die Angelegenheit geschildert hatte. Wie gesagt, ein Angreifer hätte bei mir die Kombination aus Login-Name und Kennwort abgreifen können, oder die EMail-Adresse alleine aus einer der EMails (Newsletter, Bestellungen). Aber eben nicht in der Kombination EMail-Adresse + Kennwort!

Ich hatte von MSL die Anwort erhalten, dass die Kennwörter in ihrer Datenbank verschlüsselt seien und eigentlich nichts passieren könne. Kurze Zeit später kam dann aber doch die Aufforderung an andere (alle?) Kunden.

Viele Grüße,
Torsten
Hallo,

danke für eure Antworten. Ich habe ein neues Paßwort.

Gruß
Andreas
Hallo!

So ein Email wie unter #2 beschrieben habe ich auch bekommen, allerdings ohne User-ID und Password, jedoch mit korrekter Adresse und Telefonnummer. Das Email ist jedoch längst gelöscht.

Auch ich habe verwende für die Registrierung bei den einzelnen Onlineshop spezielle Emailadressen und immer unterschiedliche Passworte. Da die Anzahl der möglichen Emailadressen begrenzt ist, habe die für Lippe verwendete Email auch noch bei anderen Shops verwendet. Somit war klar, dass einer dieser Shops gehackt worden sein muss oder dass Benachrichtigungs-Emails abgefangen wurden. Nachdem keine weitere verdächtigen Emails gekommen sind und es auch sonst keine Hinweise gab, habe ich die Sache nicht weiter verfolgt.


Viele Grüße
BWB


Nur registrierte und eingeloggte User können Antworten schreiben.
Einloggen ->

Noch nicht registriert? Hier können Sie Ihren kostenlosen Account anlegen: Neuer N-Liste Account





Zum Seitenanfang

© by 1zu160.net;