[TYPO3-german] Newloginbox Passwort vergessen: Sicherheit?
Axel Napolitano
axel_napolitano at pro-rauchfrei.de
Sun Feb 4 16:10:50 CET 2007
Hallo Liste,
Am 03.02.2007 um 19:58 schrieb Elmar Hinz:
>
> b) Niemand kann einen Vorteil dadurch erzielen, daß er das Passwort
> von jemandem anderen überschreibt, weil er dadurch selbst keine neuen
> Rechte bekommt.
>
Es gibt abstraktes Gefährdungspotenzial bei dieser Lösung.
a) Der User hatte bei seiner Registrierung das Mailkonto bei einem
Freemailer.
Gefährdungspotenzial:
- Zwischenzeitliche Abmeldung beim Freemailer und Übernahme durch
einen Dritten
- Das Konto beim Freemailer wurde gekapert
b) Es handelt sich um eine geschäftliche E-Mail-Adresse
- Die Urlausbvertretung oder Sekräterin könnte so Zugriff erlangen
- Ein missgünstiger Kollege oder Vorgesetzter mit Zugriff auf
Postfächer könnte Zugriff erhalten (siehe z.B. die Vorgänge bei der
CDU Brandenburg)
c) Man in the Middle-Attacken.
- Die betreffenden E-Mails werden im Klartext versendet.
Meiner Meinung nach wäre es sicherer, kein Passwort zu versenden,
sondern lediglich einen "Reset"-Link. Bei Aufruf des Links wird der
User auf eine Seite geleitet, die eine persönliche Frage stellt, die
der Benutzer bei Einrichtung seines Kontos nebst Antwort angegeben
hat. Danach muss er unverzüglich ein neues Passwort angeben. Ein
solcher Link sollte dann natürlich auch ein Verfallsdatum haben.
Axel Napolitano
http://www.pro-rauchfrei.de
PS: Die standardmäßige Klartextspeicherung von FE-User-Passwörtern
möchte ich nur in soweit kommentieren, dass ich mich freuen würde,
wenn (vorhandene) Lösungen zur Verschlüsselung künftig standardmäßig
in Typo3 enthalten wären. Das erspart einem das teilweise lästige
Gefrickel mit Erweiterungen
More information about the TYPO3-german
mailing list