[Netzwelt] eBay schränkt die Sicherheit seiner Nutzer deutlich ein

Shinigami · 12 Feb. 2014

Naja, das war doch schon immer so, dass der Zugang zum E-Mail Konto meistens auch der Zugang zu vielen anderen Logins bedeutet.
Und wenn ich mich nicht täusche, braucht man doch trotzdem noch die PayPal Zugangsdaten oder Bankverbindung, um auf eBay zu bezahlen?

Sp1xx · 12 Feb. 2014

Mit Passwörtern wird einfach viel zu unsensibel umgegangen. Bei zich Diensten das gleiche viel zu simple Passwort und das über Jahre hinweg.

Das Sicherheitsproblembesteht hier nicht bei eBay sondern beim Nutzer. Abhilfe schafft da nur ein bisschen Eigeninitiative und tools wie keepass, bestenfalls mit reminder zur Passwort Änderung.

Abgesehen davon sollten Kundendaten natürlich nie im Internet frei zugänglich auftauchen...

PayPal Daten des Benutzers sind auch nicht zwingend nötig, die gibt es genauso wie packstations anonym im "Untergrund" zu erwerben.

Ghandy · 12 Feb. 2014

Die Bankverbindung wurde vom Benutzer doch im Vorfeld eingegeben. Das gilt auch für PayPal.

Warum das Problem nur auf die Nutzer abschieben? Der Betreiber verdient doch an der Benutzung, warum dann nicht die höchsten Sicherheitsstandards einführen statt diese zu reduzieren? Das Auftauchen der Datenbanken im Internet wird niemand verhindern können. Auch nicht, dass die Leute die gleichen Passwörter x Mal benutzen.

Shinigami · 12 Feb. 2014

Jedoch wird doch nicht automatisch gezahlt.
Habe mir gerade eben etwas gekauft und zumindestens bei PayPal muss ich mich extra noch einmal einloggen. Das selbe auch auf dem Smartphone.

Ungesund · 12 Feb. 2014

Tja... wie soll man es sonst machen? Eine weitere E-Mail-Adresse hinterlegen? Die kann auch gehackt werden. Zusätzliche Sicherheitsfragen? Sorry, aber ich weiß z.B. nicht mehr was vor 7 Jahren mein Traumberuf war, oder in welchem geistigen Zustand ich war als ich für diese Sicherheitsfragen mein erstes Haustier benannte... War das der Hamster oder die Katze? Welche der drei Katzen? usw.

Und schließt man diese Methoden aus, dann geht es nur wenn man noch persönlichere Daten hinterlegt, ergo an ein Unternehmen verfüttert. Telefonnummer, Anschrift... auch eher unschön... Hinzu kommt: Mich persönlich hat es furchtbar genervt dass ich 4 Tage lang auf mein neues Passwort für das Kreditkartenbanking warten musste, weil es per Post verschickt wurde... Vor allem weil mir das alte Passwort an Tag 2 wieder einfiel, aber nun ungültig war...

Also ich verstehe die Bedenken, aber ich sehe keinen praktikablen weg diese allgemeingültigen Umstände zu ändern.

drfuture · 12 Feb. 2014

optional für die Benutzer eine 2-Faktor Authentifizierung z.B. über den http://de.wikipedia.org/wiki/Google_Authenticator der jedem kostenfrei zur Verfügung stehen würde der ein Smartphone hat - wäre zumindest ein relativ konstengünstiger weg für Betreiber und Nutzer...
Und wäre wenn auch nicht Perfekt - ein kleiner Schritt in richtung mehr Sicherheit.

War-10-ck · 12 Feb. 2014

@Ghandy: So ganz hab ich nicht verstanden wo Ebay seine Standards reduziert haben soll? Bzw. was Ebay hier von 99% aller anderen Shopping-Sites unterscheidet?!

Dummkopf · 12 Feb. 2014

die sicherheitsfragen waren doch schon immer das groesste einfallstor zum accountdiebstahl. wieviele versuche braucht man wohl schon, um die augenfarbe einer mutter oder den namen eines hundes zu erraten?
die wenigsten nutzer werden an der stelle ein weiteres, sicheres passwort eingegeben haben, was aber noetig waere.

Ungesund · 12 Feb. 2014

@Dummkopf:
Hast recht. Die wenigsten Nutzer werden auch anstelle Ihrer Namen & Adresse kryptische Zeichenfolgen nach einem geheimen, physischen Schlüssel verwendet haben, was aber nötig wäre. Ebenso verzichten die meisten darauf ein drittes und viertes sicheres Kennwort festzulegen, was aber nötig wäre. Oftmals wird auch, völlig naiv, darauf verzichtet persönlich zum Hauptsitz des Unternehmens zu fahren und dort vorzusprechen, was aber nötig wäre...

Alter, wenn da nicht steht "bitte geben sie ein weiteres, sicheres Passwort an", wieso sollte man das dann tun? Als Nutzer muss ich so schon unheimlich viel selbst leisten. Anderes, sicheres Passwort bei jedem Service den ich nutze, nirgendwo niedergeschrieben, und am besten auch nicht in irgendeinen Passwortservice gespeichert, denn da braucht man nur ein Passwort erraten um dann alle zu haben. Und regelmäßig wird irgendwo irgendwer gehackt und dann war das ganze Bemühen ohnehin völlig umsonst etc... Ich denke nicht dass man als Nutzer dem Sicherheits-Problem insgesamt durch weiteres verkomplizieren der eigenen Eingaben Herr wird. Das macht sie zwar schwieriger zu erraten, aber auch ebenso schwieriger zu merken.

Und schaue ich mir so an wo ich überall angemeldet bin... puh. so 100 Logins sind das sicher inzwischen. Sicher nicht welche die ich ständig nutze, aber gerade wenn ich bei diesen nach dem Namen meines Haustieres gefragt werde, denke ich sicher nicht automatisch an "Rlö5&%khjK734".

Dummkopf · 12 Feb. 2014

dann darfst du dich aber auch nicht wundern oder dich beschweren, wenn der eine oder andere account mal weg ist.

War-10-ck · 12 Feb. 2014

Wenn du nach dem Namen deines Haustieres gefragt wirst denkst du lieber an etwas was man mit einer Wörterbuchattacke inerhalb von Minuten knacken kann?
Jeder sollte selber wissen wie wichtig einem seine Daten sind. Dazu gehört dann aber im worst-case nicht nur etwas Aufwand um alles wieder sauber zu bekommen sondern eben auch mal ne etwas höhere Paypalabrechnung. Jeder wie er meint. Zumal man sich Kennwörter ja auch aufschreiben und sicher verwahren kann.

Ghandy · 13 Feb. 2014

Es geht ja nicht nur um die Daten. Es geht vor allem ums Geld! eBay, Zalando und Amazon machen es ja allesamt genauso schlecht. Ich sehe auch noch keine Lösung. Aber einfach alles herunterfahren in solchen Zeiten, wo ständig gigantische Datenbanken voller geknackter E-Mail-Accounts im Web die Runde machen, halte ich für extrem bedenklich, um es mal nett auszudrücken.

Ich werde in den nächsten Tagen den Forensiker Pascal Kurschildgen befragen, ob ihm nicht etwas Gutes einfällt. Wenn der Podcast veröffentlicht ist, melde ich mich wieder.

1Bratwurstbitte · 13 Feb. 2014

Shinigami schrieb:
Jedoch wird doch nicht automatisch gezahlt.
Habe mir gerade eben etwas gekauft und zumindestens bei PayPal muss ich mich extra noch einmal einloggen. Das selbe auch auf dem Smartphone.

Nein das mag wohl sein!
Aber, der Durchschnitts-User hat meistens nur ein einziges Passwort!
Wenn man das Passwort für den Email-Acc hat, hat man meistens auch das Zugangspasswort für alle anderen Dienste, wo sich dieser User mit der Email angemeldet hat.

Das ist auf der einen Seite ein User Problem.
Da es aber schon lange bekannt ist, sollte es aber von einem "vernünftigem" oder nennen wir es mal umsichtigem Admin vorsorglich eine vorgreifende Lösung dafür geben.

Das ist vergleichbar mit dem Mist, den Blizzard eingeführt hat.
Vor ein paar Jahren ging es los, dass man sich nicht mehr mit seinem Nick und einem anderem Passwort anmelden konnte, sondern seine registrierte Email-Adresse als Account-Name preisgeben musste.
Man konnte zwar ein anderes Passwort festlegen, aber mal ehrlich, von 10 Usern werden sicherlich mindestens 3-4 das gleiche Passwort wählen, was auch die Email-Adresse hat, teilweise auch einfach nur aus dem Grund, weil ihnen die Wertigkeit ihres
Email-Acc-Passwortes nicht bekannt ist...

Warum klebt man an Bushaltestellen Greifvögel an die Scheiben?
Weil man A damit ausschließen möchte, dass andere Vögel davor rasseln und B, weil man auch verhindern will, dass andere Menschen davor donnern

.
Das ist eine minimale Maßnahme, die aber eine große Wirkung entfaltet...

Novgorod · 13 Feb. 2014

die panikmache ist doch irgendwie selbstverschuldet, oder? warum sind auf einmal die diensteanbieter dafür verantwortlich, wenn leute ins internet gelassen werden, die nicht dafür geeignet sind? verklagt man den autohersteller, wenn man gegen einen baum fährt?

..

2-3 halbwegs vernünftige passwörter sind meistens genug - am wichtigsten ist es aber richtig einzuschätzen, wo man welche passwörter benutzen sollte.. es ist nicht fahrlässig, z.b. für den email- und paypal-account dasselbe passwort zu benutzen, wenn man es sonst nirgends benutzt.. in russischen warez-foren sollte man dagegen evtl. ein anderes passwort nutzen.. bei seriösen anbietern (nicht adobe) kann man sich relativ sicher sein, dass die passwörter nicht im klartext oder mit popel-verschlüsselung gespeichert werden, da kann einem ein datenbank-klau am hintern vorbei gehen.. überhaupt werden eigentlich bei keinen aktuellen "webdiensten" (forensoftware o.ä.) mehr die passwörter in der db gespeichert, sondern (mehr oder weniger gute) hashes.. es bleibt letztlich vertrauenssache, was man in ein webformular eingibt, und genau dafür braucht man ein grundlegendes gespür und passwörter für mehrere "sicherheitslevels".. wenn mein "low-security" passwort in irgendeinem db-dump auftaucht, ist es mir relativ egal, weil damit schlimmstenfalls karteileichen in zig foren anfangen könnten herumzuspammen.. wenn es um geld oder privatsphäre geht, kommt ein höheres sicherheitslevel zum einsatz, und dann auch wirklich nur da und nicht im gulli-board oder anderen unseriösen einrichtungen

.. so behält man auch ohne irgendwelche passwortmanager einen überblick und ist ziemlich sicher..

mTAN statt sicherheitsfrage wäre noch ein paar größenordnungen sicherer, aber da scheut man wohl die kosten - das könnte man nur mit identitätsdiebstahl knacken und wer sich seine identität stehlen lässt, hat im internet nichts verloren (außerdem hat man dann sowieso die arschkarte, ganz ohne irgendwelche passwörterklaus, weil einfach sachen auf rechnung bestellt werden können)..

War-10-ck · 13 Feb. 2014

Passwörter aufn Zettel schreiben und gut verwahren. Sollte jedem noch so unbegabten Menschen möglich sein. Dann kann man auch mal ein paar Sonderzeichen verwenden.

Shinigami · 13 Feb. 2014

1Bratwurstbitte schrieb:
Nein das mag wohl sein!
Aber, der Durchschnitts-User hat meistens nur ein einziges Passwort!
Wenn man das Passwort für den Email-Acc hat, hat man meistens auch das Zugangspasswort für alle anderen Dienste, wo sich dieser User mit der Email angemeldet hat.

Das ist wie du bereits gesagt hast ein Userproblem.

1Bratwurstbitte schrieb:
Das ist vergleichbar mit dem Mist, den Blizzard eingeführt hat.
Vor ein paar Jahren ging es los, dass man sich nicht mehr mit seinem Nick und einem anderem Passwort anmelden konnte, sondern seine registrierte Email-Adresse als Account-Name preisgeben musste.
Man konnte zwar ein anderes Passwort festlegen, aber mal ehrlich, von 10 Usern werden sicherlich mindestens 3-4 das gleiche Passwort wählen, was auch die Email-Adresse hat, teilweise auch einfach nur aus dem Grund, weil ihnen die Wertigkeit ihres
Email-Acc-Passwortes nicht bekannt ist...

Dafür war Blizzard - zumindestens für mich - der erste große Konzern, der einen Authenticator eingeführt hat.

Novgorod schrieb:
die panikmache ist doch irgendwie selbstverschuldet, oder? warum sind auf einmal die diensteanbieter dafür verantwortlich, wenn leute ins internet gelassen werden, die nicht dafür geeignet sind? verklagt man den autohersteller, wenn man gegen einen baum fährt? ..

Da ist was dran.

War-10-ck schrieb:
Passwörter aufn Zettel schreiben und gut verwahren. Sollte jedem noch so unbegabten Menschen möglich sein. Dann kann man auch mal ein paar Sonderzeichen verwenden.

Bloß keine Zettel, für sowas gibt es doch Programme wie KeePass. Dort muss man sich nur ein Passwort merken und die Datenbank kann auch bequem auf mehreren externen Festplatten gesichert werden.

EinfachIrgendwasNeues · 13 Feb. 2014

Was ist an nem Zettel so schlimm?
Habe Zuhause ein DIN A4 Blatt mit lauter Passwörtern und gegebenenfalls zugehörigen Mail Adressen auf beiden Seiten.
Damit ich unterwegs auch noch auf die Konten überall zugreifen kann habe ich beide Seiten auch noch per Handy abfotografiert ^^

Shinigami · 13 Feb. 2014

Bei einem Zettel kann jeder der bei dir Zuhause ist ganz einfach alles abschauen.
Wenn dann noch dein Handy geklaut wird, dann hat derjenige deine Passwörter ebenfalls.
Muss jeder für sich selber entscheiden, ein bisschen Paranoia schadet nie.

EinfachIrgendwasNeues · 13 Feb. 2014

Den Zettel habe ich ja versteckt und ansonsten bin ich bei diesen Key Managern auch recht paranoid, kann sich doch immernoch jemand reinhacken.
Da habe ich lieber den Zettel bei mir im Zimmer versteckt, wobei ich eh selten Besuch in meinem Zimmer habe da dies sehr klein ist

Bezüglich des Handys hast du aber Recht, jedoch ist es so handlicher und den Zugriff darauf muss man auch erstmal erhalten.
Zudem fällt mir auch keine Alternative ein bezüglich des Transports der Passwöter.

[Netzwelt] eBay schränkt die Sicherheit seiner Nutzer deutlich ein

Shinigami

ばかやろう

Sp1xx

NGBler

Ghandy

Aktiver NGBler

Shinigami

ばかやろう

Ungesund

Feiner Herr

drfuture

Zeitreisender

War-10-ck

střelec

Dummkopf

NGBler

Ungesund

Feiner Herr

Dummkopf

NGBler

War-10-ck

střelec

Ghandy

Aktiver NGBler

1Bratwurstbitte

gesperrt

Novgorod

ngb-Nutte

War-10-ck

střelec

Shinigami

ばかやろう

EinfachIrgendwasNeues

EIN

Shinigami

ばかやろう

EinfachIrgendwasNeues

EIN