Wird in sehr vielen großen Unternehmen so gemacht, keine Ahnung was da jetzt groß überraschend ist
> Wenn das hier im Klartext ist, ist die Vermutung nahe das es auch auf den DBs im Klartext liegt.
Wenn das ein neu generiertes passwort ist, nicht unbedingt. Wenn es das aktuelle ist, ist es natürlich katastrophal. Haben sie dir ein neues passwort generiert geschickt, oder ist es das was du eingegeben hast?
Ersteres (wenn beim ersten login ein neues verlangt wird) seh ich nicht so kritisch, kommt auf dasselbe wie ein ein link mit token zum passwort ändern (nur bissl mühsamer). Letzteres find ich sehr merkwürdig.
Naja, die Übertragung zw den Servern wird wohl verschlüsselt sein; ob da jetzt die fehlende E2E wirklich ein Risikofaktor ist? Wird ja auch gar nicht wirklich unterstützt.
Abgesehen davon ist aber halt schon fraglich ob man das Passwort überhaupt per Email versenden muss bzw. wozu man das tun sollte. Hoffentlich ist es in der Datenbank trotzdem entsprechend gespeichert.
Schade dass [https://plaintextoffenders.com](https://plaintextoffenders.com) anscheinend down ist. Auf der Seite konnte man sowas anprangern.
Aber du könntest jedenfalls den Link [https://cleartxt.info](https://cleartxt.info) an den Support von denen schicken.
Aber eigentlich nice dass wir wohl in der einzigen Stadt der Welt leben in der die Verantwortlichen mit “Geh scheissn!” antworten könnten ohne wirklich ungut rüber zu kommen! /s
Zur Info: Es gibt genügend Hacking Tools, mit denen man diese Verpixelung rückgängig machen kann (z.B. https://github.com/spipm/Depixelization_poc). Würde dein Passwort erneut ändern xD
Ich kann das nicht reproduzieren?
In der Mail, auch beim Zurücksetzen, wird kein Passwort mitgesendet?
Ich habe mich mal bei einer kleinen Carsharing-Plattform mit einem vom Passwortmanager generierten Passwort registriert. Der (befreundete) Chef dieses Betriebs hat mich dann einige Tage später gefragt, wieso ich so ein langes kompliziertes Passwort habe.
Jäger2
Tja, und ich habe von einer Bank vor kurzem ein Mail bekommen dass ich über einen Link eine Änderung der AGB dringend bestätigen muss – sonst wird mein Konto gesperrt. Abgeschickt nicht von der regulären URL der Bank sondern mit irgendeinem Zusatz. Hab es als klares Phishing-Mail sofort gelöscht.
Beim nächsten Logik über das Webportal hab ich dort dieselbe Nachricht in der internen Mailbox. Und eine Recherche zeigte, dass die Bank für das Verschicken von Systemnachrichten tatsächlich eine andere, dubios klingende URL verwendet. Die Nachricht war also echt. Da wird immer gewarnt, und dann sowas.
Aber Hauptsache bei jedem Scheiß muss man heutzutage doppelt und dreifach auf verschiedenen Geräten bestätigen wenn man sich bloß einloggen will. Man erreicht genau das Gegenteil: dass wegen der Frequenz von Bestätigungen nicht mehr ordentlich geschaut wird.
Ähnliches Phänomen mit der Zustimmung zu Cookies. Musste vor kurzem mal aufräumen und die Benachrichtungen diverser Websites deaktivieren. Hatte diversen Newsseiten offenbar erlaubt mich über jeden Mist zu benachrichtigen weil ich geglaubt hab die übliche Cookie-Fenster wegzuklicken.
10 comments
Wird in sehr vielen großen Unternehmen so gemacht, keine Ahnung was da jetzt groß überraschend ist
> Wenn das hier im Klartext ist, ist die Vermutung nahe das es auch auf den DBs im Klartext liegt.
Wenn das ein neu generiertes passwort ist, nicht unbedingt. Wenn es das aktuelle ist, ist es natürlich katastrophal. Haben sie dir ein neues passwort generiert geschickt, oder ist es das was du eingegeben hast?
Ersteres (wenn beim ersten login ein neues verlangt wird) seh ich nicht so kritisch, kommt auf dasselbe wie ein ein link mit token zum passwort ändern (nur bissl mühsamer). Letzteres find ich sehr merkwürdig.
Naja, die Übertragung zw den Servern wird wohl verschlüsselt sein; ob da jetzt die fehlende E2E wirklich ein Risikofaktor ist? Wird ja auch gar nicht wirklich unterstützt.
Abgesehen davon ist aber halt schon fraglich ob man das Passwort überhaupt per Email versenden muss bzw. wozu man das tun sollte. Hoffentlich ist es in der Datenbank trotzdem entsprechend gespeichert.
Schade dass [https://plaintextoffenders.com](https://plaintextoffenders.com) anscheinend down ist. Auf der Seite konnte man sowas anprangern.
Aber du könntest jedenfalls den Link [https://cleartxt.info](https://cleartxt.info) an den Support von denen schicken.
Aber eigentlich nice dass wir wohl in der einzigen Stadt der Welt leben in der die Verantwortlichen mit “Geh scheissn!” antworten könnten ohne wirklich ungut rüber zu kommen! /s
Zur Info: Es gibt genügend Hacking Tools, mit denen man diese Verpixelung rückgängig machen kann (z.B. https://github.com/spipm/Depixelization_poc). Würde dein Passwort erneut ändern xD
Ich kann das nicht reproduzieren?
In der Mail, auch beim Zurücksetzen, wird kein Passwort mitgesendet?
Ich habe mich mal bei einer kleinen Carsharing-Plattform mit einem vom Passwortmanager generierten Passwort registriert. Der (befreundete) Chef dieses Betriebs hat mich dann einige Tage später gefragt, wieso ich so ein langes kompliziertes Passwort habe.
Jäger2
Tja, und ich habe von einer Bank vor kurzem ein Mail bekommen dass ich über einen Link eine Änderung der AGB dringend bestätigen muss – sonst wird mein Konto gesperrt. Abgeschickt nicht von der regulären URL der Bank sondern mit irgendeinem Zusatz. Hab es als klares Phishing-Mail sofort gelöscht.
Beim nächsten Logik über das Webportal hab ich dort dieselbe Nachricht in der internen Mailbox. Und eine Recherche zeigte, dass die Bank für das Verschicken von Systemnachrichten tatsächlich eine andere, dubios klingende URL verwendet. Die Nachricht war also echt. Da wird immer gewarnt, und dann sowas.
Aber Hauptsache bei jedem Scheiß muss man heutzutage doppelt und dreifach auf verschiedenen Geräten bestätigen wenn man sich bloß einloggen will. Man erreicht genau das Gegenteil: dass wegen der Frequenz von Bestätigungen nicht mehr ordentlich geschaut wird.
Ähnliches Phänomen mit der Zustimmung zu Cookies. Musste vor kurzem mal aufräumen und die Benachrichtungen diverser Websites deaktivieren. Hatte diversen Newsseiten offenbar erlaubt mich über jeden Mist zu benachrichtigen weil ich geglaubt hab die übliche Cookie-Fenster wegzuklicken.
Comments are closed.