Hallo, ich habe soeben an den Bundesdatenschutzbeauftragten folgende Beschwerde gerichtet: -------------------------------------------------------------------- Hallo, es greift im Internet immer mehr die Praxis um sich, bei der Authentifizierung die Eingabemasken für Benutzerkennung und Passwort voneinander zu trennen (z.B. Soundcloud.com oder outlook.com). Was dort passiert ist dass erst der Benutzername (in der Regel eine Emailadresse) einzugeben ist, und abhängig davon ob der Nutzername im System bekannt ist oder nicht darauf folgend die Passworteingabe- oder Registrierungsmaske aufgeblendet wird. Ich halte diese Praxis für datenschutzrechtlich höchst bedenklich, da sie einen Angreifer dazu in die Lage versetzt, mit Hilfe von Skripten und (legalen oder illegalen) Emailadressdatenbanken umfangreiche Profile herzustellen, auf welchen Portalen ein gegebener Nutzer sich registriert hat. Ich würde Sie darum bitten, sich dafür einzusetzen, diese Praxis zu unterbinden und Internetanbieter dazu zu verpflichten, Loginboxen nur noch (wie bis vor einigen Jahren selbstverständlich war) kombiniert zu verwenden, also eine Authentifizierungsablehnung lediglich mit dem Hinweis "Benutzername ODER Passwort ungültig" zu kommentieren. ------------------------------------------------------------------ Wer die Bedenken teilt, kann unter https://www.bfdi.bund.de/DE/Service/Beschwerden/beschwerden_node.html ebenfalls eine Beschwerde einreichen und damit den Druck etwas erhöhen. Vielleicht können wir auch eine Liste der "schwarzen Schafe" hier zusammentragen. Ich denke nicht, dass Mails an die Betreiber hier viel bringen würde (vor Allem bei den Grösseren kommt man da in der Regel noch nicht einmal bei einem menschlichen Wesen heraus, und wenn doch Jemand ohne Einflussmöglichkeit). Danke!
Nein, dem ist nicht so. Ich hab ein login auch derart getrennt implementiert. Man fragt ueblicherweise beides ab, getrennt ab, und nimmt dann noch etwas Bedenkezeit, um abzulehnen. Die Gruende dahinter : 1) Um nicht beides auf demselben Form zu haben. Dann wird's auch nicht im selben Form uebermittelt. Man kann dazwischen auch die Sessionnummer wechseln. Das erlaubt dann nicht mehr die Kommunikation zuzuordnen. 2) Die Bedenkzeit macht man anpassbar, immer ungleich Null, um automatisierte Angriffe zu verlangsamen. Die naechste Stufe ist die Bedenkzeit fuer Anfrage von derselben IP progressiv zu verlaengern. Was natuerlich nicht geht, ist die zweite Frage wegzulassen wenn die erste schon falsch beantwortet wurde. Und die Ablehnung, bezieht sich immer auf beide : Das Login (als Ganzes) passt leider nicht.
Name H. schrieb: > Nein, dem ist nicht so. Doch. Der TE hat ja zwei Beispiele angegeben. Probier's einfach aus, indem du dort irgendeine Fantasie-E-Mail-Adresse eingibst.
Diese Methode könnte mit alternativen Authentifizierungstechniken zusammenhängen. Abhängig davon kommt dann als nächstes keine Password-Abfrage, sondern etwas anderes. Man könnte natürlich bei unbekanntem User vorsorglich ein nutzloses Password abfragen. Dennoch wird so Information vermittelt.
Sowas gehört verboten.
Genau wie die Seiten, die regelmäßige PW-Wechsel erzwingen, oder solche,
die das PW einschränken (8-10 Zeichen, je mindestens ein Zeichen
Groß/Klein/Sonder/Ziffer, aber am Anfang und Ende keine Ziffer oder
Sonderzeichen).
Der Schlüsselraum wird dadurch sinnlos eingeschränkt und der regelmäßige
Wechsel forciert Zettel oder repetitive Passwörter ("Pass1!" und
"Pass2!" im Wechsel), also genau das Gegenteil von dem was man erreichen
wollte.
Außerdem muss ein Großteil der Seiten, die ja ach so sicher sind, mal
ganz grandios an der Hintertür nacharbeiten. Vorne wird 2FA erzwungen,
hinten reicht "Name der Mama" und "Geburtsort". Was man bei Facebook
findet.
Gern auch: Emailwechsel ohne Passwort ermöglichen, oder keine
Benachrichtigung und Bestätigung bei Passwortwechsel usw.
Jens M. schrieb: > Sowas gehört verboten. > Genau wie die Seiten, die regelmäßige PW-Wechsel erzwingen, oder solche, > die das PW einschränken (8-10 Zeichen, je mindestens ein Zeichen > Groß/Klein/Sonder/Ziffer, aber am Anfang und Ende keine Ziffer oder > Sonderzeichen). > Der Schlüsselraum wird dadurch sinnlos eingeschränkt und der regelmäßige > Wechsel forciert Zettel oder repetitive Passwörter ("Pass1!" und > "Pass2!" im Wechsel), also genau das Gegenteil von dem was man erreichen > wollte. > Außerdem muss ein Großteil der Seiten, die ja ach so sicher sind, mal > ganz grandios an der Hintertür nacharbeiten. Vorne wird 2FA erzwungen, > hinten reicht "Name der Mama" und "Geburtsort". Was man bei Facebook > findet. > Gern auch: Emailwechsel ohne Passwort ermöglichen, oder keine > Benachrichtigung und Bestätigung bei Passwortwechsel usw. Hallo Jens, Danke für deinen Beitrag, aber er hat meiner Interpretation nach wenig mit meinem Anliegen zu tun. Natürlich sind Passwortpolicies ein sicherheitsrelevantes Thema, aber etwas völlig Anderes als das hier angesprochene! Es geht darum, dass es hier möglich ist, aufwandslos allein die Registrierung einer Emailadresse bei einem dieser "schwarzen Schaf" Portale herauszufinden. (Wenn übrigens ein Datingportal so einen split login hat, könntest Du damit herausfinden, ob Deine Liebste sich dort registriert hat. Oder sie könnte herausfinden, ob Du Dich dort registriert hast. Nur so als teaser). Auf genügend dieser Portale angewandt, lässt sich über eine gegebene Emailadresse schon ein gehöriges Mass von Informationen herausfinden, ohne dass Passwörter überhaupt nur als Thema auftauchen.
>Name H. schrieb: >> Nein, dem ist nicht so. >Doch. Der TE hat ja zwei Beispiele angegeben. Probier's einfach aus, indem du dort irgendeine Fantasie-E-Mail-Adresse eingibst. Das mag sein, dass es schlechte Implementaionen gibt, ist aber nicht der Sinn, noch die Ursache fuer die getrennten Eingaben. Seitenentwicker und Benutzer sind immer mehr in verschiedenen Welten. Ich hab das Privileg in beiden zu sein. Wenn mir ein login nicht wichtig ist, weil's nur um ein Datenblatt oder so geht, nehme ich eine wegwerf email, www.10minutemail.com oder so plus muell als username & passwort. Da kommt einmal eine mail zu Bestaetigen und das war's. Wenn's mittelwichtig ist, schreib ich's mir in ein file. Mit einem Passwort wie a4f8386f3a9505012bfe8b3242f7d8db7da9d235bf1673453310022df0b20146, ist ja zum copy/pasten. Wenn's wichtig ist zum haeufigen Gebrauch, schreib ich's in ein buechlein. Wenn's wichtig fuer selten ist, lass ich mir ein neues Passwort zusenden. ...... Weshalb konnte der Poster seine Bedenken nicht der Webseite vermitteln ? Die sind oft dankbar und aendern's.
Name H. schrieb: > Das mag sein, dass es schlechte Implementaionen gibt Fast alle implementieren es nicht so, so auch z.B. Google. Gibt man eine Fantasieadresse ein, wird man sofort abgewiesen, existiert das Konto, wird man zur Passworteingabe weitergeleitet. Name H. schrieb: > Wenn mir ein login nicht wichtig ist, weil's nur um ein Datenblatt oder > so geht, nehme ich eine wegwerf email, www.10minutemail.com oder so plus > muell als username & passwort. Da kommt einmal eine mail zu Bestaetigen > und das war's. > > Wenn's mittelwichtig ist, schreib ich's mir in ein file. Mit einem > Passwort wie > a4f8386f3a9505012bfe8b3242f7d8db7da9d235bf1673453310022df0b20146, ist ja > zum copy/pasten. Geht leider absolut am Thema des TS vorbei. Name H. schrieb: > Weshalb konnte der Poster seine Bedenken nicht der Webseite vermitteln ? > Die sind oft dankbar und aendern's. Microsoft oder Google werden ganz sicher auf Bedenken eines einzelnen Nutzers hören.
Hallo Hacky, Es geht hier allein um die Tatsache, dass dieses Authentifikationsschema es mühelos erlaubt, allein die Tatsache festzustellen, DASS eine gegebene Emailadresse einen Zugang zu diesem Portal hat (zugegeben, outlook ist vielleicht kein gutes Beispiel, weil outlook auch seine Emailadressen vergibt, also ist die gewonnene Information hier nicht zu kritisch). Und klar, solange es um Datenblattportale zum Einmalzugriff geht, brauchen wir auch keinen Sturm im Wasserglas loszublasen. Aber fändest Du die Idee gut, dass es Jemandem problemlos möglich ist, herauszufinden, auf welchen Diskussionsforen Du registriert bist? Natürlich ist es sicherheitsmässig die beste Lösung, Einmalwegweradressen für jede Portalregistrierung zu haben, aber es ist unrealistisch, das von Jedem Benutzer zu erwarten, da heutzutage das #1 Verkausargument für jede Software die Bequemlichkeit der Benutzung ist. Jeder grössere Serviceprovider versucht, mit einer "Log Dich mit einer Kennung ein und komm überall rein" Kunden zu gewinnen. Wenn man damit nicht (viele) Leute ködern könnte, wäre dieser thread komplett unnötig. Es wäre schon geholfen, wenn jedes Portal es einfordern würde, benutzerdefinierte (anonymisierte) Namen statt personenbezogene Daten wie Emailadressen im Benutzerfeld anzugeben, aber auch so liessen sich schon Daten abschürfgen. Weil Menschen eben bequem sind (und auch ihre Benutzernamen recyclen), sonst wäre Internetsicherheit kein Thema. Grundsätzlich sollte eine der Prämissen jeder sicherheitsrelevanten Software sein, so wenig Informationen wie unbedingt nötig unauthentifiziert zu veröffentlichen. Und nein, Einfachheit der Implementation darf hier KEIN Argument sein, das gegen Datensicherheit ausgespielt wird. Schreibe ich als Jemand, der tagtäglich sicherheitssoftware entwickelt... Name H. schrieb: >>Name H. schrieb: >>> Nein, dem ist nicht so. > >>Doch. Der TE hat ja zwei Beispiele angegeben. Probier's einfach aus, > indem du dort irgendeine Fantasie-E-Mail-Adresse eingibst. > > Das mag sein, dass es schlechte Implementaionen gibt, ist aber nicht der > Sinn, noch die Ursache fuer die getrennten Eingaben. > > > Seitenentwicker und Benutzer sind immer mehr in verschiedenen Welten. > Ich hab das Privileg in beiden zu sein. > > Wenn mir ein login nicht wichtig ist, weil's nur um ein Datenblatt oder > so geht, nehme ich eine wegwerf email, www.10minutemail.com oder so plus > muell als username & passwort. Da kommt einmal eine mail zu Bestaetigen > und das war's. > > Wenn's mittelwichtig ist, schreib ich's mir in ein file. Mit einem > Passwort wie > a4f8386f3a9505012bfe8b3242f7d8db7da9d235bf1673453310022df0b20146, ist ja > zum copy/pasten. > > Wenn's wichtig ist zum haeufigen Gebrauch, schreib ich's in ein > buechlein. > > Wenn's wichtig fuer selten ist, lass ich mir ein neues Passwort > zusenden.
Ruediger A. schrieb: > Es geht hier allein um die Tatsache, dass dieses Authentifikationsschema > es mühelos erlaubt, allein die Tatsache festzustellen, DASS eine > gegebene Emailadresse einen Zugang zu diesem Portal hat (zugegeben, > outlook ist vielleicht kein gutes Beispiel, weil outlook auch seine > Emailadressen vergibt, also ist die gewonnene Information hier nicht zu > kritisch). Gutes Beispiel wäre ein Forum für ungeoutete Homosexuelle, Fetischisten, AIDS-Kranke, Dogenabhängige oder sonstige Dinge von denen man vielleicht nicht will dass die restlichen Einwohner des erzkonservativen Heimatdorfes im tiefsten Bayern (Leser aus Bayern dürfen stattdessen Sachsen oder Tirol nehmen) es erfahren. Man könnte also einfach mal eine Liste mit ein paar Millionen Mailadressen nehmen (gibts im Internet ja schon an jeder Ecke), bei einzelnen Foren so gegenprüfen wer da denn so registriert ist, und dann eine automatisierte Erpressermail rausschicken. Vielleicht ist auch der eine oder andere Politiker oder Unternehmer dabei, bei denen ist vielleicht noch mehr zu holen...
Wie schon gesagtt, der Zusammenhang zwischen email verraten und zwei-formigem Login ist nicht gegeben. Auch wenn es solche Implementaionen gibt. Richtig angewandt erhoeht der zwei-form login prozess die sicherheit. Ich mach's auch so, zur Erhoehung der sicherheit.
Name H. schrieb: > Wie schon gesagtt, der Zusammenhang zwischen email verraten und > zwei-formigem Login ist nicht gegeben. Ist insofern richtig, dass viele Seiten selbst mit "normaler" Loginmaske dieses Problem aufweisen: falsche Mail und falsches Passwort produzieren unterschiedliche Fehlermeldungen, so dass man erst wieder herausfinden kann ob ein Account zu einer Mailadresse existiert. Name H. schrieb: > Auch wenn es solche > Implementaionen gibt. Ziemlich viele sogar.
Ruediger A. schrieb: > Und nein, Einfachheit der Implementation darf hier KEIN Argument sein, > das gegen Datensicherheit ausgespielt wird. Schreibe ich als Jemand, der > tagtäglich sicherheitssoftware entwickelt... Unsinn. Auf die Eingabe eines nicht bekannten Nutzernamens / EMail-Adresse mit sofortigem Abbruch des Login zu reagieren ist ganz einfach ein gravierender Implementierungsfehler. Unterschiedliche Fehlermeldungen für falschen Nutzernamen und falsches PW natürlich genauso. Sowas muss kommuniziert werden, und zwar an den betreffenden Seitenbetreiber, aber eine Beschwerde beim Bundesdatenschutzbeauftragten ist einfach nur völlig neben der Spur - wäre das nicht so, dann müsste man sich dort auch über Bufferoverruns und ähnliche Sicherheitsdauerbrenner beschweren und könnte so die ganze Datenschutzbehörde durch Dauerfeuer lahmlegen. Papal machts übrigens richtig.
Ruediger A. schrieb: > einen Angreifer dazu in die Lage versetzt, mit Hilfe von Skripten > und (legalen oder illegalen) Emailadressdatenbanken umfangreiche Profile > herzustellen, auf welchen Portalen ein gegebener Nutzer sich registriert > hat. Super. Das kann der Angreifer auch mit der "Neu Registieren"-Seite: >> Tut mir leid, ruediger_k@gmail.com hat bereits einen Account, wähle einen anderen Benutzernamen. oder über die "Passwort vergessen"-Seite: >> "account nicht gefunden" vs: "Lieblingshaustier Hund oder Katze?" oder über die Fehlermeldung in der "outlook.com"-Bounce email. oder über die Webseiten-Interne "Direktnachricht"/"Benutzer Kontaktieren"-Funktion. oder, oder, oder... Du kämpfst gegen Windmühlen, und erreichst bestenfalls, dass die Seitenbetreiber einen zusätzlichen Absatz in ihren Datenschutzbestimmungen unterbringen müssen, und machst vielleicht ein paar Abmahnanwälte reich. Nimm lieber für jeden Dienst eine andere Mailadresse.
Εrnst B. schrieb: > Das kann der Angreifer auch mit der "Neu Registieren"-Seite: Wenn Mailauthentifizierung durch Antwort implementiert ist, kann man die Meldung "Account existiert bereits" in diese Mail schreiben und am Bildschirm nur auf die eben abgeschickte Mail verweisen und schon hats dem Schnüffler den Trick verrissen. > oder über die "Passwort vergessen"-Seite: Da muss nur immer eine Meldung ausgegeben werden, dass die Mail verschickt wurde und schon funktioniert der Trick nicht mehr. > oder über die Webseiten-Interne "Direktnachricht"/"Benutzer > Kontaktieren"-Funktion. Da gibts noch ein ganz anderes Problem: sowas kann, wenn es dumm implementiert ist, als Spam-Schleuder missbraucht werden. Wie man es sicher machen kann, siehst du an der PN-Funktion hier. Fazit: wenn man bei der Implementierung dieser Geschichten etwas nachdenkt, lässt sich das durchaus so realisieren, dass ein potentieller Schnüffler nach seinem Schnüffelversuch so schlau ist, wie vorher… Wer sich aber seinen EMail-Account kapern lässt, der guckt in die Röhre.
A. K. schrieb: > Diese Methode könnte mit alternativen Authentifizierungstechniken > zusammenhängen. Abhängig davon kommt dann als nächstes keine > Password-Abfrage, sondern etwas anderes. "Passwortlose Anmeldung: WebAuthn ist beschlossene Sache" https://www.heise.de/newsticker/meldung/Passwortlose-Anmeldung-WebAuthn-ist-beschlossene-Sache-4325432.html
Uhu U. schrieb: > Unsinn. Auf die Eingabe eines nicht bekannten Nutzernamens / > EMail-Adresse mit sofortigem Abbruch des Login zu reagieren ist ganz > einfach ein gravierender Implementierungsfehler. Unterschiedliche > Fehlermeldungen für falschen Nutzernamen und falsches PW natürlich > genauso. Und trotzdem machen es Google, Microsoft und Co. Uhu U. schrieb: > Sowas muss kommuniziert werden, und zwar an den betreffenden > Seitenbetreiber, aber eine Beschwerde beim Bundesdatenschutzbeauftragten > ist einfach nur völlig neben der Spur Viel Spaß, mit Google darüber zu reden. Der First-Level-Support aus Indien für den Normalnutzer wird dir da sicher weiterhelfen können. Εrnst B. schrieb: > Super. Das kann der Angreifer auch mit der "Neu Registieren"-Seite: > >>> Tut mir leid, ruediger_k@gmail.com hat bereits einen Account, wähle einen > anderen Benutzernamen. Könnte man auch anders (besser) lösen. Ist aber zumindest mehr Aufwand, und die Registrierung üblicherweise per Captcha gesichert. Εrnst B. schrieb: > oder über die "Passwort vergessen"-Seite: > >>> "account nicht gefunden" vs: "Lieblingshaustier Hund oder Katze?" Könnte man auch einfach per Mail lösen, auf der Seite könnte eine generische Meldung ausgegeben werden. Wird auch teilweise so gelöst: "Falls die Adresse im System existiert, wurde eine Mail geschickt". Εrnst B. schrieb: > oder über die Fehlermeldung in der "outlook.com"-Bounce email. Dass outlook.com ein schlechtes Beispiel ist, hat der TS ja bereits selbst erwähnt. Fürs HIV-Forum funktioniert dieser Angriffsweg nicht. Εrnst B. schrieb: > oder über die Webseiten-Interne "Direktnachricht"/"Benutzer > Kontaktieren"-Funktion. Viel komplexer, da der Angreifer erstmal einen Account braucht. Εrnst B. schrieb: > Nimm lieber für jeden Dienst eine andere Mailadresse. Das hilf dem unbedachten 0815-Nutzer auch nicht weiter.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.