KB19: Die Domäne ist bei einem anderen großen orangefarbenen Hoster und leitet auf Office 365 (bzw. Exchange online) um.
Na super... und wird dort vermutlich, weil sie aus dem Netzblock von netcup stammt, im Spamordner landen oder gleich einmal die Annahme mit Fehler S3150 verweigert werden, wie schon so oft.
Heureka!
Schau mal ins Microsoft 365 Security Center/in den Exchange Admin und schau nach Logeinträgen von abgewiesenen Mails oder gleich in der Quarantäne.
@eripek: Vielen Dank für den Hinweis, da lagen alle Emails von Netcup in der Quarantäne rum. Hoffentlich behält Exchange online nun Netcup als sicheren Absender!
(Hätte gedacht, dass in dem Fall zumindest im Junkordner bei Outlook was landet, jedoch: Pustekuchen, gar nichts kam in Outlook an...)
Viele Grüße und herzlichen Dank!
Vielen Dank für den Hinweis, da lagen alle Emails von Netcup in der Quarantäne rum. Hoffentlich behält Exchange online nun Netcup als sicheren Absender!
Ach ja, Microsoft und Emails ist wirklich immer wieder eine (schlechte) Erfahrung 
Diese Aktion von Netcup kommt praktisch einem permanenten Passwort-Reset gleich.
Allen Kunden die nicht 2FA aktiv hatten das ohne Vorwarnung aufzuhaslen kann nur durch einen Fakt gerechtfertigt werden:
Die Kundenpasswoerter (im Klartext oder nicht gesaltet) wurden entweder von einen Mitarbeiter oder wegen Einbruch/Hack gestohlen.
Sonst gibt es keine Rechtfertigung, selbst automatisch generierte Passwoerter de fakto ungueltig zu machen.
Das ist aus meiner Sicht ein Armutzeugnis und Eingestaendnis eines Einbruchs ins System.
Ich werde meinen Account kuendigen, ein so nicht verantwortungsvoller Umgangmit Kunden ist fuer mich nicht akzeptabel.
Sonst gibt es keine Rechtfertigung
Das sehe ich anders. netcup kann die Stärke deines Passwortes ja nicht beurteilen. Und wenn es zu Missbrauch kam, dann müssen sie reagieren, schon aufgrund der regulatorischen Vorgaben.
Ich werde meinen Account kuendigen
Sehr gut. Eine Sicherheitslücke weniger.
Peinlich ist diese Maßnahme nur für die, die sich jetzt davon überrascht fühlen, denn die hatten keine 2FA aktiv. Ich habs nichtmal mitbekommen, erst als hier die Diskussion losging.
Ich werde meinen Account kuendigen, ein so nicht verantwortungsvoller Umgangmit Kunden ist fuer mich nicht akzeptabel.
Auch ich war damals überrascht als es eingeführt würde. Dennoch finde ich die Reaktion deswegen zu kündigen übertrieben.
Sonst gibt es keine Rechtfertigung, selbst automatisch generierte Passwoerter de fakto ungueltig zu machen.
Dann würde es die Kunden mit aktiviertem 2FA aber ebenfalls betreffen. Wenn jemand die Passwörter (oder Hashes) hätte, hätte er mit hoher Wahrscheinlichkeit auch die TOTP-Secrets. Im Gegensatz zu Passwörtern müssen die Secrets nämlich im Klartext vorliegen und können nicht als unumkehrbarer Hash gespeichert werden 
Der wahrscheinlichste Grund für diese Maßnahme bleibt meiner Ansicht nach wie vor das: Massenhaft kompromittierte Accounts, z.B. durch Kunden die auf Phishing reinfallen oder anderweitig (beim Kunden) abhanden gekommene Passwörter. Wenn das ein gewisses Maß übersteigt und somit zu viele finanzielle und personelle Ressourcen bindet, ist die Maßnahme durchaus nachvollziehbar. Dass man es vielleicht früher oder anders kommunizieren hätte können, ist ein anderes Thema.
Ich werde meinen Account kuendigen, ein so nicht verantwortungsvoller Umgangmit Kunden ist fuer mich nicht akzeptabel.
OMG wie unverantwortungsvoll die Sicherheitsmechanismechanismen zu verbessern. geht garnicht! /s
Ohne Witz, dein ernst?
> Das sehe ich anders. netcup kann die Stärke deines Passwortes ja nicht beurteilen.
Das stimmt nun gar nicht. Bei jeder Anmeldung die auch ein Passwort verwendet, wird das Passwort an Netcup gesendet.
Zumindest ist das die uebliche Methode, ist dir schon einmal aufgefallen dass viele Webseiten die Pruefen:
- Wie lange das Passwort ist
- Ob es verschiedene Kombinationen an Zeichen enthaelt
- Und vielleicht hast du dich auch schon auf einer Webseite angemeldet, die dir gesagt hat, wie stark dein Passwort ist.
2FA ist gar nicht so viel sicherer wie Passwoerter. Denn wenn man unsicher mit seinen Faktoren umgeht, ist alles unsicher.
Im einfachten Fall ist es einfach nur ein zweites, kodiertes Passwort, das sogar der Provider in derselben Kodierten form hat wie deine 2FA-App.
Im besseren Fall ist es eben eine Mail, aber wenn du dein Passwort auch fuer dein Email-Postfach verwendest, und ein Angreifer das eine hat, hat er auch das andere.
Dann hat die ganze 2FA nichts genutzt.
> Und wenn es zu Missbrauch kam, dann müssen sie reagieren, schon aufgrund der regulatorischen Vorgaben.
Soso. Und wieso haben dann andere grosse Cloud-Provider noch immer das Angebot, ein sicheres Passwort statt 2FA zu verwenden?
OCI zum Beispiel macht das so:
The password must have at least 12 characters. The password cannot exceed 40 characters. The password cannot contain the First Name of the user. The password cannot contain the Last Name of the user. The password cannot contain the user name. The password must have at least 1 lowercase characters. The password must have at least 1 uppercase characters. The password must have at least 1 numeric characters. Cannot repeat last 4 passwords
Und natuerlich prueft Oracle das.
Und beim Einloggen muss man in einem Fixen Intervall das Passwort aendern.
[...] Allen Kunden die nicht 2FA aktiv hatten das ohne Vorwarnung aufzuhaslen kann nur durch einen Fakt gerechtfertigt werden:
Die Kundenpasswoerter (im Klartext oder nicht gesaltet) wurden entweder von einen Mitarbeiter oder wegen Einbruch/Hack gestohlen.[...] Das ist aus meiner Sicht ein Armutzeugnis und Eingestaendnis eines Einbruchs ins System.
Ich bezweifle, dass diese Schlussfolgerung/Hypothese stimmt (Stichwort DSVGO, Benachrichtigungspflichten) – denn es ist wenig plausibel, dass sich Netcup "aus Image-Gründen" im Falle eines Einbruchs gegen eine entsprechende Kontaktierung der Kunden entschieden hätte. Eine Kündigung schließt allerdings jegliche "Wiederholungsgefahr" aus, das ist insofern konsequent im Rahmen der obengenannten Hypothese.
Das stimmt nun gar nicht. Bei jeder Anmeldung die auch ein Passwort verwendet, wird das Passwort an Netcup gesendet.
Es wird nicht gesendet, sondern im Browser ausgewertet, also bei dir lokal. Übertragen und gespeichert wird nur ein Hash.
Und wieso haben dann andere grosse Cloud-Provider noch immer das Angebot, ein sicheres Passwort statt 2FA zu verwenden?
Weil sie bislang nicht reagieren mussten. Übrigens werden einige große Provider in Kürze 2FA verpflichtend machen, z.B. Microsoft bei den 365 Diensten. Es ist ne Frage der Zeit.
Und beim Einloggen muss man in einem Fixen Intervall das Passwort aendern.
Was ja inzwischen als absolut kontraproduktiv identifiziert wurde. Bei Provider, die mit derartig antiquierten Methoden arbeiten, möchte ich ja kein Kunde sein.
Im besseren Fall ist es eben eine Mail, aber wenn du dein Passwort auch fuer dein Email-Postfach verwendest, und ein Angreifer das eine hat, hat er auch das andere.
Dann hat die ganze 2FA nichts genutzt.
Echt jetzt? Du beschriebst einen Fall, in dem jemand das gleiche Passwort für mehrere Dienste inkl. Email nutzt und siehst das Problem bei 2FA?
Also, man kann darüber streiten, wie gut TOTP gegen einen kompromittieren Hoster oder bei Verlust eines Smartphones (inkl. Codes!) hilft. Aber es schadet definitiv nicht und dessen Aktivierung sollte eine der ersten Aktionen eines Admins sein. Dann wäre Dir (wie anderen hier) die 2FA-Aktion gar nicht aufgefallen...
Deine Schlussfolgerungen bzgl. eines nicht veröffentlichten Datenabflusses klingt für mich nach Verschwörungstheorie.
Es wird nicht gesendet, sondern im Browser ausgewertet, also bei dir lokal. Übertragen und gespeichert wird nur ein Hash.
Normalerweise wird es gesendet... anders wirds auch ziemlich kompliziert.
Es wird nicht gesendet, sondern im Browser ausgewertet, also bei dir lokal. Übertragen und gespeichert wird nur ein Hash.
Das stimmt nicht. Öffne mal die Dev-Tools im Browser, meld dich bei einer beliebigen Seite an und behalt den Network-Tab im Blick. Guck dir nach der Anmeldung mal den Body vom Login-Request an. Du wirst dort dein Passwort finden.
Normalerweise wird es gesendet... anders wirds auch ziemlich kompliziert.
es ist eigentlich das gegenteil von kompliziert, wenn man sich auf die üblichen JS-komponenten verlassen will.
aber in der regel bringt es nicht wirklich vorteile, browserseitig vom client hashen zu lassen.
wichtig ist, den kram über TLS abzuwickeln.
außerdem zeigen übliche webseiten die passwortkomplexität ja nicht beim login, sondern beim »sign up« (in realtime dann via JS im client).
beim login-fail anzuzeigen, daß man für jenen benutzer 3 stellen nur mit nummern eingeben müsste, wäre sicher mehr als deppert.
Das stimmt nun gar nicht. Bei jeder Anmeldung die auch ein Passwort verwendet, wird das Passwort an Netcup gesendet.
Dieser Satz zeigt dein Verständnis zu dieser Thematik.
Ein Passwort direkt zu versenden wäre grob fahrlässig, es wird nur ein Hash übertragen.
Dein Klartext Passwort wird nie an netcup Server übermittelt.
Es ist völlig normal, dass das Passwort an den Server gesendet wird. Auch bei netcup:
EDIT:
Dein Klartext Passwort wird nie an netcup Server übermittelt.
remember, remember – fängst an erst im september!!! 
Gespeichert, bei netcup, wird das Passwort zwar nur als Hash (Hoffentlich 
), aber übertragen werden muss es als (verschlüsselter) Klartext, denn der Browser des Nutzers weiß ja gar nicht welchen Hash-Algorithmus netcup zum Speichern der Passwörter nutzt.
Gespeichert, bei netcup, wird das Passwort zwar nur als Hash (Hoffentlich
Exakt. Außerdem müsste erstmal der Salt an den Client übertragen werden. Und nach der Logik müsste man diesen für jeden Nutzer abfragen können.
Der Server auf der anderen Seite hat doch eh alle Informationen, die durch dein Passwort geschützt werden. Also darf er das Passwort auch ruhig zugesendet bekommen. Er darf es nur nicht speichern/loggen usw.
