mikrocontroller.net

Forum: Offtopic Pollin wurde gehackt


Autor: Kai A. (kaiand1) Benutzerseite
Datum:

Bewertung
5 lesenswert
nicht lesenswert
Hallo,
Ich habe eben eine Mail von Pollin erhalten die Beinhaltet das das 
Passwort zurückgesetzt wurde da die gehackt wurden.

von Pollin
"
In einer aktuell durchgeführten Analyse haben wir festgestellt, dass 
sich unbekannte Dritte aufgrund eines gezielten Serverangriffs 
unberechtigten Zugriff auf Daten verschafft haben können, die in der 
Vergangenheit auf der Website von Pollin Electronic eingetragen wurden. 
Davon können beispielsweise Namen, Geburtsdaten, E-Mail Adressen, 
SEPA-Daten, Zugangsdaten, Telefonnummern oder postalische Adressen 
unserer Kunden betroffen sein.
"

Vom Inhalt her ist dies eine Wirkliche Mail von Pollin jedoch konnte ich 
auf der ebseite nichts dazu finden.
Hat jemand anderes diese auch bekommen?

Es kommen ja immer wieder mal Mails an wo versucht wird Passwörter und 
Co zur   erlangen was aber wenn auch auf der Webseite steht das dies 
Passiert ist.

Was mich jedoch Wundert ist das kein Salt bzw mehrfaches Haschen des PWD 
der Fall war da sonst das PWD ja Sicher wäre.

Es ist jetzt nichts gegen Pollin da so ein Angriff auf etliche Firmen 
immer laufen sowie auch auf Foren um an die Daten zu kommen.

: Bearbeitet durch User
Autor: Teo D. (teoderix)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Passt schon. Geh einfach auf die Pollin-Seite und log dich ein.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Das ist eine Reaktion auf Phishing-Mails, die gezielt an Kunden aus der 
Datenbank von Pollin versendet wurden, mit z.B. Cyberport als 
angeblichem Lieferanten. Ich hatte gestern auch so eine erhalten. In 
diesen Mails war ggf. auch die hinterlegte Bankverbindung aufgeführt.

http://www.heise.de/newsticker/meldung/Phishing-An...

: Bearbeitet durch User
Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Kai A. schrieb:
> Was mich jedoch Wundert ist das kein Salt bzw mehrfaches Haschen des PWD
> der Fall war da sonst das PWD ja Sicher wäre.

Ob das Passwort dem Hacker etwas nutzt oder nicht, oder wie hoch der 
Aufwand zur Klartextermittlung etwa wäre, steht hier nicht wirklich zur 
Debatte. Die Datenbank wurde gehackt und als Folge davon wurden 
vorsorglich die Passwörter geplättet. Das ist eine Routine-Reaktion.

Aus der Tatsache der Phishing-Mails selbst geht nicht hervor, dass 
Kunden-Passwörter entschlüsselt wurden. Das ist dafür nicht 
erforderlich. Dies bedeutet andererseits aber nicht, dass die Passwörter 
sicher wären.

Wer in seinen Daten eine Konto- oder Kartennummer hinterlegt hatte, der 
sollte in nächster Zeit auf sein entsprechendes Konto achten, denn diese 
Daten liegen dem Hacker unverschlüsselt vor und wurden auch in den Mails 
genutzt.

: Bearbeitet durch User
Autor: Christian M. (Firma: magnetmotor.ch) (chregu) Benutzerseite
Datum:

Bewertung
-8 lesenswert
nicht lesenswert
Kai A. schrieb:
> gehackt

Gecrackt!

Hacker sind friedlich!

Gruss Chregu

Autor: A. K. (prx)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Christian M. schrieb:
> Hacker sind friedlich!

Nur die White-Hats darunter. Hacker ist der Oberbegriff und schliesst 
auch Black-Hats mit ein.

: Bearbeitet durch User
Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
erstmal mit einem fake-Account anmelden.
wenn es dann in etwa heisst:

"Willkommen bei (...)" wäre ich doch etwas vorsichtig ;)

Autor: Wolfgang R. (Firma: www.wolfgangrobel.de) (mikemcbike)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Anmelden scheint da gerade nicht möglich zu sein...

Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
bei mir bleibt die Seite weiss.

Autor: Matthias S. (Firma: matzetronics) (mschoeldgen)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
So, und jetzt kommt bei mir 'Wartungsarbeiten'

Autor: Oliver S. (phetty)
Datum:

Bewertung
-3 lesenswert
nicht lesenswert
Der Server scheint vollkommen überlastet zu sein. Naja, php ist so 
einfach für sowas nicht zu verwenden.

: Bearbeitet durch User
Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Wohl dem, der das Faxgerät noch nicht ausgemustert hat ;)

Autor: Matthias S. (Firma: matzetronics) (mschoeldgen)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Ist aber auch beknackt, an alle Internet Kunden eine Mail zu 
verschicken, wo man zum Ändern des PW aufgefordert wird, und dann nicht 
auf einen Ansturm gefasst zu sein von Leuten, die das dann auch machen 
wollen.

Interessant wäre der Zeitpunkt des Hacks, hatte mein PW gerade geändert.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Matthias S. schrieb:
> Ist aber auch beknackt, an alle Internet Kunden eine Mail zu
> verschicken, wo man zum Ändern des PW aufgefordert wird, und dann nicht
> auf einen Ansturm gefasst zu sein von Leuten, die das dann auch machen
> wollen.

Es geht nicht anders. Der Hinweis über den Hack muss frühzeitig 
erfolgen.

Ich habe es soeben problemlos geschafft, ohne jede Verzögerung.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Matthias S. schrieb:
> Interessant wäre der Zeitpunkt des Hacks, hatte mein PW gerade geändert.

Das legt nahe, dass du das gleiche PW auch anderswo verwendet hast. 
Sonst wäre das ja egal.

Autor: Matthias S. (Firma: matzetronics) (mschoeldgen)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Das legt nahe, dass du das gleiche PW auch anderswo verwendet hast.
> Sonst wäre das ja egal.

Hä? Kapier ich jetzt nicht. Warum legt das das nahe?
Pollin fordert auf, ein neues Passwort zu vergeben. Genau das hatte ich 
vor einigen Tagen gemacht. Wenn die Jungs davor abgegriffen haben, dann 
spielt das keine Rolle für mich, wenn das erst gestern war, aber sehr 
wohl.
Wer ist schon so blöd und nimmt immer die gleichen Passwörter? - ich 
zumindest nicht.

Autor: Oliver S. (phetty)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Es ist von "erheblicher krimineller Energie" die Rede. Wie muss man das 
verstehen?

Autor: Alex W. (a20q90)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Oliver S. schrieb:
> Es ist von "erheblicher krimineller Energie" die Rede. Wie muss
> man das
> verstehen?

Das der "Eindringling" nicht durch "Doppelklick" sich Zugang verschafft 
hat...

Autor: Old P. (old-papa)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Oliver S. schrieb:
> Es ist von "erheblicher krimineller Energie" die Rede. Wie muss man das
> verstehen?

Da war kriminelle Energie im Spiel und die war erheblich. Was ist daran 
nicht zu verstehen?
Wenn Du wissen willst was sie gemacht haben, dann frage die Hacker!

Old-Papa

: Bearbeitet durch User
Autor: Harald W. (wilhelms)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Matthias S. schrieb:

> Wer ist schon so blöd und nimmt immer die gleichen Passwörter?

Da sich die Anzahl der benötigten Passwörter im normalen Leben
schon im Bereich von >>20 bewegt, muss man sich schon irgend-
etwas überlegen. Natürlich kann man sich sämtliche Passwörter
irgendwo aufschreiben,aber das wäre z.B. bei einem Einbruch
auch nicht so toll. Ehrlich gesagt habe ich da noch keine
richtige Lösung gefunden. Mich würde mal interessieren, wie
das andere Forenmitglieder handhaben.

Autor: Old P. (old-papa)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Harald W. schrieb:
> Mich würde mal interessieren, wie das andere Forenmitglieder handhaben.

Tja, zu Zeiten von Mailboxen & Co (so ab 1992). hatte ich tatsächlich 
ein Büchlein mit hunderten Zugangsdaten. Später dann eine 
"Casio-Datenbank", die war immer gaga wenn ich was brauchte. Also wieder 
zum Buch und zur Zettelwirtschaft.
Inzwischen habe ich eine Exceltabelle, diese PW-Geschützt mehrfach 
abgelegt.
Für Shops usw. habe ich so 5-7 PW in leicht abgewandelter Form, für 
Mail, FB, iBäh und Gedöhns komplett eigene, die auch gelegentlich 
gewechselt werden. > 200 kommt bei mir wohl auch hin.

Old-Papa

Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Harald W. schrieb:
> Da sich die Anzahl der benötigten Passwörter im normalen Leben
> schon im Bereich von >>20 bewegt, muss man sich schon irgend-
> etwas überlegen.

z.B.
eine Kombination aus
wo ich mich einlogge, wer ich bin und weiterer personenbezogener Kram.

da brauche ich keinen Passwort-Tresor.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Matthias S. schrieb:
> Pollin fordert auf, ein neues Passwort zu vergeben. Genau das hatte ich
> vor einigen Tagen gemacht. Wenn die Jungs davor abgegriffen haben, dann
> spielt das keine Rolle für mich, wenn das erst gestern war, aber sehr
> wohl.

Das gestern noch vorhandene PW ist heute gelöscht, also musst du so oder 
so ein neues PW vergeben. Wenn du das von gestern wiederverwendest, 
kommst du im Falle eines Falles in die ungünstige Situation, deine 
Überlegungen zur Harmlosigkeit der Wiederverwendung haarklein jemandem 
erklären zu müssen, der nur die Hälfte davon versteht.

: Bearbeitet durch User
Autor: Axel S. (a-za-z0-9)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Harald W. schrieb:
> Da sich die Anzahl der benötigten Passwörter im normalen Leben
> schon im Bereich von >>20 bewegt, muss man sich schon irgend-
> etwas überlegen.
...

> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

Für Krempel mit mittleren Sicherheitsanforderungen (da gehören Webshops 
dazu) verwende ich:

https://addons.mozilla.org/en-US/firefox/addon/pas...

Gibt es auch als Android-App

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Harald W. schrieb:
> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

Password Manager.

Autor: D. I. (Gast)
Datum:

Bewertung
5 lesenswert
nicht lesenswert
Harald W. schrieb:
> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

KeePass

Autor: Frank Norbert S. (franknstein)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Roboform

Autor: Paul B. (paul_baumann)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Scheinbar ist der größte Ansturm vorbei, denn ich konnte eben mein 
Passwort ohne Mühe und Verzögerung ändern.

Harald W. schrieb:
> Ehrlich gesagt habe ich da noch keine
> richtige Lösung gefunden. Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

Sämtliche Passworte sind in einem Gedicht versteckt. Bei jedem Neuen 
kommt ein Reim hinzu.
:)

MfG Paul

Autor: Michael K. (aemkai)
Datum:

Bewertung
4 lesenswert
nicht lesenswert
Paul B. schrieb:
> Sämtliche Passworte sind in einem Gedicht versteckt.

Trägst du das auch mal vor...

Autor: Matthias X. (current_user)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
"Passwort.txt" auf dem Desktop :)

Autor: Paul B. (paul_baumann)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Michael K. schrieb:
> Trägst du das auch mal vor...

Na klar -aber erst mal nur im engsten Kreis (um meinen Wohnzimmertisch).
:)
MfG Paul

Autor: Witkatz :. (wit)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Paul B. schrieb:
> Sämtliche Passworte sind in einem Gedicht versteckt.

und glaubst du wirklich, dass sich ein gewiefter Hacker keinen Reim 
drauf macht?
;-)

Autor: Harald W. (wilhelms)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Paul B. schrieb:

> Sämtliche Passworte sind in einem Gedicht versteckt. Bei jedem Neuen
> kommt ein Reim hinzu.

Von Dir hätte ich auch nichts anderes erwartet. :-)

Autor: Bernd T. (bastelmensch)
Datum:

Bewertung
7 lesenswert
nicht lesenswert
Wenigstens wissen die von Pollin das es großer Mist ist wenn so was 
passiert und informieren die Kunden.

Machen ja nicht alle Firmen. Google kennt Beispiele bei denen Daten 
abgezockt wurden und keiner per Email gewarnt wurde.

Autor: Markus M. (adrock)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ahh... und ich hatte mich schon gewundert, woher wohl in der 
Phishing-Email (ein ominöses Jobangebot für Geldtransaktionen blah) 
meine Realdaten (Name, Adresse und Telefonnummer) stammten bzw. wer die 
geleakt hat.

Dann waren das wohl die Daten von Pollin...

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Bernd T. schrieb:
> Wenigstens wissen die von Pollin das es großer Mist ist wenn so was
> passiert und informieren die Kunden.

Angesichts der enthaltenen Daten sind sie dazu vermutlich auch rechtlich 
verpflichtet. Die dürften mittlerweile einen Sicherheits-Consultant im 
Haus haben, der sich darin auskennt.

: Bearbeitet durch User
Autor: Da D. (dieter)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Harald W. schrieb:
> Mich würde mal interessieren, wie
> das andere Forenmitglieder handhaben.

http://keepass.info/

Gibts sowohl für Desktop als auf Mobile Betriebssysteme.

Autor: Marek N. (bruderm)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
KeePass
+1

Autor: Sebastian J. (aslmx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Marek N. schrieb:
> KeePass
> +1

+1=3

Hab irgendwas um die 100 accounts darin gespeichert.
 Hoffe ja mal das die verschlüsselung nicht geknackt wird ;)

Bin echt enttäuscht von Pollin. Das bekräftigt mich aber weiterhin für 
möglichst alles einen eigenen Email-alias zu nutzen, dann weiss man 
wenigstens wem man den Spam zu verdanken hat. UND die Datendiebe haben 
nicht gleich den Usernamen für andere Dienste mit ggf. gleichem 
Passwort...

Wer Gmail nutzt der sei zu dem hier geraten:

https://gmail.googleblog.com/2008/03/2-hidden-ways...

Meine Provider können das leider beide nicht...

Autor: np r. (samweis)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter 
in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt 
sind.

Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails.

Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher 
geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer 
Datenbank abzulegen.
Herzlichen Glückwunsch!

Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...

Autor: Johannes O. (jojo_2)
Datum:

Bewertung
7 lesenswert
nicht lesenswert
np r. schrieb:
> Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher
> geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer
> Datenbank abzulegen.
> Herzlichen Glückwunsch!

Ich muss also auch davon ausgehen, dass Menschen sich tatsächlich den 
Kracher leisten, im Jahre 2016 noch bei mehreren Diensten des gleiche 
Passwort zu verwenden.
;-)

Sollten die Angreifer wirklich mein (vorheriges) Pollin Passwort haben, 
so können sie damit nichts anfangen. Es steht in keinerlei Verbindung zu 
meinen anderen Passwörtern.

Autor: Michael L. (michaelx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
np r. schrieb:
> Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter
> in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt
> sind.
>
> Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails.

Ganz ehrlich: Welche Antwort willst du denn haben?

Wenn sie dir schreiben würden, dass die PW super-duper-verschlüsselt 
wären, würdest du das doch nicht glauben, und hier auch bloß posten, 
dass Pollin mauert!

> Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher
> geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer
> Datenbank abzulegen.
> Herzlichen Glückwunsch!
>
> Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...

Dummes Gelaber! - Wie gut oder schlecht die PW bei Pollin verschlüsselt 
waren, ist doch total nebensächlich. In so einem Falle sollte man 
immer(!) neue PW vergeben.

Und wie mein Vorposter schrieb: Wer seine PW mehrfach verwendet, der ist 
einfach selbst dran schuld, und sollte sich keinesfalls ereifern, dass 
eventuell möglicherweise sein PW nicht verschlüsselt gespeichert sein 
könnte.

Autor: Kai A. (kaiand1) Benutzerseite
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Es gibt Anbieter die haben Klartext PWDs andere verschlüsseln.
Jedoch wenn diese zugriff auf die Server/Daten haben können die auch 
Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch 
Entschlüsseln.
Aber da hält sich eh jede Firma in Schweigen wie deren Systeme 
Abgesichert sind ect um nicht noch zusätzliche Negative Presse zu 
bekommen sowie ggfs noch Klagen zu erhalten.
Aber in vielen Firmen ist es auch so das auch im IT Bereich gespart wird 
und viele vorgesetzte auch nicht den Plan davon haben und verstehen 
weshalb dort dauernd zusätzlich Geld für ausgegeben werden muss wenn es 
doch auch so läuft...

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Kai A. schrieb:
> Jedoch wenn diese zugriff auf die Server/Daten haben können die auch
> Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch
> Entschlüsseln.

So nicht, jedenfalls wenn nicht zu doof gemacht. Das ist eine 
Einwegverschlüsselung, d.h. es gibt keinen regulären Weg, sie zu 
entschlüsseln.

Je nach Methode und den Eigenschaften des Passwortes kann es trotzdem 
möglich sein, aber dabei hilft Kenntnis des Programms nicht viel weiter. 
Dafür aber ein schneller Rechner, genug Platz und etwas Zeit.

: Bearbeitet durch User
Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
np r. schrieb:
> Ich habe inzwischen bei Pollin mehrfach nachgefragt, ob die Passwörter
> in Klartext gespeichert wurden und so in die Hände der Angreifer gelangt
> sind.
>
> Pollin antwortet jedes Mal mit ausweichenden, nichtssagenden E-Mails.
>
> Ich muss also davon ausgehen, dass Pollin sich tatsächlich den Kracher
> geleistet hat, im Jahre 2016 noch Passwörter im Klartext in einer
> Datenbank abzulegen.
> Herzlichen Glückwunsch!
>
> Es muss wohl doch starker Fachkräftmangel in Deutschland herrschen...

wieviel Mail werden in Firmen mit derartigem Mail-Aufkommen
noch wirklich direkt beantwortet?

wo sitzt da überhaupt noch echtes Personal dahinter???

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
● J-A V. schrieb:
> wieviel Mail werden in Firmen mit derartigem Mail-Aufkommen
> noch wirklich direkt beantwortet?

Wenn es etwas ist, das für Pollin geschäftlich relevant ist und einer 
Antwort bedarf, vermutlich jede. Einen Anspruch auf eine individuelle 
Antwort auf die tausendste Frage zum gleichen Thema hast du freilich 
nicht. ebensowenig eine Antwort, die z.B. deren Geschäftsprozesse 
offenlegt.

> wo sitzt da überhaupt noch echtes Personal dahinter???

Was sonst?

Jenseits des Autoresponders (haben die Mail erhalten) dürfte ein 
KI-System zur Reaktion auf Mails nur selten anzutreffen sein. Und da 
Mails in ganz normalen Geschäftsprozessen heutzutage routinemässig 
verwendet werden, ist ein "forward to /dev/null" nicht wirklich eine 
Lösung.

: Bearbeitet durch User
Autor: Philipp K. (philipp_k59)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Irgendwas war da sowieso krumm..

Ich habe meine T-Online-EMail das allererste mal bei einer Pollin 
Bestellung benutzt und wurde sofort 2 Tage später mit Werbung zugemüllt.

Ich hatte die EMail schon lange, nur noch nie angegeben.

Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
-3 lesenswert
nicht lesenswert
der ganze Laden ist krumm.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
● J-A V. schrieb:
> der ganze Laden ist krumm.

Inwiefern? Gehackte Datenbanken kommen in den besten Familien vor. Krumm 
ist da jemand, der dies zu verbergen versucht. Es ist kein Geheimnis, 
dass ein Teil der Ware Restposten sehr unterschiedlicher Qualität ist. 
Die Reaktion auf Reklamationen ist aber gut, soweit zumindest meine 
Erfahrung.

Autor: wolle g. (wolleg)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:
> Die Reaktion auf Reklamationen ist aber gut, soweit zumindest meine
> Erfahrung.

Sehe ich auch so. Da kann man nicht meckern.

Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> ● J-A V. schrieb:
>> der ganze Laden ist krumm.
>
> Inwiefern?

3 mal was bestellt, 3 mal defekt angekommen,
weil es nicht richtig vepackt wurde.

irgendwann dann nochmal versucht was zu bestellen,
Die Artikel OK, die Rechnung aber falsch. Zu meinen Gunsten.
-hab ich dann nicht weiter verfolgt ;)

Autor: np r. (samweis)
Datum:

Bewertung
-4 lesenswert
nicht lesenswert
A. K. schrieb:
> Krumm ist da jemand, der dies zu verbergen versucht.

"Krumm" wäre hier, dass man hartnäckig und mit individuell geschriebenen 
E-Mails zu verbergen versucht, dass man ganz offensichtlich die 
Passwörter nicht nach dem Stand der Technik gespeichert hat.

Das ist aber eine Information, die für den betroffenen Kunden durchaus 
wertvoll ist.
Ich habe ja auch nicht nach Pollins Geschäftsprozessen oder nach ihrer 
Verschlüsselung gefragt - das darf gerne Pollins Geheimnis bleiben.
Aber die Information, dass mein Passwort ungeschützt und im Klartext an 
unbekannte Dritte gegangen ist, sollte man mir geben.

Autor: Matthias S. (da_user)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Kai A. schrieb:
> Jedoch wenn diese zugriff auf die Server/Daten haben können die auch
> Zugriff auf die Verschlüsselungsmethode erlangen und dadurch diese auch
> Entschlüsseln.

Gute und zuverlässige Verschlüsselungen sind OpenSource: jeder kann sich 
den Quellcode angucken und auf Fehler oder Backdoors kontrollieren.

Derzeitiger Standard sind m.W. gesalzene 
(https://de.wikipedia.org/wiki/Salt_(Kryptologie)) SHA-2 
(https://de.wikipedia.org/wiki/SHA-2) Hashes mit mehreren Iterationen. 
Wer diese Möglichkeit einsetzt, kann (und sollte) dies auch öffentlich 
Kundtun, ohne dass es der Passwortsicherheit schadet.

Autor: A. K. (prx)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
np r. schrieb:
> "Krumm" wäre hier, dass man hartnäckig und mit individuell geschriebenen
> E-Mails zu verbergen versucht, dass man ganz offensichtlich die
> Passwörter nicht nach dem Stand der Technik gespeichert hat.

Das schliesst du woraus? Für mich ist das keineswegs offensichtlich.

Selbst wenn eine solche normale Datenbank mit der sichersten verfügbaren 
Methode für Passwörter arbeitet - selbst dann müsste bei einem solchen 
Hack an alle möglicherweise Betroffenen eine Warnung raus, die 
Passwörter zu ändern (das ist m.W. auch Vorschrift). Allein schon, weil 
ein 6-stelliges Passwort aus Kleinbuchstaben auch dann nicht sicher sein 
kann.

Fragen nach den Details der Speicherung können jene, die Mail-Anfragen 
erhalten, nicht selbst beantworten. Und jede Antwort in einer solchen 
Frage muss so gestaltet sein, dass sie für die Firma keine negativen 
rechtlichen Folgen hat. Dass man da an normale Kunden adressierte Texte 
erhält nimmt nicht Wunder - wundern würde mich, wenn es irgendwo anders 
liefe. Eine Antwort wie "ihr Passwort ist sicher" würde ich auf eine 
solche Frage nicht einmal dann geben, wenn ich das Verfahren für sehr 
sicher halte.

: Bearbeitet durch User
Autor: ● J-A V. (Firma: FULL PALATINSK) (desinfector) Benutzerseite
Datum:

Bewertung
1 lesenswert
nicht lesenswert
krumm ist jemand der krummes tut

Autor: Old P. (old-papa)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Nun kommt mal wieder runter!
Weder ist "der ganze Laden krumm", noch ist gesichert, dass Pollin die 
Passwörter unverschlüsselt sichert.
Wer bei Pollin kauft (und das müssen Millionen sein bei den Treffern im 
Web), der weis auch, dass er/sie Restposten oder andere "preiswerte 
Ware" bekommt. Meistens meckern diejenigen, die nie dort gekauft haben! 
Ist ja bei PayPal ähnlich, die größten Hasser geben zu, dass sie 
"nie-nicht" ein PP-Konto haben...
Also, woher die Erkenntnis, dass die PW unverschlüsselt gespeichert 
werden? Vielleicht eine Glaskugel bei Pollin gekauft? ;-)

Old-Papa

Autor: Philipp K. (philipp_k59)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Ich bestelle selbst regelmäßig und schon länger bei Pollin Schnäppchen..

Das Krumm war mehr auf die Datenschleuderei von Emails bezogen.

Autor: np r. (samweis)
Datum:

Bewertung
-3 lesenswert
nicht lesenswert
Old P. schrieb:
> noch ist gesichert, dass Pollin die
> Passwörter unverschlüsselt sichert.

A. K. schrieb:
>> Passwörter nicht nach dem Stand der Technik gespeichert hat.
>
> Das schliesst du woraus? Für mich ist das keineswegs offensichtlich.

Für Dich nicht, da Du offenbar nicht bei Pollin nachgefragt hast.

Ich habe inzwischen - wie oben bereits erwähnt - mehrmals bei Pollin 
nachgefragt.
Darauf habe ich jeweils unterschiedliche, individuell formulierte 
Antworten erhalten, die mir mitteilten,
- dass man über die polizeilichen Ermittlungen keine Auskunft geben 
könne (wonach ich nicht gefragt hatte),
- oder dass man über "Pollins Sicherheitskonzept" keine Auskunft geben 
könne (wonach ich nicht gefragt hatte).

Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin 
die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik 
und dass die Passwörter nicht im Klartext gespeichert waren. Welches 
Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.

Dies hat Pollin mir nicht bestätigen können oder wollen, so dass ich 
folgern muss, dass die Passwörter im Klartext gespeichert waren.

Pollin scheint da zu vergessen, dass die gespeicherten Daten meine 
Daten sind und ich durchaus Auskunft darüber verlangen darf, wem welche 
Daten zugänglich gemacht worden sind - absichtlich oder aus 
Schusseligkeit.

Autor: Philipp K. (philipp_k59)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
np r. schrieb:
> Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin
> die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik
> und dass die Passwörter nicht im Klartext gespeichert waren. Welches
> Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.

Und Du bist der Welt Sachsverständige dem jeder Konzern/Unternehmen 
antworten muss wenn er sich so eine total dumme und beknackte Frage 
stellt, die auch noch sowas von Noobie ist das Leute mit nem bisschen 
Ahnung Dich nur belächeln!

Dazu wird es bestimmt noch bei Zeit eine Stellungnahme von Pollin 
geben.. womöglich hast Du nur Angst das Dein Passwort "123456" gemopst 
wurde.

Autor: Old P. (old-papa)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
np r. schrieb:
>
> Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin
> die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik
> und dass die Passwörter nicht im Klartext gespeichert waren. Welches
> Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.

Und genau das wird Dir kein Unternehmen der Welt sagen. Warum auch? 
Schon die Information ob oder ob nicht verschlüsselt wird, ist 
sicherheitsrelevant!

> Pollin scheint da zu vergessen, dass die gespeicherten Daten *meine*
> Daten sind...

Na da wäre ich nicht so sicher ;-) Wer hat das Datensystem angelegt und 
wer erstellt und verwaltet das System mit Geburtsdaten, Andressen (also 
Straßen und Orte nach Kriterien benennen)?
Du bist "nur" ein Individium, dass sich den von Anderen aufgebauten 
Service zu nutze macht!
Also, hierüber könnte man trefflich streiten ;-)

> ... und ich durchaus Auskunft darüber verlangen darf, wem welche
> Daten zugänglich gemacht worden sind - absichtlich oder aus
> Schusseligkeit.

Wenn sie wüssten, wer bei ihnen eingebrochen ist, dann brauchten sie 
keine Polizei. Glaskugeln hat selbst Pollin nicht im Programm.

Old-Papa

: Bearbeitet durch User
Autor: np r. (samweis)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Philipp K. schrieb:
> total dumme und beknackte Frage
> stellt, die auch noch sowas von Noobie ist

Vielleicht kannst Du das mit einer etwas sachlicheren Aussage 
unterfüttern statt mit persönlichen Angriffen?



P.S.:
Leider lockt dieses - sonst sehr gute und hilfreiche - Forum oft 
Teilnehmer an, die Aussagen und Informationen zur Sache nicht von 
personenbezogenen Aussagen unterscheiden können. Solltest Du dazu 
gehören, möchte ich Dich bitten, die Begriffe "argumentum ad rem" und 
"argumentum ad hominem" nachzuschlagen.
Dein nächstes Posting könnten wir dann zur Lernkontrolle gemeinsam 
auswerten.

Autor: Philipp K. (philipp_k59)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Also erstmal einen persönlichen Angriff sehe ich hier nicht, Deutsch 
lernen.

Einer Firma Klartextspeicherung Vorzuwerfen ist schon eine Nummer über 
die man sich vorher Gedanken machen sollte!

Ich denke mal eher im besten Fall wurden fest und sicher verschlüsselte 
Passwörter gemoppst(auch da bekommt jeder Nachricht), wer verrrät dann 
in dem Falle bitte schön seine Verschlüsselungsmethode?

Noobie wird man, indem man sich mit ca. Tausend anderen "Schlauen" 
Personen frühzeitig diese eine Frage stellt und das Unternehmen mit 
Nachrichten Bombardiert.

Autor: Cyblord -. (cyblord)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Philipp K. schrieb:
> Ich denke mal eher im besten Fall wurden fest und sicher verschlüsselte
> Passwörter gemoppst(auch da bekommt jeder Nachricht), wer verrrät dann
> in dem Falle bitte schön seine Verschlüsselungsmethode?

1.) Werden die meist nicht verschlüsselt sondern gehashed.
2.) Die Methode sollte nicht geheim sein müssen, sonst ist die 
Sicherheit so wieso bereits nicht mehr gegeben (Security by Obscurity).

Die größte Gefahr ist, dass die auf einen einfachen Hash für alle 
Passwörter setzen und man somit bei einem Klau der ganzen Datenbank mit 
einer "Geburtstags-Attacke" ziemlich viele Klartext Passwörter 
erwirtschaften kann.

Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein 
SOLLTE, ist es sowieso egal.

Autor: np r. (samweis)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Old P. schrieb:
> dass die gespeicherten Daten *meine*
>> Daten sind...
>
> Na da wäre ich nicht so sicher ;-) Wer hat das Datensystem angelegt und
> wer erstellt und verwaltet das System mit Geburtsdaten, Andressen (also
> Straßen und Orte nach Kriterien benennen)?
> Du bist "nur" ein Individium, dass sich den von Anderen aufgebauten
> Service zu nutze macht!

Ehrlich gesagt - jetzt bin ich einigermaßen platt. :-o
Du meinst also, dass die Informationen über Geburtsdaten, Adressen, 
Straßen und Orte,... nicht persönliche Daten des jeweiligen Kunden sind?

Das ist im BDSG und in der Richtlinie 95/46/EG aber anders geregelt.
Dort wird auch die Auskunftspflicht und der Umgang mit den Daten 
geregelt.

Zu Paswörtern geben die jeweiligen Landesdatenschutzbeauftragten noch 
eine kleine Hilfestellung, damit - frei nach Philipp K. (philipp_k59) - 
Noobies, die in die Verlegenheit geraten, Passwörter speichern zu 
müssen, keine dummen und beknackten Fragen zu stellen brauchen:

"Die Passwörter sind im Computer verschlüsselt zu speichern."

"In Protokollen oder Dateien dürfen Passwörter nie in
Klarschrift erscheinen."

Autor: np r. (samweis)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Philipp K. schrieb:
> wer verrrät dann
> in dem Falle bitte schön seine Verschlüsselungsmethode?

Danach hatte ich nicht gefragt.
Das hatte ich auch oben ausdrücklich geschrieben.

Ich hatte eine kurze, einfache Frage gestellt, die mit "Ja" oder "Nein" 
beantwortet werden konnte.
Statt dessen hat man sich die Mühe gemacht, mir seitenweise individuell 
formulierten Text in mein Postfach zu werfen und auf Fragen zu 
antworten, die ich nicht gestellt hatte.

Philipp K. schrieb:
> Also erstmal einen persönlichen Angriff sehe ich hier nicht, Deutsch
> lernen.

OK, da sich das "Deutsch lernen" ja nicht auf meine Person beziehen kann 
sondern als Sachäußerung zu verstehen sein muss, nehme ich an, Du willst 
uns mitteilen, dass Du mit der Lektüre zu "argumentum ad rem" und 
"argumentum ad hominem" nicht weitergekommen bist, da Du noch im Stadium 
"Ich nix sehen, ich erst Deutsch lernen" bist.
Kein Problem. Du kannst die Erläuterungen aber auch auf Englisch 
nachschlagen. Oder auf Urdu. Die Begriffe selbst sind sowieso 
Lateinisch. Lass Dich nicht verwirren.

Autor: Philipp K. (philipp_k59)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Cyblord -. schrieb:
> Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein
> SOLLTE, ist es sowieso egal.

Die Techniken und das ganze drumherum sind mir schon seit 2003 bekannt, 
da habe ich als Hobby meine Erste Internetseite mit Login und Datenbank 
erstellt.. wer das heutzutage nicht macht hat keinen IT-ler angestellt, 
sehe ich so als Hobbyist.

: Bearbeitet durch User
Autor: Cyblord -. (cyblord)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Philipp K. schrieb:
> Cyblord -. schrieb:
>> Sind die Passwordhashes "salted", wie es heute eigentlich Standard sein
>> SOLLTE, ist es sowieso egal.
>
> Die Techniken und das ganze drumherum sind mir schon seit 2003 bekannt,
> da habe ich als Hobby meine Erste Internetseite mit Login und Datenbank
> erstellt.. wer das heutzutage nicht macht hat keinen IT-ler angestellt,
> sehe ich so als Hobbyist.

Ändert nichts daran dass das noch häufig gemacht wird. Frag doch mal nen 
Fachinformatiker oder "Bachelor für Medien und Kommunikation" nach 
solchen Dingen. Oft macht dann noch der 15 jährige Enkel vom Chef die 
Betreuung nebenher weil es mit PHP Frickeln kann. So läufts leider.

: Bearbeitet durch User
Autor: np r. (samweis)
Datum:

Bewertung
-2 lesenswert
nicht lesenswert
Philipp K. schrieb:
> wer das heutzutage nicht macht hat keinen IT-ler angestellt,
> sehe ich so als Hobbyist.

Das sehe ich genauso.
Warum aber kann man dann nicht einfach auf die simple Frage

"Können Sie mir bitte bestätigen, dass die Passwörter nicht im 
Klartext gespeichert waren?"

antworten:

"Ja, selbstverständlich kann ich das bestätigen."

oder

"Nein, natürlich waren sie nicht als Klartext gespeichert."

??
So eine Antwort wäre doch viel kürzer, einfacher und sinnvoller als 
seitenweise über "polizeiliche Ermittlungen" und "Sicherheitskonzepte" 
zu schwadronieren, über die man jedoch leider nichts sagen dürfe, und 
sich dabei jedes Mal mit immer neuen Formulierungen einen abzubrechen, 
als hätte man sonst keine Arbeit?

Autor: Philipp K. (philipp_k59)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Musste jetzt selbst erstmal nen bisschen Daten zusammen Tragen und habe 
mal nach Zertifizierungen oder ähnlichem gesucht..

Von Golem:
Laut Pollin hat der Datenschutzbetrauftragte des Elektronik-Shop bereits 
die zuständige Aufsichtsbehörde informiert, zudem will das Unternehmen 
Strafanzeige stellen. Die technische Analyse des Angriffs dauere weiter 
an.

Pollin hat ja ein Prüfsiegel für den OnlineShop mit folgenden 
Prüfkritirien (Ich weiß selbst das das wenig auszusagen hat, ist ja kein 
ISO und sehr breit ausgelegt, vielleicht ein Indiz):

Der Anbieter wendet ein angemessenes Sicherheitskonzept an, das 
insbesondere Folgendes nachweislich gewährleistet:
die Sicherheit sensibler und personenbezogener Daten seiner Kunden;
ausreichenden Schutz seiner Systeme und Verfahren gegen Zugriff 
unberechtigter Dritter;
die Verschlüsselung bei der Transaktion von Zahlungsinformationen.







Cyblord -. schrieb:
> Ändert nichts daran dass das noch häufig gemacht wird. Frag doch mal nen
> Fachinformatiker oder "Bachelor für Medien und Kommunikation" nach
> solchen Dingen. Oft macht dann noch der 15 jährige Enkel vom Chef die
> Betreuung nebenher weil es mit PHP Frickeln kann. So läufts leider.

Jepp, kenne ich selbst einige Beispiele ;)

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
np r. schrieb:
> Warum aber kann man dann nicht einfach auf die simple Frage

Beispielsweise weil die antwortende Person weder entsprechend Ahnung hat 
noch dazu autorisiert ist. Und jene Person, die es wäre, ist grad mit 
der Sache selbst beschäftigt und hat keine Zeit, sich mit lauter solchen 
Mails zu befassen. Du bist nicht der einzige Kunde von Pollin.

Die Person, die auf solche Mail antwortet, baut so weit wie sie es 
versteht aus vorgegebenen Aussagen eine Antwort zusammen. Dass die nicht 
zwingen auf die Frage passen ist klar, denn diese Person ist in solchen 
Fragen nicht kompetent. Kategorie Callcenter.

Autor: A. K. (prx)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
np r. schrieb:
> Ehrlich gesagt - jetzt bin ich einigermaßen platt. :-o
> Du meinst also, dass die Informationen über Geburtsdaten, Adressen,
> Straßen und Orte,... nicht persönliche Daten des jeweiligen Kunden sind?

Du hast einen Anspruch darauf, solche auf dich bezogenene Inhalte der 
Datenbank zu erfahren. Auskunft über die Technik, wie diese gespeichert 
sind, gehört dazu nicht.

Autor: Richard H. (richard_h27)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
A. K. schrieb:

> Die Person, die auf solche Mail antwortet, baut so weit wie sie es
> versteht aus vorgegebenen Aussagen eine Antwort zusammen.

Ich kenne das aus dem Reklamationsschriftverkehr mit Internet-Providern: 
Textbausteine in den Würfelbecher, schütteln, in das Antwortmail kippen 
und ohne weitere Prüfung als Antwort versenden. In der Schule wäre diese 
Antworten jedes Mal eine totale Themaverfehlung gewesen.

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Richard H. schrieb:
> Ich kenne das aus dem Reklamationsschriftverkehr mit Internet-Providern:
> Textbausteine in den Würfelbecher, schütteln, in das Antwortmail kippen
> und ohne weitere Prüfung als Antwort versenden.

So ungefähr. Die kompetenten und oft auch teuren Personen braucht man 
dort, wo das Problem selber liegt. Wenn kompetente Fachkräfte eines 
Tages so billig sind wie Callcenter-Mitarbeiter, dann wird sich das 
vielleicht ändern. ;-)

Autor: Simon L. (dfgh)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Deshalb Reklamationen und Support Anfragen immer direkt mit 
Artikelnummer schreiben.

Dann hat der Servicemitarbeiter weniger zu tun und muss nicht lange 
Überlegen sondern kann meinen Vorschlag für den Ersatzartikel einfach 
per Copy-Paste akzeptieren.

Autor: Marco H. (damarco)
Datum:
Angehängte Dateien:

Bewertung
1 lesenswert
nicht lesenswert
Hmm nun wurden die Daten wohl an jemanden verkauft der User versucht zu 
erpressen.

Sinnbildlich macht man den betroffenen Angst man hätte über den Browser 
Videos gemacht beim "sie wissen schon" und droht damit diese an die 
Kontaktliste die man geraubt hätte zu verteilen.

Um die Glaubwürdigkeit zu untermauern wird das Passwort mitgeliefert. 
Eben genau das mit der email das bei Pollin Anwendung fand.

Das Zahlungsdaten abflossen wurde ja immer bestritten, diese sind 
außerhalb der EU aber auch ziemlich wertlos. Also versucht man es auf 
diese Tour die Daten in Geld umzusetzen.

Letztes Jahr gab es Auffälligkeiten bei google und Github.. Da 
Passwörter regelmäßig geändert werden und nicht gleich sind bei anderen 
Diensten bin ich mir ziemlich sicher das es von mir keine Videos von "na 
ihr wisst schon gibt"

Gibt es ähnliche Mails an andere Kunde ?

Wer so etwas bekommt -> nicht zahlen und nie Antworten !

Passwörter ändern ...

: Bearbeitet durch User
Autor: Matthias S. (da_user)
Datum:

Bewertung
2 lesenswert
nicht lesenswert
Old P. schrieb:
>> Ich hatte lediglich immer wieder gebeten, mir zu bestätigen, dass Pollin
>> die Passwörter nach irgendeinem Verfahren nach dem Stand der Technik
>> und dass die Passwörter nicht im Klartext gespeichert waren. Welches
>> Sicherheitskonzept, wie genau, wo und wer ist mir völlig wurscht.
>
> Und genau das wird Dir kein Unternehmen der Welt sagen. Warum auch?
> Schon die Information ob oder ob nicht verschlüsselt wird, ist
> sicherheitsrelevant!

Auch wenn der Thread schon uralt ist, würde ich hier gerne einhaken:

Die Information ob, oder ob nicht verschlüsselt wird, bzw gehasht, wie 
man es bei Passwörtern macht, ist nicht sicherheitsrelevant. Wenn die 
Passwörter ordentlich gesalzen und gehasht wurden, dann bringt einem 
Angreifer das Wissen darüber gar nichts. Der Aufwand ist praktisch der 
gleiche.

Somit gibt es prinzipiell nur zwei Methoden, Passwörter zu sichern:

1.) Man nimmt sich aus dem vollen Schränken der OpenSource-Community ein 
von Experten entwickeltes, und zigmal von Experten geprüftes Verfahren.

2.) Man verschlüsselt gar nicht, setzt auf ClosedSource oder "Security 
by obscurity", bei der niemand nachprüfen kann, ob die Daten wirklich 
sicher sind.

Dreimal darf geraten werden, welche Methode man lieber geheim hält, und 
mit welcher man angeben kann...

Autor: Alex G. (dragongamer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Stell aber open source nicht als automatisch sicherer als Closed source 
hin.
Die Vergangenheit hat gezeigt dass dies nicht der Fall ist. Siehe als 
prominentestes Beispiel den Heartbleed bug oder diese Wlan 
verschlüsselungssache vor ein paar Monaten...

Autor: Marco H. (damarco)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
tja alt aber aktuell.... Es ist klar das die meisten Passwörter kaum 
noch funktionieren werden... Wenn man Usern dann noch solche Mails 
sendet scheucht man den letzten auf zum ändern.

Das ist ja auch so ziemlich das letzte Mittel aus vermeintlichen 
Peinlichkeiten Kapital zu schlagen. Da hatte der Erpresser aber 
ordentlich Geduld mich zu beobachten... So ganz ohne Cam ;) Die sind 
wenn vorhanden alle ab geklebt oder funktionieren unter Linux nicht.

Aber welche Möglichkeiten gibt es denn zum Verwalten? Plattform 
übergreifend? -> eigen Thread bitte..

Ob eine Mail Adresse in irrend einen Quellen vorhanden ist kann man 
übrigens hier prüfen https://breachalarm.com/

Wer sein Password noch nicht geändert hat sollte dies unbedingt tun...

Ob die Daten wirklich von Pollin stammen kann ich natürlich nicht 
wirklich beweisen....

: Bearbeitet durch User
Autor: Matthias S. (da_user)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Alex G. schrieb:
> Stell aber open source nicht als automatisch sicherer als Closed source
> hin.
> Die Vergangenheit hat gezeigt dass dies nicht der Fall ist. Siehe als
> prominentestes Beispiel den Heartbleed bug oder diese Wlan
> verschlüsselungssache vor ein paar Monaten...

Ja, da sollte man sich natürlich nicht täuschen lassen. Gerade 
Heartbleed ist echt bitter,...
Allerdings ist die Wahrscheinlichkeit einer hohen Dunkelziffer bei 
ClosedSource deutlich höher. Schon alleine das Potential, dass man den 
Programmcode, "einfach so", jederzeit und ohne Bedingungen prüfen kann, 
ist für mich ein deutlicher Sicherheitsgewinn.
Dafür kann man den Hersteller der ClousedSource u.U. 
(Vertragbedingungen!) in Haftung nehmen.

Autor: Wolfgang R. (Firma: www.wolfgangrobel.de) (mikemcbike)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Isch 'abe gar keine Webcam...

;-)

: Bearbeitet durch User
Autor: Marek N. (bruderm)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Marco H. schrieb:
> Aber welche Möglichkeiten gibt es denn zum Verwalten? Plattform
> übergreifend? -> eigen Thread bitte..

Keepass.
Läuft und Win, Linux und Android.
Syno hab ich noch nicht probiert.

Dann mach doch einen auf.

Autor: Jeffrey L. (the_dude)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wieso nicht einfach eine passwortgeschützte Excel-Tabelle?
So mach ich es.

Xmlx-files kann man unter ios, android und linux öffnen - das Master-PW 
sollte eben sicher sein und bei der Auswahl der Androidapp sollte man 
auch etwas genauer hin schauen, bevor man das spreadsheet öffnet...

Autor: A. K. (prx)
Datum:

Bewertung
3 lesenswert
nicht lesenswert
Jeffrey L. schrieb:
> Wieso nicht einfach eine passwortgeschützte Excel-Tabelle?

Geht auch. Ein Password Manager kann aber bequemer sein:
- Der Anwendung User+Password automatisiert in einem Rutsch reinjagen.
- Direkt die eingetrage URL aufrufen, statt umständlich per Clipboard.
- Nach kurzer Zeit das Clipboard löschen, damit das Password nicht noch 
am nächsten Tag drin steht.
- Vorschläge für gute Passwords, insbesondere solche, die man knotenfrei 
tippen und sich für ein paar Sekunden merken kann.

PS: Mancher hats auch schon geschafft, in einem Excel-Sheet nach 
jahrelangem hinten dran hängen den Inhalt endlich alphabetisch zu 
sortieren. Leider aber nicht den Inhalt anhand der ersten Spalte, 
sondern nur die erste Spalte. Wohl dem, der es gleich merkt, nicht erst 
dann, wenn ers braucht. ;-)

: Bearbeitet durch User
Autor: Asko B. (dg2brs)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
A. K. schrieb:
> Leider aber nicht den Inhalt anhand der ersten Spalte,
> sondern nur die erste Spalte. Wohl dem, der es gleich merkt, nicht erst
> dann, wenn ers braucht. ;-)

Hallo A.K.,

kannste das mal konkretisieren?
Ich habe momentan damit ein Verständnisproblem und würde gerne
Fehler in meinen Exel-Tabellen vermeiden.

Gruss Asko

Autor: Alex G. (dragongamer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Asko B. schrieb:
> Hallo A.K.,
>
> kannste das mal konkretisieren?
> Ich habe momentan damit ein Verständnisproblem und würde gerne
> Fehler in meinen Exel-Tabellen vermeiden.
>
> Gruss Asko
Er meinte damit dass man die Namens-Spalte nach dem Alphabet sortiert, 
aber versehentlich nicht die Passwörter entsprechend mitnimmt und somit 
die Zuordnung nicht mehr stimmt ;)

Autor: Asko B. (dg2brs)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Hallo Alex,

entweder hab ich immer alles richtig gemacht, oder dieses Problem
ist mir noch nie aufgefallen. Bei mir ändern sich auch die Zelleninhalte
nach Sortierung. Irgendwie stehe ich immernoch au´m Schlauch betreffs
dieses Hinweises.
Das dürfte ja nicht nur Passwortzuordnungen sondern ALLE Tabellen 
betreffen.

Gruss Asko

Autor: A. K. (prx)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Asko B. schrieb:
> entweder hab ich immer alles richtig gemacht, oder dieses Problem
> ist mir noch nie aufgefallen.

Ist eine Weile her, also altes Excel, aber das ging ungefähr so:

(1) Wähle die erste Spalte aus, dann Daten / irgendwie Sortieren.
(2) Wähle das ganze Sheet aus, dann Daten / irgendwie Sortieren.

Hab hier nur LibreOffice, das fragt vorsichthalber nach.

Ein Password-File wars zwar nicht, aber fast genauso blöd.

: Bearbeitet durch User
Autor: Mike J. (linuxmint_user)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Marco H. schrieb:
> Sinnbildlich macht man den betroffenen Angst man hätte über den Browser
> Videos gemacht beim "sie wissen schon" und droht damit diese an die
> Kontaktliste die man geraubt hätte zu verteilen.

Also man hat angeblich nicht nur ein Video gemacht, man ist auch irgend 
wie an eine Kontaktliste gekommen ... also wurde das Handy gleich 
mitgehackt.

Dieses Wort "hacken" ist ja inzwischen in aller Munde und ist inzwischen 
schon zu einer Plattitüde geworden.


Frauen haben scheinbar damit zu kämpfen dass Leute ihnen über 
Nachrichten-Dienste im unpassendsten Moment einfach mal ein P€nisbild 
senden.

Das war einmal bei "Yesterdayslie" (Twitch) so, sie hat sich kurz 
erschreckt als sie auf ihr Smartphone gesehen hat.


Wenn man sich als Mann bei Single-Diensten anmeldet, dann ist es nahezu 
unmöglich dass einen mal eine Frau anschreibt. Selbst wenn man mit einer 
Frau kommunizieren möchte ist es schwer da die Frau scheinbar immer mit 
10 bis 20 Männern gleichzeitig schreibt.

Meldet man sich jedoch spaßeshalber mal als Frau an, dann bekommt man 
unaufgefordert massenhaft Nacktbilder von Männern und P€nisbilder 
zugeschickt. Die Nachrichtenbox quillt über von perversen Texten und 
dann baut man natürlich eine große Löschmauer um sich auf.

Autor: Alex G. (dragongamer)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Äh, was hat das jetzt mit dem Thema dieses Threads zutun? ._.'

Aber ja, da ist leider einiges dran. Dummerweise evolutionär bedingt 
(Mann will sich verteilen, Frau will Sicherheit) und wird sich so 
schnell nicht ändern...

Autor: Asko B. (dg2brs)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Hallo A. K.,

also Entwarnung...
Beruflich muss ich mit Microsoft-Exel arbeiten.
Privat tue ich das mittlerweile auch, weil zB. die Farbzuordnung
von MacOS und Microsoft nicht passt(stimmt).
Früher (<2015) war ich im Auslandseinsatz und hatte nicht immer
einen IT-betreuten Rechner. Da war ich der IT-Manager selbst. ;-)
Tabellen, mal mit Laptop und mal mit Desktoprechner bearbeitet
sehen sehr "zerpflückt" aus. Und das kann ich nicht brauchen.
LibreOffice oder etwas anderes habe ich zugegebenermaßen noch
nicht probiert.

Gruss Asko

Autor: Uhu U. (uhu)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Asko B. schrieb:
> LibreOffice oder etwas anderes habe ich zugegebenermaßen noch
> nicht probiert.

Ist genauso brauchbar, wie MS-Office, nur eben kostenlos...

Autor: Marco H. (damarco)
Datum:

Bewertung
0 lesenswert
nicht lesenswert

Autor: Marek N. (bruderm)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
LOL, bei Pollin hatte ich noch ne Prepaid-Nr. eingetragen, deren 
SIM-Karte in einem Nokia 1208 steckt. Das kann man nur mit der Axt 
hacken.

Aber ich hab heute morgen eine Infomail von mods.dk (Sammlung von 
Modifikationen an Amateurfunkgeräten) bekommen, dass es dort vor ca. 2,5 
Jahren einen Einbruch auf den Server gab, bei dem ein Angreifer mittels 
eines hochgeladenen Skripts E-Mail-Adressen, User-Namen und 
Passwort-Hashes (nicht die Passwörter selbst) abgreifen konnte.
In dieser Zeit wäre es zumindest theoretisch möglich, zu diesen Hashes 
mittels Brute-Force ein geeignetes Password zu errechnen.
Gerade bei Funkamateuren ist es ja üblich, seine Accounts mit dem 
Rufzeichen zu verknüpfen.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail, Yahoo oder Facebook? Keine Anmeldung erforderlich!
Mit Google-Account einloggen | Mit Facebook-Account einloggen
Noch kein Account? Hier anmelden.