Teammitglieder online
Regeln und nützliche Hinweise
Neueste Themen
» Profil in beiträgen nur im blog deaktivieren.von derforumde Heute um 18:19
» Das Plauderforum ist zurück!
von Eto Mo 25 Nov 2024 - 17:59
» Style-Wechsel funktioniert nicht mehr
von Miho Mo 25 Nov 2024 - 11:05
» [Invision] Editor über den Bildrand ziehbar + Schriftgrößenproblem
von Skouliki Mi 20 Nov 2024 - 8:06
» Passwort für meinen Adminbereich vergessen.
von Joost Sa 9 Nov 2024 - 10:13
» [Invision] Signatur wird nicht immer eingefügt
von Skouliki Mo 4 Nov 2024 - 16:33
» [Invision] Schriftgröße Navigationsleiste, Links und Forenbeschreibungen
von Skouliki So 27 Okt 2024 - 13:29
» [Invision] Transparent Logohintergrund/Struktur
von Joost So 27 Okt 2024 - 12:58
» png wird im servimg in ein jpg umgewandelt
von Skouliki Mi 23 Okt 2024 - 20:26
» Passwort Vergessen (SilentHowl)
von Joost Do 17 Okt 2024 - 17:14
» [Invision] Hintergrundbild fixieren
von Skouliki Mo 14 Okt 2024 - 11:30
» Paßwort vergessen
von Joost So 13 Okt 2024 - 17:58
» Anti-Spam-Prüfung
von Hana19 Sa 12 Okt 2024 - 16:59
» Private Nachrichten bleiben im Postausgang hängen
von Skouliki Fr 11 Okt 2024 - 11:11
» [phpBB3] Mittelteil des Forums verschoben
von Eto Mo 7 Okt 2024 - 20:50
» [phpBB3] Farbpalette ändern
von Skouliki Mo 7 Okt 2024 - 10:08
» [Klassische Version] Account löschen
von Joost Sa 5 Okt 2024 - 21:05
» Chatbox einloggen nicht möglich
von Joost So 29 Sep 2024 - 8:01
Beiträge mit den meisten Reaktionen des Monats
» Beitrag von Agorass in Passwort für meinen Adminbereich vergessen. ( 2 )
» Beitrag von Keks in [phpBB2] Unterforen Nebeneinander
( 1 )
Passwort unverschlüsselt in der Aktivierungsmail
3 verfasser
Das Forum der Foren :: Hilfe und Unterstützung :: Rund um den Administrations-Bereich :: Rund um den Administrations-Bereich - Archiv
Seite 1 von 1 • Teilen
Passwort unverschlüsselt in der Aktivierungsmail
Hallo Leuts,
seit einigen Tagen bin nun Besitzer eines Forums, kam bisher auch wunderbar zurecht & versuche nun ein wenig auf die Wünsche meiner Benutzer einzugehen.
Als Kritikpunkt kam, das die Aktivierungsmail das Passwort mit unverschlüsselt Inhalt mitsendet. Lässt sich dort als Admin selbst eine Einstellung vornehmen damit dies geändert ist?
Anderenfalls könnte man dies als meinen Vorschlag für Verbesserungen nehmen.
ich danke euch schon mal
seit einigen Tagen bin nun Besitzer eines Forums, kam bisher auch wunderbar zurecht & versuche nun ein wenig auf die Wünsche meiner Benutzer einzugehen.
Als Kritikpunkt kam, das die Aktivierungsmail das Passwort mit unverschlüsselt Inhalt mitsendet. Lässt sich dort als Admin selbst eine Einstellung vornehmen damit dies geändert ist?
Anderenfalls könnte man dies als meinen Vorschlag für Verbesserungen nehmen.
ich danke euch schon mal
Jamedira- Lehrling
- Beiträge : 4
Anmeldedatum : 09.10.10
Re: Passwort unverschlüsselt in der Aktivierungsmail
Ich verstehe das Problem nicht. Die Aktivirungs Mail erhält doch derjenige, wenn er sich in einem Forum anmeldet.
Diese Daten sind wichtig, weil dort dein Benutzername und auch das Passwort enthalten ist.
Du solltest dir solche Mails immer gut aufheben, damit du später noch mal nachsehen kannst, mit welchen Daten du dich wo angemeldet hast, falls du dein Passwort mal nicht mehr wissen solltest.
Diese Daten sind wichtig, weil dort dein Benutzername und auch das Passwort enthalten ist.
Du solltest dir solche Mails immer gut aufheben, damit du später noch mal nachsehen kannst, mit welchen Daten du dich wo angemeldet hast, falls du dein Passwort mal nicht mehr wissen solltest.
#Frank- Admin a.D.
- Beiträge : 34614
Anmeldedatum : 13.08.08
Re: Passwort unverschlüsselt in der Aktivierungsmail
Soweit ist alles korrekt & auch bewusst. Nur Passwörter unverschlüsselt in E-Mails zu senden kann unter Umständen dazu führen, das andere Leute sie einsehen können. Daher auch die Frage der verschlüsselten Login-Zusendung. Das Konto im Forum wird ja wenige Minuten vorher eingerichtet womit jeder die Möglichkeit hat sich das Passwort andersweitig zu sichern.
Im eigentlichen Sinne geht es darum, anderen Usern kein kompletten Datensatz zu übermitteln, wenn diese die Mails ebenso wie der Anmelder lesen können (vergleichbar mit einer Email-Adresse auf Arbeit).
Daher die Frage: Kann der Admin eine Funktion einstellen, das die Aktivierungsmail das Passwort nicht darstellt & mal weitergedacht, eher durch eine Sicherheitsabfrage sichtbar macht?
Im eigentlichen Sinne geht es darum, anderen Usern kein kompletten Datensatz zu übermitteln, wenn diese die Mails ebenso wie der Anmelder lesen können (vergleichbar mit einer Email-Adresse auf Arbeit).
Daher die Frage: Kann der Admin eine Funktion einstellen, das die Aktivierungsmail das Passwort nicht darstellt & mal weitergedacht, eher durch eine Sicherheitsabfrage sichtbar macht?
Jamedira- Lehrling
- Beiträge : 4
Anmeldedatum : 09.10.10
Re: Passwort unverschlüsselt in der Aktivierungsmail
Das ist so nicht einstellbar, aber die Furcht vor einer "Man in the middle"-Attacke kannst du den Usern ja nehmen, in denen du ihnen bei der Registrierung räts das Passwort nach dem ersten Login zu ändern.
Gebe dir in soweit Recht, dass eine Email so sicher ist wie eine Postkarte, aber ob es sich lohnt soviel kriminelle Energie in das Hacken eines Forenaccount einzubringen, bezweifle ich ....
Gebe dir in soweit Recht, dass eine Email so sicher ist wie eine Postkarte, aber ob es sich lohnt soviel kriminelle Energie in das Hacken eines Forenaccount einzubringen, bezweifle ich ....
LouiXIV- Kaiser
- Beiträge : 5210
Anmeldedatum : 22.03.09
Re: Passwort unverschlüsselt in der Aktivierungsmail
Also mal meine Erfahrungen dazu:
Es ist mir noch nirgends untergekommen, das die Registrierungsinformationen in irgendeiner Form als Verschlüsselte oder sonst irgendwie gesicherte Mail versendet wurden.
Es ist überall so, das wenn du dich irgentwo anmeldest du eine Bestätigung deiner Daten per Mail erhältst.
Das Argument mit dem "Mitlesen" ist doch dein Problem.
Wenn du eine Mailadresse benutzt, auf die mehrere Personen Zugriff haben, dann ist das dein Problem und eigentlich nicht im Sinne des Erfinders.
Du musst solch eine Mail Adresse ja nicht verwenden.
Warum nutzt du nicht eine Mailadresse zu der nur du den Zugang hast?
Wie oben schon geschrieben wurde, ist das nicht einstellbar und wird es auch nicht geben.
Ich wüsste auch nicht wie das Funktionieren sollte, wenn du diese Informationen zugeschickt bekommst, dort aber dann nichts drinsteht, das du nicht lesen kannst.
Stell dir Bitte vor, das du eine Passwortanfrage machst und du bekommst dann eine Mail, die nur mit dem nicht mehr vorhandenen Passwort geöffnet werden kann.
Was sollte das für eine Sinn haben?
Es ist mir noch nirgends untergekommen, das die Registrierungsinformationen in irgendeiner Form als Verschlüsselte oder sonst irgendwie gesicherte Mail versendet wurden.
Es ist überall so, das wenn du dich irgentwo anmeldest du eine Bestätigung deiner Daten per Mail erhältst.
Das Argument mit dem "Mitlesen" ist doch dein Problem.
Wenn du eine Mailadresse benutzt, auf die mehrere Personen Zugriff haben, dann ist das dein Problem und eigentlich nicht im Sinne des Erfinders.
Du musst solch eine Mail Adresse ja nicht verwenden.
Warum nutzt du nicht eine Mailadresse zu der nur du den Zugang hast?
Wie oben schon geschrieben wurde, ist das nicht einstellbar und wird es auch nicht geben.
Ich wüsste auch nicht wie das Funktionieren sollte, wenn du diese Informationen zugeschickt bekommst, dort aber dann nichts drinsteht, das du nicht lesen kannst.
Stell dir Bitte vor, das du eine Passwortanfrage machst und du bekommst dann eine Mail, die nur mit dem nicht mehr vorhandenen Passwort geöffnet werden kann.
Was sollte das für eine Sinn haben?
#Frank- Admin a.D.
- Beiträge : 34614
Anmeldedatum : 13.08.08
Re: Passwort unverschlüsselt in der Aktivierungsmail
Ich danke für die Antwort. Meine Frage ist damit beantwortet.
Ich habe das Problem selbst ja nicht gehabt, sondern für einen Member von meinem Forum erfragt. Ich bin aber selbst gewohnt, das die Passwörter mit "****" in den Mails stehen & ggf. durch eine Sicherheitsabfrage ("Wie hieß dein erstes Haustier" z.B.) abgefragt werden kann.
War denke ich mal eine der etwas anderen Arten von Fragen, aber ich danke für eure Hilfe und die Auskunft.
Ich habe das Problem selbst ja nicht gehabt, sondern für einen Member von meinem Forum erfragt. Ich bin aber selbst gewohnt, das die Passwörter mit "****" in den Mails stehen & ggf. durch eine Sicherheitsabfrage ("Wie hieß dein erstes Haustier" z.B.) abgefragt werden kann.
War denke ich mal eine der etwas anderen Arten von Fragen, aber ich danke für eure Hilfe und die Auskunft.
Jamedira- Lehrling
- Beiträge : 4
Anmeldedatum : 09.10.10
Re: Passwort unverschlüsselt in der Aktivierungsmail
Ja gut, da hast du recht, das es diese Möglichkeit auch gibt. Das nennt sich dann Passwortfrage.
Aber ich bin mir sicher, das diese Frage genau so Sinnlos ist wie alles andere.
Meist ist es ja so, das bei einer solchen Frage eine Frage gewählt wird und dann in der Antwort dazu irgendein Blödsinn hinterlegt wird, von dem die User meinen sich später auch noch erinnern zu können und das dann aber auch nicht klappt, weil sie bei der Anmeldung bei der Antwort einen Schreibfehler gemacht haben.
Es ist schon sicher genug, wenn man seine Daten auf seine Mailadresse gesendet bekommt, wenn man hier nicht einen Multiaccount benutzt.
Auch wird hier wieder deutlich wie wichtig es ist das man für solch eine Registrierung nicht eine Einmal Adresse benutzt, die später nicht mehr abgerufen werden kann.
Denn dann tritt wieder das Problem ein, das man die Mail und Nachrichten nicht mehr empfangen kann.
Es ist doch heutzutage kein Problem verschiedenen Mailadressen einzurichten. So sollte es auch kein Thema sein sich Mailadressen einzurichten, die nur für den Forenbetrieb genutzt werden.
So mache ich das auch. Und bei meiner Domain habe ich sowieso 500 Mailpostfächer, die ich für alle Gelegenheiten einrichten kann.
Also sollte das wirklich kein Problem sein und keiner ist gezwungen einen Mailaccount anzugeben, der von mehreren Personen genutzt wird, was unter uns gesagt echt Blödsinn ist.
Aber ich bin mir sicher, das diese Frage genau so Sinnlos ist wie alles andere.
Meist ist es ja so, das bei einer solchen Frage eine Frage gewählt wird und dann in der Antwort dazu irgendein Blödsinn hinterlegt wird, von dem die User meinen sich später auch noch erinnern zu können und das dann aber auch nicht klappt, weil sie bei der Anmeldung bei der Antwort einen Schreibfehler gemacht haben.
Es ist schon sicher genug, wenn man seine Daten auf seine Mailadresse gesendet bekommt, wenn man hier nicht einen Multiaccount benutzt.
Auch wird hier wieder deutlich wie wichtig es ist das man für solch eine Registrierung nicht eine Einmal Adresse benutzt, die später nicht mehr abgerufen werden kann.
Denn dann tritt wieder das Problem ein, das man die Mail und Nachrichten nicht mehr empfangen kann.
Es ist doch heutzutage kein Problem verschiedenen Mailadressen einzurichten. So sollte es auch kein Thema sein sich Mailadressen einzurichten, die nur für den Forenbetrieb genutzt werden.
So mache ich das auch. Und bei meiner Domain habe ich sowieso 500 Mailpostfächer, die ich für alle Gelegenheiten einrichten kann.
Also sollte das wirklich kein Problem sein und keiner ist gezwungen einen Mailaccount anzugeben, der von mehreren Personen genutzt wird, was unter uns gesagt echt Blödsinn ist.
#Frank- Admin a.D.
- Beiträge : 34614
Anmeldedatum : 13.08.08
Re: Passwort unverschlüsselt in der Aktivierungsmail
Ich habe eure Antwort so weitergegeben und dachte ich poste an der Stelle auch seine Antwort da es meiner Meinung nach gar nicht so verkehrt ist:
Habe es selbst nicht getestet, aber zu "LouiXIV"'s Tipp: wird denn das geänderte Passwort nicht auch wieder im Klartext zugesendet?
Eigentlich wollt ich das Thema gar nicht so ausreizen, dachte aber das es ggf. als ein Hinweis auf Sicherheitslücken zeigen könnte die man verbessern kann.
Nichts für Ungut, ich bin selbst soweit zufrieden und habe damit kein Problem.
...
Nun gut, ist deren Meinung, ich find es nur bisl seltsam, dass bei der Passwortvergabe darauf geachtet wird ein sicheres Passwort zu wählen bzw. dass man auf ein unsicheres Passwort aufmerksam gemacht wird, aber dann anschließend das evtl sichere Passwort im Klartext über den Äther zu schicken. Das verfehlt meiner Meinung nach den Aspekt: "gib nie Passwörter an dritte weiter.
Habe es selbst nicht getestet, aber zu "LouiXIV"'s Tipp: wird denn das geänderte Passwort nicht auch wieder im Klartext zugesendet?
Eigentlich wollt ich das Thema gar nicht so ausreizen, dachte aber das es ggf. als ein Hinweis auf Sicherheitslücken zeigen könnte die man verbessern kann.
Nichts für Ungut, ich bin selbst soweit zufrieden und habe damit kein Problem.
Jamedira- Lehrling
- Beiträge : 4
Anmeldedatum : 09.10.10
Re: Passwort unverschlüsselt in der Aktivierungsmail
Ich Frage mich nur, wie der darauf kommt, das einer seine E-Mails abfängt?
Zu meinen Mails habe eigentlich nur ich selber Zugang.
Zu meinen Mails habe eigentlich nur ich selber Zugang.
#Frank- Admin a.D.
- Beiträge : 34614
Anmeldedatum : 13.08.08
Ähnliche Themen
» Aktivierungsmail doppelt!!!
» Keine Aktivierungsmail
» Aktivierungsmail zum Entsperren des Forums...
» Beim Registrieren keine Aktivierungsmail
» 2 Fragen.1.Namensfarbe ändern.2.Aktivierungsmail aktivieren
» Keine Aktivierungsmail
» Aktivierungsmail zum Entsperren des Forums...
» Beim Registrieren keine Aktivierungsmail
» 2 Fragen.1.Namensfarbe ändern.2.Aktivierungsmail aktivieren
Das Forum der Foren :: Hilfe und Unterstützung :: Rund um den Administrations-Bereich :: Rund um den Administrations-Bereich - Archiv
Seite 1 von 1
Befugnisse in diesem Forum
Sie können in diesem Forum nicht antworten