Kommentare zu: Passwort vergessen: Wie sag ich’s meinem Kunden? http://www.insign.ch/blog/2009/05/29/passwort-vergessen-wie-sag-ichs-meinem-kunden/ Lesevergnügen auf den Punkt. Sat, 28 Jan 2012 14:50:18 +0000 hourly 1 http://wordpress.org/?v=3.2.1 Von: Martin Bachmann http://www.insign.ch/blog/2009/05/29/passwort-vergessen-wie-sag-ichs-meinem-kunden/comment-page-1/#comment-7 Martin Bachmann Fri, 05 Jun 2009 16:15:51 +0000 http://www.insign.ch/blog/?p=7#comment-7 Hier werden grundsätzlich zwei verschiedene Ansätze diskutiert. Für eine Webagentur ist der Kunde natürlich immer noch König und bestimmt in letzter Instanz, welche Variante er in seinem Projekt umgesetzt haben möchte. Aber natürlich bevorzugen wir auch die Variante mit verschlüsselten Paswörtern. Oder auch gleich OpenID (http://openid.net/) ... Hier werden grundsätzlich zwei verschiedene Ansätze diskutiert. Für eine Webagentur ist der Kunde natürlich immer noch König und bestimmt in letzter Instanz, welche Variante er in seinem Projekt umgesetzt haben möchte.

Aber natürlich bevorzugen wir auch die Variante mit verschlüsselten Paswörtern. Oder auch gleich OpenID (http://openid.net/) …

]]> Von: Thomas http://www.insign.ch/blog/2009/05/29/passwort-vergessen-wie-sag-ichs-meinem-kunden/comment-page-1/#comment-5 Thomas Sat, 30 May 2009 23:31:49 +0000 http://www.insign.ch/blog/?p=7#comment-5 Usability und Security hatten naturgemäss schon immer einen grossen Trade-off. Trotz grossen technischen Fortschritten lassen sich diese Interessenkonflikte wohl nie ganz aus der Welt schaffen. Usability und Security hatten naturgemäss schon immer einen grossen Trade-off. Trotz grossen technischen Fortschritten lassen sich diese Interessenkonflikte wohl nie ganz aus der Welt schaffen.

]]> Von: Thomas Elmiger http://www.insign.ch/blog/2009/05/29/passwort-vergessen-wie-sag-ichs-meinem-kunden/comment-page-1/#comment-4 Thomas Elmiger Fri, 29 May 2009 22:01:50 +0000 http://www.insign.ch/blog/?p=7#comment-4 Das Passwort zu ändern, nachdem es per E-Mail verschickt wurde, ist in jedem Fall eine gute Idee – dabei macht es dann allerdings keinen grossen Unterschied, ob es sich um das alte, vergessene Passwort handelt, oder um ein neues, automatisch generiertes. Das altbekannte wird von Benutzern leichter eingetippt, ein kryptisches Kunstwort muss eher aus dem Mail kopiert und eingefügt werden, womit einige User bereits wieder stark gefordert sind. Das Passwort zu ändern, nachdem es per E-Mail verschickt wurde, ist in jedem Fall eine gute Idee – dabei macht es dann allerdings keinen grossen Unterschied, ob es sich um das alte, vergessene Passwort handelt, oder um ein neues, automatisch generiertes. Das altbekannte wird von Benutzern leichter eingetippt, ein kryptisches Kunstwort muss eher aus dem Mail kopiert und eingefügt werden, womit einige User bereits wieder stark gefordert sind.

]]> Von: Christoph http://www.insign.ch/blog/2009/05/29/passwort-vergessen-wie-sag-ichs-meinem-kunden/comment-page-1/#comment-3 Christoph Fri, 29 May 2009 16:55:14 +0000 http://www.insign.ch/blog/?p=7#comment-3 Als Benutzer bevorzuge ich eine E-Mail mit einem Link zu einer Seite, auf der ich das Passwort neu setzen kann. Die Gültigkeit des Links sollte auf einmalige Nutzung innerhalb von einigen Stunden beschränkt werden. Das Problem beim Versand des Passwortes ist, dass ein Angreifer durch Kenntnis des E-Mail-Passwortes automatisch auf diesen Dienst Zugriff kriegt, sofern das Passwort nicht sofort geändert und die E-Mail aufbewahrt wird (siehe Vorschlag von Thomas). Zusenden des vergessenen Originalpasswortes sollte in der Regel gar nicht möglich sein. Online-Dienste sollten niemals die Passwörter der Benutzer im Klartext ablegen, sondern nur in gehashter Form. Sind die Passwörter im Klartext gespeichert, können Angreifer diese durch ein eventuelles Sicherheitsleck auslesen und für den Zugriff auf andere Dienste verwenden. Als Benutzer bevorzuge ich eine E-Mail mit einem Link zu einer Seite, auf der ich das Passwort neu setzen kann. Die Gültigkeit des Links sollte auf einmalige Nutzung innerhalb von einigen Stunden beschränkt werden.

Das Problem beim Versand des Passwortes ist, dass ein Angreifer durch Kenntnis des E-Mail-Passwortes automatisch auf diesen Dienst Zugriff kriegt, sofern das Passwort nicht sofort geändert und die E-Mail aufbewahrt wird (siehe Vorschlag von Thomas).

Zusenden des vergessenen Originalpasswortes sollte in der Regel gar nicht möglich sein. Online-Dienste sollten niemals die Passwörter der Benutzer im Klartext ablegen, sondern nur in gehashter Form. Sind die Passwörter im Klartext gespeichert, können Angreifer diese durch ein eventuelles Sicherheitsleck auslesen und für den Zugriff auf andere Dienste verwenden.

]]> Von: Thomas http://www.insign.ch/blog/2009/05/29/passwort-vergessen-wie-sag-ichs-meinem-kunden/comment-page-1/#comment-2 Thomas Fri, 29 May 2009 11:15:58 +0000 http://www.insign.ch/blog/?p=7#comment-2 Je nach Sicherheitsstufe sollten zugestellte Passworte neu generiert und natürlich nur einmal gültig sein. Denn E-Mail ist nach wie vor ein zwar geschätzter, aber potentiell unsicherer Kanal. Je nach Sicherheitsstufe sollten zugestellte Passworte neu generiert und natürlich nur einmal gültig sein. Denn E-Mail ist nach wie vor ein zwar geschätzter, aber potentiell unsicherer Kanal.

]]>