News Intern: Bitte Passwörter ändern (Nachtrag)
- Ersteller TiKu
- Erstellt am
tomturbo
Technische Administration, Dinosaurier
Update: Bitte den Nachtrag lesen!
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Hier noch ein paar Anmerkungen:
- Das Fallback-Forum ist nicht betroffen. Es liegt auf einem anderen Server und ist auch kein vBulletin.
- Vor einer Massen-E-Mail an 102.123 registrierte User scheuen wir uns, zum einen wegen des Bounces von allen nicht mehr genutzten, vollen oder nicht mehr existenten Mailboxen. Zum anderen, da so ein Massenversand schnell dazu führen kann, dass P3D auf der Spamliste der Mailprovider landet. Vor einigen Jahren z.B. konnten wir ewig keine E-Mails mehr an T-Online-Mailboxen schicken, weil wir auf einer ebensolchen gelandet waren. Das gilt es zu vermeiden!
Stattdessen gibt's eine News, eine Ankündigung im Forum und die Meldung auf Facebook und Twitter.
- das Zurücksetzen aller Passwörter, die noch nicht geändert wurden, ist nun geschehen. Wir mussten allerdings erstmal selber ein gangbares Verfahren dafür austürfteln, da vBulletin eine solche Funktion nicht bietet![:]](https://www.planet3dnow.de/vbulletin/images/smilies/rolleyes.gif "Augen rollen (sarkastisch) :]")
- Das Fallback-Forum ist nicht betroffen. Es liegt auf einem anderen Server und ist auch kein vBulletin.
- Vor einer Massen-E-Mail an 102.123 registrierte User scheuen wir uns, zum einen wegen des Bounces von allen nicht mehr genutzten, vollen oder nicht mehr existenten Mailboxen. Zum anderen, da so ein Massenversand schnell dazu führen kann, dass P3D auf der Spamliste der Mailprovider landet. Vor einigen Jahren z.B. konnten wir ewig keine E-Mails mehr an T-Online-Mailboxen schicken, weil wir auf einer ebensolchen gelandet waren. Das gilt es zu vermeiden!
Stattdessen gibt's eine News, eine Ankündigung im Forum und die Meldung auf Facebook und Twitter.
- das Zurücksetzen aller Passwörter, die noch nicht geändert wurden, ist nun geschehen. Wir mussten allerdings erstmal selber ein gangbares Verfahren dafür austürfteln, da vBulletin eine solche Funktion nicht bietet
Zuletzt bearbeitet:
gruenmuckel
Grand Admiral Special
Könnt ihr nicht für ein paar Tage/Wochen so eine gelbe Hinweisbox schalten? Ich hab das in einem anderen vB Forum mal gesehen als es darum ging neue AGB akzeptieren zu müssen und auch einmal als Spendenaufruf, glaube ich. Also bin ich der MEinung das es so eine Option für benutzerdefinierte Hinweisboxen gibt.
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Ja, ist ja jetzt passiert: Alle Accounts sind ausgeloggt und die bisherigen Paswörter ungültig gemacht. Man kann sich nur mit neu generiertem PW wieder einloggen.
Das Problem beim Passwortausdenken ist meiner Meinung nach gerade das Ausdenken: Man überlegt lange und angestrengt, was man sich wohl merken kann, und dann nimmt man was, was erstens nicht sicher genug ist (zu kurz oder siehe oben mit Wörtern) und zweitens ändert man es nicht dauernd wieder, weil diese Prozedur des Ausdenkens und Merkens so anstrengend ist, und man neigt dazu, das Passwort woanders wiederzuverwenden, weil man das ja schon im Kopf hat.
Ich empfehle: Texteditor aufmachen, irgendwie zufällig auf der Tastatur rumhacken (mit und ohne Shift), bis genug Zeichensalat dasteht (gerne ca. 20-30 Zeichen), und den String dann in das Passwortfeld kopieren, gleichzeitig ausdrucken. Zettel aus Papier können von Bots nicht gelesen werden
Diese Prozedur ist schnell und einfach, d.h. man könnte sowas auch jede Woche oder so machen, man schreckt nicht vor der nervigen Anstrengung zurück.
Das Problem beim Passwortausdenken ist meiner Meinung nach gerade das Ausdenken: Man überlegt lange und angestrengt, was man sich wohl merken kann, und dann nimmt man was, was erstens nicht sicher genug ist (zu kurz oder siehe oben mit Wörtern) und zweitens ändert man es nicht dauernd wieder, weil diese Prozedur des Ausdenkens und Merkens so anstrengend ist, und man neigt dazu, das Passwort woanders wiederzuverwenden, weil man das ja schon im Kopf hat.
Ich empfehle: Texteditor aufmachen, irgendwie zufällig auf der Tastatur rumhacken (mit und ohne Shift), bis genug Zeichensalat dasteht (gerne ca. 20-30 Zeichen), und den String dann in das Passwortfeld kopieren, gleichzeitig ausdrucken. Zettel aus Papier können von Bots nicht gelesen werden
Diese Prozedur ist schnell und einfach, d.h. man könnte sowas auch jede Woche oder so machen, man schreckt nicht vor der nervigen Anstrengung zurück.
gruenmuckel
Grand Admiral Special
Die Box habe ich nicht. Weder an- noch abgemeldet, weder mit Firefox (Developer Edition) noch Chrome.
Caches gelöscht. Sicher, dass alle Benutzergruppen die sehen können? Oder ist die nicht da weil ich schon geändert hatte?
Die Ankündigung wird nur angezeigt, wenn du ein Forum öffnest. Auf der Hauptseite scheint vBulletin keine Ankündigungen vorzusehen, zumindest sehe ich in den Templates nichts dergleichen. Man müsste das wohl über ein Plugin realisieren oder vorübergehend fest ins Template klopfen.
Ich versuche immer Zahlen anstatt Buchstaben zu nutzen und irgendwo 1-2 Sonderzeichen einzubauen.
So wird bspw. aus Desoxyribonukleinsäure -> D35oxyR!b0nuKl31nsäure!
Ich glaube, das Verfahren ist recht sicher. Genug Kreativität vorausgesetzt, kann man mit Dingen, die auf dem Schreibtisch stehen oder die man jeden Tag nutzt ganz einfach ein sicheres Passwort machen.
Grüße
Christian
Nachtrag: Auch gut im Zusammenhang leaked password ist die Anmeldung auf der Seite: https://haveibeenpwned.com
Man wird per Mail benachrichtigt, wenn man bei einem größeren Hack betroffen war.
Hat mich vermutlich schon mal vor Ärger geschützt.
So wird bspw. aus Desoxyribonukleinsäure -> D35oxyR!b0nuKl31nsäure!
Ich glaube, das Verfahren ist recht sicher. Genug Kreativität vorausgesetzt, kann man mit Dingen, die auf dem Schreibtisch stehen oder die man jeden Tag nutzt ganz einfach ein sicheres Passwort machen.
Grüße
Christian
Nachtrag: Auch gut im Zusammenhang leaked password ist die Anmeldung auf der Seite: https://haveibeenpwned.com
Man wird per Mail benachrichtigt, wenn man bei einem größeren Hack betroffen war.
Hat mich vermutlich schon mal vor Ärger geschützt.
Zuletzt bearbeitet:
tomturbo
Technische Administration, Dinosaurier
"leet" nennt sich das, wenn man Buchstaben durch ähnlich aussehende Zahlen ersetzt.
Das bringt aber keine Sicherheit, da "die anderen" das auch wissen.
Das bringt aber keine Sicherheit, da "die anderen" das auch wissen.
Zuletzt bearbeitet:
genervt
Admiral Special
Nicht weiter schlimm, da ich für Foren eh nur ein low security PW verwende, das genau für solche Zwecke da ist.
Habe beim PW generieren festgestellt, dass ich eh nur eine selten genutzte E-Mail-Adresse hier verwende.
Kann voll verstehen, dass keine Anzeige erstattet wird. Die würden eh nix feststellen, da kein Ermittlungsansatz
Habe beim PW generieren festgestellt, dass ich eh nur eine selten genutzte E-Mail-Adresse hier verwende.
Kann voll verstehen, dass keine Anzeige erstattet wird. Die würden eh nix feststellen, da kein Ermittlungsansatz
Bei wichtigen Seiten nutze ich zwar etwas stärkere PW, doch die Email-Adresse ist dort dieselbe. - Das gibt mir schon zu Denken.
Bislang war ich nie von Datenklau betroffen (wissentlich), nun ist es wohl ein erstes Mal. - Wobei Datenklau ja oft viel zu spät von Anbietern erkannt oder zugegeben wird.
Daher nochmal Danke für die schnelle Reaktion!
Bislang war ich nie von Datenklau betroffen (wissentlich), nun ist es wohl ein erstes Mal. - Wobei Datenklau ja oft viel zu spät von Anbietern erkannt oder zugegeben wird.
Daher nochmal Danke für die schnelle Reaktion!
Merkor1982
Lt. Commander
Hatte mich grade auch gewundert wieso das alte PW nicht mehr ging, ist wirklich schade, wo heutzutage überall versucht wird Daten zu klauen.
H
heimbuec-neu
Guest
Ich hatte hier eine Uralt-Mailadresse verwendet, die nicht mehr genutzt wird. Passwortänderung also ausgeschlossen!!
Es wäre toll, wenn jemand diesen Account mit dem Account "heimbuec" verschmelzen könnte bzw. mir erklärt, wie ich an meinen anlten Account komme!
Es wäre toll, wenn jemand diesen Account mit dem Account "heimbuec" verschmelzen könnte bzw. mir erklärt, wie ich an meinen anlten Account komme!
- Mitglied seit
- 01.07.2000
- Beiträge
- 24.066
- Renomée
- 10.446
Ich kümmere mich drum.
H
heimbuec-neu
Guest
Vielen Dank!
heimbuec
Grand Admiral Special
Ich bin wieder da!
Vielen Dank für die unkomplizierte Hilfe!
Vielen Dank für die unkomplizierte Hilfe!
Voodoo_Freak
Vice Admiral Special
Danke für die offene Kommunikation. Mir ists erst nach der News auf der Mainpage aufgefallen.
Pr1nCe$$ FiFi
Grand Admiral Special
Hey, vielleicht nochmal ein Wort ans Team: Ist schon echt blöd gelaufen, dass ihr das jetzt am Wochenende soviel Zeit und Mühe reinstecken musstet. Dafür vielen Dank!
Manchmal hab ich das Gefühl, dass einige Nutzer vergessen, dass das hier eine kostenlose und ehrenamtlich betreute Seite ist. Vielleicht kann man sich das nochmal vor Augen führen - vor allem, dass mehr Arbeit dahinter steckt, als man im ersten Moment so vermuten würde.
Und ich sehe das jetzt als positive Erfahrung, weil mir so auf einem sehr niedrigschwelligen Niveau anhand meiner eigenen Daten deutlich wurde, dass ich mehr Energie in Sicherheit investieren muss. Die Kombi von Mailadresse und Passwort habe ich nämlich auf vielen Seiten verwendet, auch, wenn das keine wichtigen Seiten waren.
So, wie einem mal eine Festplatte ohne Backup kaputt gehen muss, damit man checkt, dass man auch selbst von Datenverlust betroffen sein kann, muss man offenbar auch mal von Datenklau betroffen sein, damit man sich da seine Gedanken macht und aufrüstet. Zumindest mein verstocktes Gehirn hat diese Erfahrung gebraucht, jetzt bin ich noch ne Nummer vorsichtiger und alles ist gut.
Also nochmal vielen Dank für die viele und nervenaufreibende Arbeit und allen einen guten Sonntagabend.
Gruß, FiFi
Manchmal hab ich das Gefühl, dass einige Nutzer vergessen, dass das hier eine kostenlose und ehrenamtlich betreute Seite ist. Vielleicht kann man sich das nochmal vor Augen führen - vor allem, dass mehr Arbeit dahinter steckt, als man im ersten Moment so vermuten würde.
Und ich sehe das jetzt als positive Erfahrung, weil mir so auf einem sehr niedrigschwelligen Niveau anhand meiner eigenen Daten deutlich wurde, dass ich mehr Energie in Sicherheit investieren muss. Die Kombi von Mailadresse und Passwort habe ich nämlich auf vielen Seiten verwendet, auch, wenn das keine wichtigen Seiten waren.
So, wie einem mal eine Festplatte ohne Backup kaputt gehen muss, damit man checkt, dass man auch selbst von Datenverlust betroffen sein kann, muss man offenbar auch mal von Datenklau betroffen sein, damit man sich da seine Gedanken macht und aufrüstet. Zumindest mein verstocktes Gehirn hat diese Erfahrung gebraucht, jetzt bin ich noch ne Nummer vorsichtiger und alles ist gut.
Also nochmal vielen Dank für die viele und nervenaufreibende Arbeit und allen einen guten Sonntagabend.
Gruß, FiFi
M
Grand Admiral Special
Da der Vorredner ausnahmsweise mal Recht hat *duck* schließen wir uns dem natürlich an. Vielen Dank für Euer Zutun und die Wochenendarbeit. Macht weiter so! Grüße aus dem Zug. M
X1900AIW
Lt. Commander
- Mitglied seit
- 03.02.2009
- Beiträge
- 149
- Renomée
- 10
Kontakt per Mail & Team 
Achte nun besser darauf, rechtzeitig meine veralteten Mailadressen zu aktualisieren.
Getrennte Passwörter haben ich mir schon lange angewöhnt, bei der Verwaltung von x Mailadressen sind mir leider Grenzen gesetzt.
Und ja, werde unabhängig von der Geschichte in diesem Forum die Amazon Zwei-Faktor-Anmeldung endlich angehen. Wo Geld im Spiel ist, macht jede optionale Absicherung Sinn.
Grüße an das weekend working support team!
BoMbY
Grand Admiral Special
Danke für die info. Hatte es zuerst nicht gecheckt und mich einwenig über keine pn gewundert da jedoch eine solche wohl bei den meisten eine email zur folge häte, ist es wohl gescheiter so.
Das Einzige was ich finde ist die benachrichtigung bei falscher Passwort eingabe auf das Zurücksetzen hinweisen dürfte.
Das Einzige was ich finde ist die benachrichtigung bei falscher Passwort eingabe auf das Zurücksetzen hinweisen dürfte.
tomturbo
Technische Administration, Dinosaurier
Der Passwortsafe in Firefox ist mit Masterpasswort ebenso zu empfehlen.
Stefan Payne
Grand Admiral Special
Aber wäre das jetzt nicht ein guter Zeitpunkt, um von vBulletin weg zu gehen und auf was anderes umzusteigen?
Damals, als ihr die Entscheidung zu vBulletin getroffen habt, gab es kaum sinnvolle Alternativen, heute gibts aber fast eine Monokultur aus vBulletin...
Damals, als ihr die Entscheidung zu vBulletin getroffen habt, gab es kaum sinnvolle Alternativen, heute gibts aber fast eine Monokultur aus vBulletin...
