Link zum Blogeintrag:
https://www.3dcenter.org/blog/leonidas/microsoft-google-yahoo-wir-schuetzen-sie-zu-tode

Super, du sprichst mir aus der Seele. Habe bei Dropbox momentan dasselbe Problem - ohne triftigen Grund gesperrt, bei Emails an den Support kommen nur automatisierte Standardantworten ohne sinnvollen Inhalt. Über den Standardweg kann ich den Account nicht mehr wiederherstellen, da Emailadresse nicht mehr verfügbar.

Besonders nervt einfach, dass man in allen möglichen Lebensbereichen kaum noch an menschlichen Support kommt bzw. sogar dieser oft machtlos ist, wenn eine kreative Lösungsfindung gefragt ist.

Hatte sowas ähnliches vor Jahren mal mit meinem WoW Account. Wollte den wieder mal nutzen, aber das Passwort vergessen. Für die Wiederherstellung, hätte ich dann meinen Namen angeben müssen - allerdings habe ich mich da mit falschem Namen registriert und mir fiel nicht mehr ein, welcher das nun war. Also dem Support angerufen und dem die Sache erklärt, der wollte / konnte mir aber nicht helfen und meinte halt auch nur, ich müsse ihm den Namen, auf den das Konto lautet, nennen, damit er mir das Passwort zu senden könne. Nach etwa einer halben Stunde lamentieren gab ich dann auf.

Etwa 5 Minuten später kam dann eine Mail zu dem Ticket: "Hallo *registrierter Name*, blablabla... wie zufrieden... blablabla..." Ich wusste da nicht, ob ich mich jetzt freuen soll, die notwendige Info doch noch erhalten zu haben oder über diese grenzdebile Sicherheitskonzept aufregen soll.

Einerseits sehe ich das auch problematisch, andererseits ist das die direkte Konsequenz daraus, dass die meisten Leute nachlässig mit ihren Passwörtern sind. Diese ganzen Heuristiken wären nie nötig gewesen, wenn die Technologiebranche die Nutzer besser über Passwörter als Konzept aufgeklärt hätte.

Ich sehe da auch die Browserhersteller in der Verantwortung. Dass man erst seit einiger Zeit über die Crypto-API sichere Passwörter direkt im Browser generieren kann, ist ein absolutes Armutszeugnis. Die großen Browser hätten da schon viel länger die Nutzer unterstützen müssen (sei das jetzt elektronisch oder über andere Mittel).

Über das OS muss man übrigens gar nicht sprechen. macOS hat zwar einen Passwortmanager, aber nirgendwo wird der einem wirklich aufgedrängt oder erläutert, warum man so etwas haben will. Hat Windows mittlerweile einen? Nirgendwo habe ich jemals auch nur einen Verweis im OS oder Browser gesehen, dass so Dinge wie Diceware existieren. Einen CSPRNG bringen die ganzen Betriebssysteme sowieso mit, warum also nicht einfach dem Nutzer diesen zugänglich machen in Form eines einfachen Passwortmanagers basierend auf Diceware? Ich glaube nicht, dass man dem Nutzer sich selbst überlassen sollte mit obskuren Techniken, die er irgendwo in einer Zeitschrift aufgegriffen hat, wie man Passwörter generieren sollte. Im Zweifelsfall hält dann doch das Geburtsdatum des Goldfischs her.

Interessant wäre übrigens, ob man mit 2FA bei Google und Yahoo noch immer die Heuristiken für das Rate-Limiting etc. mitbekommt. So aggressiv und nötig wie bisher müssten die ja dann nicht mehr sein.

Darin sehe ich wahrscheinlich auch die Lösung, zu welcher die Branche tendiert: Heuristiken werden verschwinden und stattdessen wird man die meisten Nutzer zu 2FA mit phishingresistenten Lösungen wie U2F drängen.

Also dem Support angerufen und dem die Sache erklärt, der wollte / konnte mir aber nicht helfen und meinte halt auch nur, ich müsse ihm den Namen, auf den das Konto lautet, nennen, damit er mir das Passwort zu senden könne. Nach etwa einer halben Stunde lamentieren gab ich dann auf.

Ehrlich gesagt finde ich das gut. Ich würde nicht wollen, dass jemand ohne Authentifizierung über den Support an meinen Account kommt. Da hilft dann auch das beste Passwort oder 2FA nicht.

Ehrlich gesagt finde ich das gut. Ich würde nicht wollen, dass jemand ohne Authentifizierung über den Support an meinen Account kommt. Da hilft dann auch das beste Passwort oder 2FA nicht.

Ja, aber das ganze Konzept wird ja dadurch untergraben, dass eine Email mit dem Namen danach an meine Emailadresse gesendet wurde.

Ja, aber das ganze Konzept wird ja dadurch untergraben, dass eine Email mit dem Namen danach an meine Emailadresse gesendet wurde.

Untergraben würde ich das jetzt nicht nennen. Es wird eben erwartet, dass du deinen Mail-Account unter Kontrolle hast.

Ich habe als Mailserverbetreiber ein ähnliches Problem.

Meine Kunden können keine Emails an Adressen von Verizon senden. Es gibt ein automatisiertes System um sich bei Verizon "whitelisten" zu lassen, nur leider funktioniert dies nicht ...

Es spuckt dubiose Fehlermeldungen aus (kein RDNS für den Mailserver) obwohl dieser gesetzt ist usw ...

Nur mit äußerster Beharrlichkeit habe ich jetzt einen persönlichen Kontakt über ein Userforum zu Verizon aufgebaut, da auch deren "Abuse" Emailadresse scheinbar nur Kosmetik ist ...

Ich bin gespannt, wann wir Mails an Verizonkunden senden können, man hat mir angekündigt, dass es sicher 1-2 Wochen!!!! dauern wird und das alles für einen Mailserver der in keiner Spamdatenbank gelistet ist und via dnswl.org "whitegelistet" ist.

Einfach nur Wahnsinn ...

Mit Microsoft hatte ich ein ähnliches Problem glücklicherweise funktionieren hier die bereitgestellten Kontaktmöglichkeiten.

Untergraben würde ich das jetzt nicht nennen. Es wird eben erwartet, dass du deinen Mail-Account unter Kontrolle hast.

Aber dann hätten sie ja auch einfach das Passwort per Mail senden können. Das wurde aber nicht gemacht, mit der Begründung, dass ich den Namen auf den der Account läuft, nicht kenne bzw. eben nicht die Person bin.

Aber dann hätten sie ja auch einfach das Passwort per Mail senden können. Das wurde aber nicht gemacht, mit der Begründung, dass ich den Namen auf den der Account läuft, nicht kenne bzw. eben nicht die Person bin.

„Einfach das Passwort senden“ können sie sowieso nicht, weil Blizzard ziemlich sicher keine Passwörter im Klartext speichert, sondern nur die Hashes. Die können dir höchstens eine Mail schicken, damit du selbst dein Passwort zurücksetzen kannst, aber selbst das ist natürlich immer problematisch.

E-Mail stammt einfach noch aus einer Zeit, als man Authentifizierung für Protokolle für nicht so wichtig gehalten hat. Deshalb ist es dafür eigentlich auch nicht geeignet. Daher muss Blizzard noch irgendwie auf einem anderen Weg die Authentizität prüfen, wenn sie es richtig machen wollen. Machen viele Dienste nicht, aber eigentlich ist das nötig.

Aber wie gesagt, das solltest du gar nicht wissen müssen. Es ist ein kollektives Versagen der Branche, dass normale Benutzer überhaupt damit in Berührung kommen.

„Einfach das Passwort senden“ können sie sowieso nicht, weil Blizzard ziemlich sicher keine Passwörter im Klartext speichert, sondern nur die Hashes. Die können dir höchstens eine Mail schicken, damit du selbst dein Passwort zurücksetzen kannst, aber selbst das ist natürlich immer problematisch.

E-Mail stammt einfach noch aus einer Zeit, als man Authentifizierung für Protokolle für nicht so wichtig gehalten hat. Deshalb ist es dafür eigentlich auch nicht geeignet. Daher muss Blizzard noch irgendwie auf einem anderen Weg die Authentizität prüfen, wenn sie es richtig machen wollen. Machen viele Dienste nicht, aber eigentlich ist das nötig.


Offenbar verstehst du nicht, dass hier ein Fehler im Konzept liegt.

Denn dadurch, dass der Name per Email von Blizzard versendet wurde, ist es vollkommen sinnlos, den Namen und die Emailadresse zur Verifikation zu verlangen. Denn allein, da ich ja Zugriff auf das Emailkonto habe, kann ich so auch den Namen in Erfahrung bringen und damit dann das Passwort zurücksetzen.

Da kann Blizzard dann im Prinzip auch gleich die Passwörter im Klartext speichern, wenn Emailadresse und Namen im Klartext vorhanden sind. Denn ob ich nun via Mailadresse und Namen das Passwort zurücksetzen kann oder direkt an das Passwort gelange, macht auch keinen relevanten Unterschied mehr.

Da kann Blizzard dann im Prinzip auch gleich die Passwörter im Klartext speichern, wenn Emailadresse und Namen im Klartext vorhanden sind. Denn ob ich nun via Mailadresse und Namen das Passwort zurücksetzen kann oder direkt an das Passwort gelange, macht auch keinen relevanten Unterschied mehr.

Intuitiv macht es für dich keinen Unterschied, aber es macht einen Unterschied wie Blizzard ihr System implementiert und gegen welche Art von Angreifer sie (und dein Account) geschützt sind. Wahrscheinlich würdest du nicht wollen, dass Spambots dir andauernd Mails zum Zurücksetzen deines Passworts generieren können und bei jeder kleinen Sicherheitslücke in Blizzards System dein Account kompromittiert wird.

Eventuell interessiert dich das als Einstieg: http://security.blogoverflow.com/2011/11/why-passwords-should-be-hashed/

Intuitiv macht es für dich keinen Unterschied, aber es macht einen Unterschied wie Blizzard ihr System implementiert und gegen welche Art von Angreifer sie (und dein Account) geschützt sind. Und ja, da wird natürlich erwartet, dass du deinen Mail-Account unter Kontrolle hast.


Nein, wird es eben nicht. Denn wenn sie erwarten, dass mein Mailaccount unter Kontrolle ist, könnten sie ja direkt einen Link zum Rücksetzen des Passwortes zukommen lassen.

Stattdessen verlangen sie aber noch einen Namen. Was ja auch ok ist. Aber dann ist es eben ein Fehler im Konzept, wenn sie genau diesen Namen an die Emailadresse senden.

Ist das so schwierig zu verstehen?

Nein, wird es eben nicht. Denn wenn sie erwarten, dass mein Mailaccount unter Kontrolle ist, könnten sie ja direkt einen Link zum Rücksetzen des Passwortes zukommen lassen.

Wenn sie da nicht mit ultraaufwendigen Heuristiken arbeiten wollen, um Spambots davon abzuhalten ständig solche Mails zum Zurücksetzen zu generieren, dann müssen sie das eben anders machen. Das Forum hier benutzt Captchas, Blizzard will eben deinen Namen.

Wenn sie da nicht mit ultraaufwendigen Heuristiken arbeiten wollen, um Spambots davon abzuhalten ständig solche Mails zum Zurücksetzen zu generieren, dann müssen sie das eben anders machen. Das Forum hier benutzt Captchas, Blizzard will eben deinen Namen.
Was ja auch ok ist. Aber dann ist es eben ein Fehler im Konzept, wenn sie genau diesen Namen an die Emailadresse senden.

-> Das ist dere Punkt. Wo ist hier denn das Verständnisproblem?

Netter Rant von Leonidas.

Im Hinblick darauf das eine primäre Email Adresse der Schlüssel zum online Leben ist, halte ich es erstens für sinnvoll wenn Google und co die Erkennung von unathorisierten Zugriffen recht scharf stellen.

Natürlich muss jeder drei Wege zum entsperren eines solchen Accounts anlegen, so wie man auch seinen wie man den Schlüssel zu seiner Wohnung besser mehreren Personen als Backup im Fall eines Verlust gibt.

Natürlich muss jeder drei Wege zum entsperren eines solchen Accounts anlegen, so wie man auch seinen wie man den Schlüssel zu seiner Wohnung besser mehreren Personen als Backup im Fall eines Verlust gibt.
Nur, daß genau wie beim physikalischen Schlüssel damit die Chancen erhöht werden, daß einer der Schlüssel doch irgendwie in falsche Hände gelangt, und trotzdem ein Restrisiko bleibt, daß kein Schlüssel verfügbar ist - ob nun physikalisch alle Nachbarn/Freunde mit Türschlüssel zufällig gleichzeitig im Urlaub sind, oder eben digital die Rücksetz-Optionen temporär offline oder nicht funktional. Noch nicht mal Dinge wie Fingerabdruck oder Retina-Erkennung haben sich bewährt, denn auch da steht man bei Stromausfall, Verletzung oder einem Defekt des Lesegerätes dumm da.

Das Problem einer jederzeit zuverlässigen, funktionalen Zugangsverwaltung ist nichts Neues. Ein perfektes Konzept gibt es da nicht.

Was willst du uns mit diesem Beitrag sagen?

Das 2FA und mehrere Backup Emails und Handys dann doch besser sind als drei Kopien vom Haustürschlüssel?

Ich würde sagen das es so ist...

Diese ganzen Heuristiken wären nie nötig gewesen, wenn die Technologiebranche die Nutzer besser über Passwörter als Konzept aufgeklärt hätte.

You made my day !:biggrin:
Das war für mich DER Schenkelklopfer des Tages.
Seit Jahrzehnten hat die gesamte Eltern- und Lehrer-Branche den Nutzer (jugendlichen) über Kondome als Konzept:biggrin: aufgeklärt. Trotzdem haben wir jedes Jahr viele hunderte ungewollter Schwangerschaften.

Wenn die Menschen es da nicht schaffen, was erwartest du bei so abstrakten Dingen wie Internet und Passwortschutz?

Ich habe in einem Training gesessen wo einer Teilnehmer der Meinung war das man Eingabefehler nicht abfangen müsste wenn denn die User einfach mal alles richtig machen würden...

No further comments.