Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.

Dismiss

Password fuer Dialin/Mail

2 views

Skip to first unread message

Johannes Hemmerlein

unread,

Sep 2, 1998, 3:00:00 AM9/2/98

Huhu Ihrs...

schon wieder ein Posting von mir...

Ich wollte mal wissen, ob es vielleicht moeglich waere, beim FEN die
beiden Passwoerter fuer Dialin und Mail getrennt zu verwalten. Sprich,
es sollten nicht fuer Dialin und Mail zwangslaeufig sie selben
Passwoerter verwendet werden. Klar stellt dies einen Mehraufwand auch
fuer die User da, da sie sich zwei Passwoerter merken muessen.
Allerdings habe ich (in letzter Zeit gehaeuft) sowohl in der c't als
auch in der PC-Welt ueber neue (?) Sicherheitsluecken gelesen.
Bei einem Seitenaufruf im Web wird ja immer die 'referring page'
mitgeteilt, also dir URL, wo man herkommt. Befindet sich nun ein Link in
einer Mail, so wird der Zielseite als referring URL der
Mailverzeichnisname des Users mitgeteilt. Nun gut - ist ja nicht so
schlimm. Doch wenn ein User sein Passwort lokal speichert (ich sage zu
sowas: selber schuld) weiss der Angreifer wo er suchen muss - nein -
finden wird.
Ausserdem laesst sich ein Mailpassword mit etwas Aufwand
'heraus-sniffen', also dem Datenstrom entnehmen; dies gilt besonders
dann, wenn einer unserer User von ausserhalb seine Mail empfaengt. Das
Passwort wird hierbei unverschluesselt uebertragen. Ist es jetzt
identisch mit dem Dialinpassword (wie es beim FEN ist), so ist der
Account bereits in 'besten' Haenden.

Ein grosses Lob noch: Das FEN bietet als einer der wenigen Provider (ich
sage Provider zum FEN, da es uebersetzt Versorger/Lieferant bedeutet)
die Moeglichkeit, das Password selbst und ueberhaupt aendern zu koennen.

cya//Volty
**Johannes Hemmerlein**
neue eMail-addy: vo...@weltherrschaft.org

--
They that would give up essential liberty for a little temporary
safety deserve neither liberty nor safety.
(Benjamin Franklin)

Stefan Freimark

unread,

Sep 2, 1998, 3:00:00 AM9/2/98

Hi!

Johannes Hemmerlein wrote:

> schlimm. Doch wenn ein User sein Passwort lokal speichert (ich sage zu
> sowas: selber schuld) weiss der Angreifer wo er suchen muss - nein -
> finden wird.

Du hast es erfasst: Selbst schuld.
Was lernen wir daraus?
* PGP verwenden
* Die meisten Nutzer wuerden diese Moeglichkeit doch eh nicht nutzen,
wenn sich zig Leute nicht mal ihre vierstellige ec-PIN merken koennen.

Stefan

P.S.: Die Experten wuerden diese Moeglichkeit natuerlich begruessen.
--
Sie haben die Position des Mauszeigers veraendert.
Starten Sie Windows neu, damit die Aenderungen wirksam werden.
(Andreas Stempfhuber)
http://www.fen.baynet.de/~es142/linux.html

0 new messages