Das längste Thema

  • Der Logik folgend dürfte man dann auf einem Smartphone niemals gleichzeitig Passwortmanager und 2FA App installieren

    das habe ich nicht gesagt; sondern dass der Passwortmanager nicht 2FA-App glztg. sein darf;

    Auch ein Servicebetreiber kann Passwörter "verlieren".

    wenn Du hier von Passwörtern im Klartext sprichst, ist gegen diesen Fauxpas ohnehin kein Kraut gewachsen;

    und andernfalls, was will jemand mit irgendwelchem gehashtem Zeug?

    Brute-Force, Viel Spaß :D


    und jetzt kommt der Überhammer: da bringt 2FA genau nix, weil wer Passwörter ''verlieren" kann,

    der kann auch 2FA-Secrets verlieren; ;)

    Denn sind wir mal ehrlich, wenn jemand deinen Passwort Manager angreifen kann, kann er auch deine 2FA App angreifen.

    Ja und Nein. im Falle von TBT dass er seinen Passwort-Manager auch f. 2FA verwendet, macht man es dem Angreifer besonders einfach;


    sprich ein Spickzettel mit dem Passwort neben dem Bildschirm und 2FA-App wird dann schon schwierig, da was brauchbares abzugreifen;

    so mach ich es ;)

    Grüße / Greetings

    Walter H.


    RS, VPS, Webhosting - was man halt so braucht;)

  • das habe ich nicht gesagt; sondern dass der Passwortmanager nicht 2FA-App glztg. sein darf;

    Die meisten 2FA Apps die ich kenne sind nicht separat zugangsgesichert.

    Und die Endgeräte (Smartphones) sind erst mal auch biometrisch gesichert, d.h. selbst ein Dieb eines Smartphones kann erst mal nicht in das Smartphone, geschweige denn in den Passwortmanager rein.


    wenn Du hier von Passwörtern im Klartext sprichst, ist gegen diesen Fauxpas ohnehin kein Kraut gewachsen;

    und andernfalls, was will jemand mit irgendwelchem gehashtem Zeug?

    Brute-Force, Viel Spaß :D

    Passwörter sind bei Services i.d.R. nicht im Klartext gespeichert, sondern gehasht, daher sollten Klartextpasswörter nicht vorkommen. Betonung liegt auf sollte. Denn weiß man, wie die Anbieter mit den Credentials verfahren? Meist nicht, bzw. erst wenn das Kind schon in den Brunnen gefallen ist.


    In der Regel vergeht zwischen Hack und Versuch der Verwendung der Credentials beim gleichen Service oder bei anderen etwas Zeit. Sofern der gehackte Service dies mitbekommen hat, wird ein Passwortänderungshinweis kommen. Sofern das Passwort nur einmal verwendet wurde und random ist, kann es geändert und erneut im Passwortmanager gespeichert werden. Und schon ist man nicht mehr angreifbar.


    Ein gehashtes Passwort ist nur sicher, wenn das Klartextpasswort darunter komplex, lang und zufällig ist. Wie man vom Hash zum Klartextpasswort kommt: https://www.freecodecamp.org/n…ashcat-a-practical-guide/ . Je einfacher das Passwort umso einfacher ist der Hash-Crack. Mit modernen CPUs und v.a. GPUs absolut machbar.

    sprich ein Spickzettel mit dem Passwort neben dem Bildschirm und 2FA-App wird dann schon schwierig, da was brauchbares abzugreifen;

    so mach ich es ;)

    Roll doch auch gleich noch einen roten Teppich aus. :pinch:

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Edited once, last by TBT ().

  • Hast du dich bei den größeren Providern wie t-online, GMX, Web.de,gmail, hotmail via IP/domain "persönlich" verifiziert?

    T-Online benötigte nach einem Postmaster Ticket einen link zum Impressum und eine kleine Beschreibung wer wir sind und was wir machen.

    Email zerfällt langsam aber sicher in ein paar große Inseln, deren "Außenverteidigung" so unberechenbar wird, dass sich der Versuch nicht lohnt, sie zu überwinden, wenn Zuverlässigkeit das Ziel ist. Verweigerung der Annahme von Nicht-Spam, der den üblichen technischen Anforderungen genügt, nur weil dem Empfängersystem der Absender nicht gefällt, würde ich als Annahmeverzug und Fehler des Empfängers betrachten. Egal wie geplagt die Admins dieses Systems sind: so etwas ist nicht akzeptabel. Sippenhaft ist in Deutschland nicht zulässig. Man kann als Absender versuchen, darum herum zu arbeiten, aber letztendlich muss man sich fragen, wie viel Arbeit und Geld einem das Wert ist, wenn am Ende doch keine Zuverlässigkeit erreicht werden kann, weil die Betreiber in der aktuellen Konstellation niemandem Rechenschaft schuldig sind und diese Freiheit willkürlich nutzen.


    Mittelfristig würde ich versuchen, für die störrischen Betreiber, die groß genug sind, von Adressen bei diesen Betreibern zu versenden, aber nicht die eigentliche Email, sondern lediglich den Hinweis, dass Email wegen Willkür des Betreibers nicht zugestellt werden konnte und sich der Kunde bitte in seinen Account einloggen soll und für ihn bereitliegende Unterlagen dort einsehen kann.

  • Man kann als Absender versuchen, darum herum zu arbeiten, aber letztendlich muss man sich fragen, wie viel Arbeit und Geld einem das Wert ist, wenn am Ende doch keine Zuverlässigkeit erreicht werden kann


    Ich denke das Problem sind die immer wieder neu gestärkten Sicherheits Standards gegen Spam. Wenn ich einen Newsletter einmal im Monat an 10000 User schicken möchte, sind 20 Mails an die wichtigsten Provider das kleinste Problem. Wobei diese Handvoll Provider wohl am meisten mit Spam zu kämpfen haben. Ein Problem haben natürlich WebAdmins und Designer die für 100 Kunden die Homepages einrichten/Verwalten und dann mit solchen Problemen konfrontiert werden.


    Wir hatten das letztens bei einem anderen großen Hosting Provider das "PHP Mail()" alle E-Mails verschluckt hat, es hat einfach von heute auf morgen einfach nicht mehr funktioniert. Es wäre ein Problem auf unserer seite, ich sagte am Telefon nur noch "Ich programmiere seit 20 Jahren in PHP, also wenn ich keine Mail mit PHP verschicken kann... weiß ich auch nicht mehr"... 10 Tage später trudelten dann erst die Delivery Mails ein, da hat irgendein interner Filter ohne Fehlerlogs zugeschlagen. Wir hatten dann aber schon von PHP Mail() auf smtp Direkt umgestellt, das dann problemlos lief.

  • Ich denke das Problem sind die immer wieder neu gestärkten Sicherheits Standards gegen Spam.

    Die Anforderungen von T-Online sind aber keine "Sicherheits Standards" sondern "dich kenne ich nicht, von dir nehme ich keine Email an", oder schlimmer: "Der da drüben sagt, er mag deinen Postboten nicht, also nehme ich von dir keine Emails an." Mit solchen Leuten kann man nicht zuverlässig kommunizieren. Wer weiß, welche Ausrede die sich morgen einfallen lassen.

  • Das ist die selbe Denkweise, die uns Zero-Rating gebracht hat: Wer was davon haben will, kann sich ja bei uns melden und unsere Spezialbedingungen erfüllen, dann nehmen wir den Dienst auch anstandslos ins Zero-Rating. Klar, und wer einen Dienst anbietet, muss dann alle Provider abklappern und schauen, welche Extrawürste die verlangen, und mit jedem extra Verträge machen. So funktioniert das Internet nicht und so funktioniert auch Email nicht. Erst recht nicht, wenn viele Provider die Ablehnung weder dem Absender noch dem Empfänger mitteilen. Die Emails verschwinden einfach, denn man will ja nicht backscattern, aber das System so konstruieren, dass schon im SMTP-Dialog abgelehnt wird, ist einigen anscheinend auch zu teuer.


    Man nimmt Email an. Im Zweifelsfall kann man die als wahrscheinlichen Spam markieren oder in einen Spam-Ordner zustellen. Dann kann der Empfänger eine Ausnahme festlegen. Aber gar nicht annehmen, nur weil mir dein Hoster nicht passt, geht gar nicht. Ablehnung hat einen inhaltlichen Grund zu haben.

  • Der Spam wird ja auch immer mehr.


    Ich fand z.B. das Hotmail (habe dort eine E-Mail seitdem es die gibt) Jahrelang in Sachen Spam super zuverlässig war, während alle woanders geklagt haben, hatte ich meinen Junk Mail Ordner in dem nicht eine Mail falsch ein/aussortiert wurde.


    Und heute?


    Spam in Massen:


    Header:

    Betreff: Nickname, Ihre Email wurde ausgewählt.

    smtp.helo=dedeffjr.mysdg.se (Anscheinend stimmt nur die Helo)

    header.from=dhl.de

    From: Amazon Gutschein, Amazon Gutschein @dhl.de>

    Sender: message@my.zalando.de @dhl.de>


    Aber im Inhalt eine kopierte DHL Nachricht die noch einen echten Werbelink von Baur.de hinterlegt hat. :D:D:D

  • An sich sicher eine feine Sache und ich bin mal gespannt, was die so mitbringen. :)

    Ich befürchte aber, dass dann auch dort die halbjährlichen Abrechnungsperiden fallen werden. :( Die waren für mich immer ganz praktisch.

    Vielleicht kannst du das mit netcup ja individuell vereinbaren? :/

    "In die Ruhe, liegt die Würze." - Peter Ludolf

  • Amazon Gutschein, Amazon Gutschein

    Haha, das ist ja lächerlich. Mit Amazon-Gutscheinen lockt man mich nicht aus der Reserve!


    Ich werde regelmäßig als Millionen-Erbe von den Quants, Schaeffler & Co ausgewählt 8o


    Die enorme Zunahme von Spam stelle ich zum Glück nur in einem älteren Web-de Postfach fest.

  • Das ist spannend: Laut CCP hat mein VPS 200 G8 BF eine Abrechnungsperiode von 6 Monaten.


    Die dazugehörende Rechnung sagt allerdings eindeutig 12 Monate, immer schon:


    Screenshot 2024-05-14 at 21-13-06.png


    Also mal schnell die Bestellbestätigung von 2018 herausgesucht:

    Code
    Produktname:  |Vertragslaufzeit:    |Abrechnungszeitraum: |Einrichtung: |Preis / Monat:
    VPS 200 G8 BF |mindestens 12 Monate |alle 12 Monate       |0.00 EURO    |1.81 EURO

    Die 12 Monaten stimmen somit. Hat das schon einmal jemand beobachtet? ^^


    (Nein, ich mache kein Ticket auf. Dieser vServer wechselt in Kürze sowieso den Besitzer.)

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Edited 3 times, last by KB19 ().

  • Vertragslaufzeit: mindestens 12 Monate, Abrechnungszeitraum: alle 12 Monate heißt, dass Du den Server mindestens 12 Monate halten musst und dass alle 12 Monate abgerechnet wird. Du solltest aber NACH 12 Monaten erster Laufzeit in den weiteren Jahren dann jederzeit kündigen können (schau in Dein CCP).

    RS Ostern L OST22 (~RS "3000" G9.5) (8C,24GB,960GB) | RS Cyber Quack (1C,2GB,40GB)

    Confused 1
  • TBT Bitte nochmals lesen ;)


    Im CCP stehen 6 Monate Abrechnungsperiode, obwohl eindeutig nur alle 12 Monate abgerechnet wird.

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Wenn im CCP steht "Abrechnungszeitraum: alle 6 Monate" während in der Bestellbestätigung steht "Abrechnungszeitraum: alle 12 Monate", dann ist das eben ein Unterschied. Wirklich abgerechnet wird alle 12 Monate, also ist entweder die Produktinfo im CCP falsch oder das Produkt wird falsch abgerechnet und die Info in der Bestellbestätigung ist falsch. Kündigungsfristen sind doch hierfür gar nicht relevant.