Frage: Wieso bekomme ich heute eine Mail mit meinem Forenpasswort?

Da war wohl wer am rumschnüffeln...

hab ich auch bekommen

hab ich auch bekommen

Ich auch - aber das Passwort war nicht das richtige.

Accountname war allerdings korrekt.

Habe mit meinem nach dem Forumshack geänderten Ryzom-Gameaccountpasswort immer noch vollen Zugriff auf die Profildaten.

Also komisch ist das schon.

Hochachtungsvoll,

Ayronil zu Yrkanis, Exilant in Fyros

habs auch bekommen. irgendson voll kryptisches passwort. lol. aber laut email nur für das profil. denke mal für die account daten und so

Ähm, was genau hat diese E-Mail zu sagen?
Das Passwort, das da drin steht, hab ich nie vergeben. Für den angegebenen Zweck funktioniert es auch nicht.

Und was bitte ist überhaupt ein "gesichtertes" Passwort?

Ich denke mal iss die Reaktion auf die letzte Hack-Attacke. Werden wahrscheinlich jetzt jeden Monat ein neues bekommen.<----Mutmaßung 8)

Ich würde erst mal nicht unternehmen. Nicht antworten!!
Keine Anhänge öffnen.

Ich hab allerdings noch nix bekommen!

Am besten abwarten was hier an Feedback von Farox oder Prom kommt.

Und was bitte ist überhaupt ein "gesichtertes" Passwort?

eines mit min. je eine(m/r) Großbuchstaben, Ziffer, Sonderzeichen und sollte keinem 'normalen' Wort entsprechen.

Beispiel:

'passwort' ist schon mal kein gutes Passwort
'P@ssw0rd' wäre zwar schon besser, aber es ist immer noch ein 'normales' Wort
'm4!sT3r' wäre da schon besser als Passwort - am besten eine Phrase aussuchen und mit ähnlich aussehenden Sonderzeichen/Ziffern einzelne Buchstaben ersetzen.

Das Ursprungswort in dem Fall war 'Meister' - so kann man sich die dann auch noch relativ gut merken.

'o(4F!6Hif' wäre da dann echt gut! :) keine Regelmäßigkeit, kein umgebautes Wort, Sonderzeichen, Groß/Kleinschreibung, Sonderzeichen - und nicht zu merken... ;-)))

Hochachtungsvoll,

Ayronil zu Yrkanis, Exilant in Fyros

Ja, madcat, klar! Das ist ein "sicheres" Passwort. Das Wort "gesichtert" ist einfach Blödsinn. Genau wie der Rest der Mail. Kann doch nicht so schwer für die sein, einmal, nur einmal klar zu beschreiben, was man überhaupt gemacht hat und wozu.

Dass das bei Patchnotes nie klappt, ok. Aber bei Passwörtern hört der Spaß auf.

Hi.
Also wenn das dieselbe Mail ist, die ich gerade bekommen habe, dann ist das nicht für die Foren :D
Es ist für den Account selbst. Sprich dort wo man seinen Namen , Bankdaten und ähnliches stehen hat (ob es auch für die Ingameanmeldung ist, weiss ich momentan nicht). Was bei meinem Passwort unsicher war/ist finde ich auch noch raus ;)


cu
Jenar aka Screener aka Julinar aka ... :eek:

hier (http://ryzom.com/forum/showthread.php?t=7911) gibt es genauere Infos :)

Ja so isses wohl. Also es gibt jetzt ein extra Passwort für das Profil. Damit ist nicht das Forenprofil gemeint, sonder das bei Ryzom auf der Webseite.

Dort kann man dann mit diesem Passwort seine Accountdaten änder bzw einsehen.

Auja, richtig sicher, solche zufallsgenerierten Passwörter, die man nicht ändern kann. Kein Bösewicht kann das dann erraten. Der Benutzer leider auch nicht. Was machen also Herr Otto Normal und Susi Sorglos (zu Recht)? Sie schreiben es sich auf. Sind die Dinger denn wenigstens wieder auf 8 Zeichen beschränkt, dann wären wir ja wenigstens konsequent wieder in der Steinzeit der IT-Sicherheit angelangt.

Dann bin ich ja gespannt, welch sicheres Passwort mir in den nächsten Tagen zufliegt - auf dem Weg unverschlüsselten Mailversandes, welches an jedem Punkt auf dem Pfad zu mir in Caches gelangen kann. Demnächst sendet mir dann noch meine Bank die Daten meiner Kreditkarte auf ner Postkarte zu. Schön, daß ich ein solches dann nicht etwa als vorübergehendes PW verwende, sondern aufgezwungen bekomme.

Hallo,

wie ich in meinem 1. Post hier schon beschieb, ist das Passwort in der Mail NICHT passend gewesen. Konnte mich mit dem beigefügten PWD nicht Anmelden um mein Profil einzusehen.

Also irgentwas ist da nicht korrekt gelaufen.


Habe mit meinem nach dem Forumshack geänderten Ryzom-Gameaccountpasswort immer noch vollen Zugriff auf die Profildaten.
Das Ändern des PWDs wurde ja auch offiziell angeraten - also habe ich dieses auch gemacht.

EDIT:

-.- man sollte das von Prom auch VORHER lesen... ich Depp... hatte das Passwort quasi direkt nach erhalt der Mail überprüft...

Sprich, es klappt jetzt das aus der Mail

bis dann,

Ayronil

lol habe jetzt 3 passwoerter direkt fuer Ryzom + 2 die ich indirekt mit Ryzom benutze (email,gildenseite)

4 merke ich mir das andere bleibt im email fach :)

manchmal glaube ich ... dass viele nicht lesen was in den e.mails steht ... lesen evtl. schon ... aber nicht verstehen ... es war in der e.mail klar ersichtlich wofuer der mist ist ...


°shrug°


ôô

ähem, nur mal so als anmerkung für die leute von nevrax, MDO, und wer da noch so alles mitredet:

ihr wißt schon das packet sniffer speziell nach dem wort "passwort" in e-mails suchen???
ihr wißt doch sicher auch, dass das e-mail nicht so wirklich verschlüsselt ist/war???
euch ist auch bewußt, dass ihr den account-namen mitgeschickt habt???

und ihr wißt somit auch, dass in diesen e-mails alles drin steht, was man so als "malicious" hacker alles braucht um "gutes" zu tun???

nur so als anmerkung am rande :(

was wißt ihr eigentlich über das thema "security" im internet wirklich??? schon mal was davon gehört??? gelesen??? auf MTV gesehen???

naja, wenigsten kann man dort auch nur meinen namen, anschrift, geburtsdatum finden. jetzt fehlt nur noch die anleitung "social engineering für dummies"

hi ana !

so hab ich das noch garnet betrachtet lool ;(

also sogesehen ein unsicheres neues sicherheits passwort das nieeeemand knacken kann !

ich hab gott sei dank keine trojaner !!!

cya 5erious

@ #17

. . .

bekommst du deine Post versiegelt von den Absendern ?
Also das Stadtwappen als Wachssiegel von allen Ämtern, oder mit Logo deiner Bank die Kontoauszüge z.B. ?
Nicht auszudenken wenn der Briefbote den Brief durchliest und wieder zuklebt ... in diesen Zeiten O_o fahrlässig wenn man ohne diese Sicherheits Schmankerl Post verschickt.

Ich hätte nen Tipp nimm dir ein "Plätzschhh n" (ist ja Weihnachtszeit) und trink nen warmen Tee das beruhigt und du machst dir weniger Sorgen

Wenn Akte X wieder im TV kommt kannst du ja nochmal nen Verschwörungstheorie posten - Welterherschaft durch Serverpwasswörter . .

Wenn MTV Berichte über SSL bringt muss ich direkt mal wieder Fernsehn glotzen bestimmt informativ

Trojaner sind dafür gar nicht notwendig, da e-mails über viele Server geleitet und mehrfach zwischengespeichert werden. Wie oben bereits ausgeführt wurde ist eine e-mail alles andere als Privat und kann einfach auch automatisch analysiert werden ohne dass es Sicherheitsprobleme auf dem sendenden oder empfangenden Rechner gibt.
Das Versenden einer Mail mit Benutzername UND Passwort ist daher eine Einladung die gespeicherten Daten der Nutzer auszulesen.

Banken nehmen es mit der IT-Sicherheit auch oftmals nicht soo ernst, aber wie man am getrennten Versand von EC- oder Kreditkarte und zugehörigen PINs erkennen kann wird dort noch nicht mal der Briefverkehr als sicher angesehen und Benutzername (Karte) und Passwort (PIN) getrennt verschickt. Da e-mails nur selten denselben Pfad nehmen um den Empfänger zu erreichen würde demnach ein getrenntes Senden der Logindaten deutlich mehr Sicherheit versprechen. Optimal wäre es natürlich, wenn der Name gar nicht mitgeschickt wird wodurch ein Zuordnung der Passwörter nicht mehr ohne weiteres möglich wäre. (Auch ein DAU ist hoffentlich in der Lage sich seinen Benutzernamen zu merken der zudem auch noch im Spiel gespeichert wird.)

@ #17

. . .

bekommst du deine Post versiegelt von den Absendern ?
Also das Stadtwappen als Wachssiegel von allen Ämtern, oder mit Logo deiner Bank die Kontoauszüge z.B. ?
Nicht auszudenken wenn der Briefbote den Brief durchliest und wieder zuklebt ... in diesen Zeiten O_o fahrlässig wenn man ohne diese Sicherheits Schmankerl Post verschickt.

Ich hätte nen Tipp nimm dir ein "Plätzschhh n" (ist ja Weihnachtszeit) und trink nen warmen Tee das beruhigt und du machst dir weniger Sorgen

Wenn Akte X wieder im TV kommt kannst du ja nochmal nen Verschwörungstheorie posten - Welterherschaft durch Serverpwasswörter . .

Wenn MTV Berichte über SSL bringt muss ich direkt mal wieder Fernsehn glotzen bestimmt informativ


Hallo Trieper,

nicht ohne Grund gibt es in Europa für den Datenschutz Gesetzesgrundlagen. Ein Datenschutzbeauftragter, der bei Bibit, MDO UND Nevrax jeweils vorhanden sein müsste, sollte diese kennen und die Geschäftlichen und technischen Abläufe in Bezug darauf prüfen. Dabei wäre ihm zweifelsfrei aufgefallen, daß der Versand von Username UND unveränderlichem Passwort eine klare Missachtung jeder Sorgfaltsbestimmung darstellt, zumal hierüber Zugriff auf persönliche Kundendaten möglich ist, die einem besonderen Schutz zu unterliegen haben. Falls es Dir schonmal aufgefallen ist, werden selbst auf dem Postwege PIN und Kontodaten niemals gemeinsam zugesandt. Darüberhinaus werden solche Informationen so zugesandt, daß eine manipulation oder ein Öffnen feststellbar ist. Wir reden hier nicht etwa über etwas triviales. Wer auch nur einen Funken von diesen Belangen versteht, weiss, welche Schäden im Zweifelsfalle mit diesen Daten auf Drittwegen angerichtet werden können. Nicht zwangsläufig unmittelbar an der Person, deren Daten hier zur Disposition stehen, sondern MITTELS der Daten. Es ist leider so, daß im Datenschutz eben nicht der gesunde Menschenverstand und logisches Denken genügen, um Gefahrenpotentiale zu sehen. Es gehört auch ein wenig Fachwissen dazu, wenn man sich ein Urteil bilden möchte. Ich empfehle hierzu im Übrigen auch mal die Seiten des Bundesdatenschutzbeauftragten oder des C.E.R.N. Beides recht brauchbare Einstiegsseiten für den Laien.

Trojaner sind dafür gar nicht notwendig, da e-mails über viele Server geleitet und mehrfach zwischengespeichert werden. Wie oben bereits ausgeführt wurde ist eine e-mail alles andere als Privat und kann einfach auch automatisch analysiert werden ohne dass es Sicherheitsprobleme auf dem sendenden oder empfangenden Rechner gibt.
Das Versenden einer Mail mit Benutzername UND Passwort ist daher eine Einladung die gespeicherten Daten der Nutzer auszulesen.

Banken nehmen es mit der IT-Sicherheit auch oftmals nicht soo ernst, aber wie man am getrennten Versand von EC- oder Kreditkarte und zugehörigen PINs erkennen kann wird dort noch nicht mal der Briefverkehr als sicher angesehen und Benutzername (Karte) und Passwort (PIN) getrennt verschickt. Da e-mails nur selten denselben Pfad nehmen um den Empfänger zu erreichen würde demnach ein getrenntes Senden der Logindaten deutlich mehr Sicherheit versprechen. Optimal wäre es natürlich, wenn der Name gar nicht mitgeschickt wird wodurch ein Zuordnung der Passwörter nicht mehr ohne weiteres möglich wäre. (Auch ein DAU ist hoffentlich in der Lage sich seinen Benutzernamen zu merken der zudem auch noch im Spiel gespeichert wird.)


thx für dies info (irgend wann werd ich hier noch pc profi ;-) sehr viel lernt man hier )

Greetz 5erious

...Ein Datenschutzbeauftragter, der bei Bibit, MDO UND Nevrax jeweils vorhanden sein müsste, ...Hi Kollege (so scheint's ;))
Ein Haken dabei...ich zitiere mal aus der Neufassung des BDSG:
§ 4f Beauftragter für den Datenschutz
(1) Öffentliche und nicht-öffentliche Stellen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben einen Beauftragten für den Datenschutz schriftlich zu bestellen. Nicht-öffentliche Stellen sind hierzu spätestens innerhalb eines Monats nach Aufnahme ihrer Tätigkeit verpflichtet. Das Gleiche gilt, wenn personenbezogene Daten auf andere Weise erhoben, verarbeitet oder genutzt werden und damit in der Regel mindestens 20 Personen beschäftigt sind. Die Sätze 1 und 2 gelten nicht für nicht-öffentliche Stellen, die höchstens vier Arbeitnehmer mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigen.Das einzige Deutsche Unternehmen der von Dir genannten fällt in den ausgenommenen Bereich. Die Franzosen dürften ebenfalls dort hineinpassen, ich bin jetzt allerdings zu faul, die Datenschutzbestimmungen von denen hervorzukramen um zu vergleichen... Bei BiBit hingegen (NL/USA) dürfte es zutreffen. Aber die Mail kam ja nicht von BiBit, und Einfluß auf die Account-Logins haben die wohl auch nicht...
Alles Grauzone :p

CU

Edit: Guter Link für (auch) Privat Interessierte: Datenschutzportal (www.datenschutz-portal.de)

Hallo Elioth,

nicht ohne Grund gibt es in Europa für den Datenschutz Gesetzesgrundlagen.
Es gibt so einiges was ich gern als verschnörkelte Bürokratie bezeichnen würde die alle mögliche Dinge verlangsammen / verteuern / etc.

Bsp.

Ein Chef einer kleinen Firma muss wenn er männliche wie weibliche Angestellte hat 1ne 2te Toilette einrichten (getrennt halt iss klar ;) )
das der gute Mann nur 2 Leute beschäftigt Frau Weiss und Hernn Schwarz und das die bisherife 1 Toilette abschlissbar ist und genügt interessiert nicht. Gesetz ist Gesetz , Verordung ist Verordnung
Feine Sache =) so ne 2te komplette Toilette mit Waschbecken etc. kostet ja nur paar Tausende - für ein einziges Hansel ^^ wie Effizient !

b2t - du hast eine email bekommen wo dein PW drin stand ... und dein Username

Himmel hilf was kann damit alles passieren
man könnte herausfinden wer du bist (pass auf deine Name könnte im Telefonbuch stehen) . . Ich sehe die Schlagzeile vor mir:
BILD deckt auf Enriko M. aus K. bei F. an der O. spielt Saga of Ryzom ...

Falls du Angst um deine Bankverbindung hast - Lastschriften lassen sich zurückbuchen (um Missbrauch vorzubeugen)
Tja . . . andere entsetzliche Dinge fallen mir leider nicht ein welche man mit diesen "vertraulichen Daten" anfangen kann

Ausserdem bin ich der Meinung wenn Mr.X (superhacker) scharf auf meine E-Mails ist dann bekommt der die ob mit oder ohne Verschlüsselung.
Denn alle was verschlüsselt wurde kann entschlüsselt werden. (mit welchem Aufwand ist ne andere Frage)

Ich sage nicht das die Datenschutzverordnung sinnlos ist.
Ich sage nur man sollte die notwendigkeit abschätzen und überlegen wo Sie Sinn macht und wo nicht. (Stichwort Bank = wichtig / Ryzom = unbedeutend )

Ähm....das PW ist unveränderlich???

*sofort Kreditkarte sperren lass*

*grml* is doch ärgerlich, wenn man wegen einer solchen unachtsamkeit allenfalls die Kredikarte sperren lassen muss oder feststellen muss, dass es dafür schon zu spät ist....

...meine Limit ist die kleinstmögliche, macht aber dennoch ne Menge Kohle...

:mad:

PS. Bin Schweizer, also nicht die bequeme Möglichkeit, LSV oder in Deutschland eben ELV zu benutzen!

*wohl bald böses mail an Nevrax schreib*

Hallo Elioth,

nicht ohne Grund gibt es in Europa für den Datenschutz Gesetzesgrundlagen.
Es gibt so einiges was ich gern als verschnörkelte Bürokratie bezeichnen würde die alle mögliche Dinge verlangsammen / verteuern / etc.

Bsp.

Ein Chef einer kleinen Firma muss wenn er männliche wie weibliche Angestellte hat 1ne 2te Toilette einrichten (getrennt halt iss klar ;) )
das der gute Mann nur 2 Leute beschäftigt Frau Weiss und Hernn Schwarz und das die bisherife 1 Toilette abschlissbar ist und genügt interessiert nicht. Gesetz ist Gesetz , Verordung ist Verordnung
Feine Sache =) so ne 2te komplette Toilette mit Waschbecken etc. kostet ja nur paar Tausende - für ein einziges Hansel ^^ wie Effizient !

b2t - du hast eine email bekommen wo dein PW drin stand ... und dein Username

Himmel hilf was kann damit alles passieren
man könnte herausfinden wer du bist (pass auf deine Name könnte im Telefonbuch stehen) . . Ich sehe die Schlagzeile vor mir:
BILD deckt auf Enriko M. aus K. bei F. an der O. spielt Saga of Ryzom ...

Falls du Angst um deine Bankverbindung hast - Lastschriften lassen sich zurückbuchen (um Missbrauch vorzubeugen)
Tja . . . andere entsetzliche Dinge fallen mir leider nicht ein welche man mit diesen "vertraulichen Daten" anfangen kann

Ausserdem bin ich der Meinung wenn Mr.X (superhacker) scharf auf meine E-Mails ist dann bekommt der die ob mit oder ohne Verschlüsselung.
Denn alle was verschlüsselt wurde kann entschlüsselt werden. (mit welchem Aufwand ist ne andere Frage)

Ich sage nicht das die Datenschutzverordnung sinnlos ist.
Ich sage nur man sollte die notwendigkeit abschätzen und überlegen wo Sie Sinn macht und wo nicht. (Stichwort Bank = wichtig / Ryzom = unbedeutend )


Ich bin selbst - hmm lass mich überlegen - 15 oder mehr Jahre als Unternehmer konfrontiert gewesen mit solch grösstenteils unsinnigen Regelungen und Gesetzen für alles mögliche. Nun zum Glück nicht mehr, denn Deutschland ist nicht mehr mein Gewerbestandort. Dennoch muss man hierzu einige Dinge beachten:

1. Lässt man sich auf Handelsverkehr oder gewerblichen Betrieb in einem Handelsraum ein, so bleibt nichts übrig, als geltendem Recht folge zu tragen. Einzig bleibende Möglichkeit gegenüber willkürlicher Missachtung ist das Anfechten und ggf. Ändern von nach eigener Ansicht unsinnigen Gesetzesgrundlagen (dies ist die Funktionsweise der viel hier proklamierten "Demokratie", statt einer Anarchie)
2. Um den Sinn oder Unsinn einer Vorschrift zu verstehen, gehört immer ein gewisses Fachwissen hinzu, denn nur wenn die Grundlagen der Vorschrift einem vertraut sind, kann man sich ein allumfassendes Bild darüber machen.
3. Der Schutz vertraulicher Daten ist eine sogenannte Sorgfaltspflicht, die hier technisch ohne weiteres möglich ist. Es geht hierbei nämlich lediglich um die Versendung eines NICHT veränderlichen Passwortes für den Zugriff auf personenbezogene Daten. Der Versand eines solchen Passwortes ist durchaus möglich, nur verlangt dieses eine besondere Sorgfalt, wie bereits in einem Posting weiter oben zum Thema "Bank-Pin" beschrieben. Der andere Weg ist der Versand eines temporären Passwortes, welches vom Nutzer verändert werden kann. Beide Herangehensweisen stellen keinen unzumutbaren zusätzlichen Aufwand dar und führen eine akzeptable Datensicherheit herbei. Alle von Dir gemachten Vergleiche entsprächen in etwa der Einstellung, sein Haus nicht abzuschliessen, denn ein "richtiger" Dieb könne eh einbrechen, wenn er es wolle.

Zu den möglichen Folgen einer Kompromitierung von personenbezogenen Daten befrage am besten mal einen ortsansässigen Datenschutzfachmann in Deiner Nähe. Er wird Dir möglicherweise etwas auf die Sprünge helfen. Es geht hierbei übrigens selten um Vermögensschäden an Privatpersonen. Vielmehr um die Haftungsfrage bei Drittschäden und vor allem um volkswirtschaftliche, soziologische und demografische Aspekte des Missbrauches solcher Daten. Eine öffentliche Diskussion dieser Dinge wird nicht ganz ohne Grund selten geführt :)
Aber als kleines Stichwort für unmittelbar erkennbare Folgeschäden auf privater Ebene sei das Beispiel des Ebay-Fakes angeführt. Werden unter Deinen personenbezogenen Daten (gewonnen aus Massenscans unsicherer Mailserver) dort strafbare Handlungen ausgeführt, hast Du den Ärger am Hals und bist - zunächst - dafür haftbar. Dies kann erhebliche rechtliche Probleme hervorrufen, zumal LEIDER bisher mit dieser Thematik vor deutschen Gerichten sehr ungeschickt (meist zu Lasten der Geschädigten) umgegangen wird. Von der Länge solcher anhängigen Verfahren (bis zu 5 Jahren) mal ganz abgesehen. Dies kann im Zweifelsfalle fazu führen, daß Deine Kreditwürdigkeit bis zu einer Klärung stark eingeschränkt ist. Selbst die Aufnahme einiger beruflicher Tätigkeiten wäre bis dahin unmöglich. Kleine Ursache, grosse - mögliche - Folgeschäden, die durch Winzigkeiten hervorgerufen wurden.

Hi Kollege (so scheint's ;))
Ein Haken dabei...ich zitiere mal aus der Neufassung des BDSG:
Das einzige Deutsche Unternehmen der von Dir genannten fällt in den ausgenommenen Bereich. Die Franzosen dürften ebenfalls dort hineinpassen, ich bin jetzt allerdings zu faul, die Datenschutzbestimmungen von denen hervorzukramen um zu vergleichen... Bei BiBit hingegen (NL/USA) dürfte es zutreffen. Aber die Mail kam ja nicht von BiBit, und Einfluß auf die Account-Logins haben die wohl auch nicht...
Alles Grauzone :p

CU

Edit: Guter Link für (auch) Privat Interessierte: Datenschutzportal (www.datenschutz-portal.de)

Bei automatisierter Erhebung dieser Daten gelten die Bestimmungen bei jeder Anzahl an Beschäftigten. (diese Angabe ist leider nur für Deutschland gesichert) :). Bei "klein genügenden" Unternehmen ist lediglich die schriftliche Bestellung eines zusätzlichen DSBA nicht erforderlich, es genügt hier die Benennung eines ausreichend qualifizierten Mitarbeiters.

Für Zahlungsverkehr in Deutschland im ELV ist die Firma Bibit Global Payment Services Vertriebsgesellschaft mbH mit Sitz in Deutschland zuständig. Ein anderes Unternehmen wäre nicht in der Lage, dieses vorzunehmen.

Lustig ist übrigens, daß Bibit für die deutsche Gesellschaft eine Domain angibt http://www.bibit.de, deren Inhaber nicht etwa die Bibit GmbH oder die Muttergesellschaft, sondern eine Privatperson aus Warschau ist.


# Bibit Global Payment Services
Vertriebsgesellschaft mbH
Münsterstraße 246
D-40470 Düsseldorf
Deutschland
T: +49 (0)211 687 738-0
F: +49 (0)211 687 738-11

info.de@bibit.com
www.bibit.de


# Bibit Global Payment Services
Vertriebsgesellschaft mbH
Ansbacherstraße 45
D-10777 Berlin
Deutschland
T: +49 (0)30 2101 9708
F: +49 (0)30 2101 9709

info.de@bibit.com
www.bibit.de


Was das Thema nevrax als französischer Anbieter anbelangt. Wenn nicht nur die leistungserbringung in Frankreich stattfände, sondern auch die Vermarktung, wäre alles in trockenen Tüchern. Da jedoch eine gezielte Vermarktung in lokalen Handelsräumen durchgeführt wird, unterwirft sich der Anbieter möglicherweise dejure trotz anderslautender (und ohnehin teilweise sittenwidriger) EULA deutscher Rechtssprechung. Im Übrigen ist der Ort der Leistungserbringung ohnehin definitiv nicht Frankreich, sondern am ehesten United Kingdom.

"Alle von Dir gemachten Vergleiche entsprächen in etwa der Einstellung, sein Haus nicht abzuschliessen, denn ein "richtiger" Dieb könne eh einbrechen, wenn er es wolle."
Muss ich verneinen da ich die "Notwendikeit" angeführt habe.
Ich erachte es als notwendig mein Haus so gut es geht zu "schützen" jedoch sehe ich durch einsicht meiner persönlichen Daten (welche in Ryzom erhoben werden) ein geringes "Gefahrenpotential" daher ist mir dieser Bereich eher unwichtig.
Das andere Menschen diesem Bereich mehr Beachtung / Bedenken entgegenbringen ist für mich schon nachvollziehbar (besonders dank deiner Ausführungen)

Was mich nur gestört hat an der ursprünglichen Ausage hier im Forum war "bei MTV gesehen".
Anderen durch solche Aussagen Inkompetenz nachzusagen finde ich unschön.

hi trieper

hätte mir nicht gedacht das "bei MTV gesehen" dich so geärgert hat, aber kein Problem.

Ich erzähl dir mal eine Geschichte:

ich hab während der OB mal im Forum eine Diskussion zum Thema security in SoR angezettelt und die vorschläge an Vince geschickt.
Es wurde uns versichert es wurden in Bezug auf security sehr viele dinge getan wurden usw. Wenn jedoch soviel dahingehend getan wurde, warum versendet man dann login inkl. passwort in einem mail? Würdest du so etwas tun? Klar, es stehen nicht wirklich schlimme Informationen drauf, nur regen sich sehr viele Menschen darüber auf, wenn ihre Anschrift usw. von Firmen an andere weitergegeben wird, und hier werden logins und passwörter einfach übers netz geschickt die es ermöglichen genau zu solchen infos zu kommen. und die ereignisse der letzten wochen zeigen uns auch, dass trotz aller dinge es doch jemand geschafft hat. und server mit solchen netzanbindungen sind ja wirklich ein gefundenes fressen.

jaja, verschwörungstheorien hin oder her. eine einfache frage: cDc, CCC, HtP?

für mich hatte dies schon einen beigeschmack von inkompetenz. würdest du das versenden von accounts inkl. passwort kompetent nennen??? fehler können passieren, finde ich auch okay so, aber ich würde es begrüßen, wenn dies nicht nochmals auftreten würde.

was wäre, so als beispiel, jemand hätte sich deinen account geschnappt (oder hätte die DB im hintergrund erwischt) und dein char/deine chars wären jetzt weg. würdest du dich darüber aufregen???

okay, text ist sicher verwirrend, aber meine kollegen machen direkt neben mir ne telecon. jesus christ, noch lauter reden geht echt bald nimmer

/edit: nachtrag

ja, es ist fies anderen mit solchen aussagen inkompetenz zuzusprechen, aber für mich hat das wirklich so den anschein. ich begrüße es auch wirklich nicht, das solche e-mails übertragen werden. und dinge wie mein geburtsdatum stehen ja auch nicht unbedingt in einem telefonbuch. wie schon bereits in diesem thread erwähnt: wie sollte ich einem richter klar machen woher diese informationen stammen (werden sie zB für einen fake account verwendet), wenn zB dinge wie mein geburtstag auch mit angegeben werden.

und ja, ich leide schon an paranoia. ist auch klar, aber ich beschäftige mich schon länger mit IT security und bin verfechter der meinung: IT security geht uns alle etwas an.
eine frage die ich gerne habe: wer ist schuld? der, der sein geld offen herumliegen läßt, oder der, der das geld nimmt.

und damit meine frage an dich: würdest du deinen account-name und dein passwort per e-mail verschicken, wenn du weißt, dass du dieses passwort nicht ändern kannst? und vor allem plain text?

würdest du nicht versuchen es wenigstens vor script kiddies zu schützen?

/edit: ende

"würdest du das versenden von accounts inkl. passwort kompetent nennen???"
Ich würde es als üblich bezeichnen da ich z.B. bei einer Anmeldung in einem Forum ebenfall meine Logindaten zusammen in einer Mail erhalte.
Jedoch kann man das nicht direkt vergleichen weil bei einer Forenanmeldung natürlich nicht halb soviele Daten im Umlauf sind. Ich habe diesbezüglich keine Vergleichsmöglichkeit da Ryzom das erste MMORPG ist für welches ich bezahle (Beta`s und Trail Accounts sind ja Gratis =) ).

"was wäre, so als beispiel, jemand hätte sich deinen account geschnappt (oder hätte die DB im hintergrund erwischt) und dein char/deine chars wären jetzt weg. würdest du dich darüber aufregen???"

Ich würde mich wahrscheinlich aufregen und meinen Account kündigen da ich relativ "wenig" spiele und für mich die Zeit bis zu meinem jetzigen Level wertvoll ist. Daher hätte ich den Nerv wharscheinlich nicht nochmal bei 0 anzufangen.

Das Hauptproblem liegt wahrscheinlich wirklich darin das dieses PW nicht geändert werden kann.

Alles nett was meine Vorschreiber(Vorredner) da schreiben. Sie scheinen auch viel Ahnung zu haben. Was mich aber in diesem Medialen Zeitalter ein wenig ankotzt, das die Leute immernoch nicht zwischen Hacker und Cracker unterscheiden können. Diese missbräuchliche Benutzung einer völlig falschen Definition die irgendwelche Leute vorgeben , stinkt zum Himmel *lächel*.
Ich möchte hier die Definition nicht auseinanderfetzen, dazu gibt es genügend seriöse Dokumente...

Die Paranoia die hier einige haben ist auch nicht von schlechten Eltern :) .

Wer fragen zu meinem Text hat, kann mich gerne per PM ausquetschen.

cu
Jenar aka Screener aka Julinar ...

"würdest du das versenden von accounts inkl. passwort kompetent nennen???"
Ich würde es als üblich bezeichnen da ich z.B. bei einer Anmeldung in einem Forum ebenfall meine Logindaten zusammen in einer Mail erhalte.

Da bist Du - zum Glück - im Irrtum. "Üblich" ist lediglich der Versand von veränderbaren Passworten zusammen mit Accountnamen. Auch dies ist immer noch nicht eine optimale Lösung, aber akzeptabel. "Üblich" ist überdies vollkommen indiskutabel, da auch jahrzehntelang "üblich" war, ohne Gurt oder Helm über Deutschlands Strassen zu rasen. "Üblich" war es auch einst, Dieben die Hand abzuschlagen oder Hexen zu verbrennen.


Das Hauptproblem liegt wahrscheinlich wirklich darin das dieses PW nicht geändert werden kann.

Wie ich bereits beschrieb, gingen beide Ansätze. Aber ja, Du hast richtig erkannt - das Hauptproblem liegt darin, daß <<ein nichtveränderbares Passwort unsicher versandt wird>>.

Das Hauptproblem liegt wahrscheinlich wirklich darin das dieses PW nicht geändert werden kann.
Ja. Und darin, dass jemand, sollte er durch diese E-Mail an Login und Passwort kommen, auf deiner Accountseite deine E-Mail-Adresse ändern kann und sich an diese neue E-Mail-Adresse ein neues Passwort schicken lassen kann. Ändert er dann noch dein Ingame-Passwort, bist du aus deinem Ryzom-Account komplett ausgesperrt.

Wenn man auf seiner Account-Seite ein neues Passwort anfordert, werden in der Bestätigungsmail übrigens nicht mehr Login und Passwort zusammen versandt. Ist also vielleicht ganz empfehlenswert, das mal zu machen.

@jenar: wenn du mich meinst, denn ich habe das wort hacker verwendet, dann kann ich dich beruhigen. (PM spare ich mir, denn mir scheint, wir stehen auf der selben seite). du hast aber recht, als eigentlicher verfechter dieses unterschiedes hätte ich mich nicht dem allgemeinem sprachgebrauch, durch medien verzerrt, anpassen sollen. danke das du mich darauf aufmerksam gemacht hast. es ist beim schreiben einfach untergegangen.

ich kenne den unterschied, deshalb der zusatz "malicious". es müßten einfach vieeeel mehr leute "2600" lesen :D

versteh nicht was ihr habt ... wenn ihr irgendwo euer passwort vergesst (forum, spiel, account und sonstwas, dann lasst ihr euch das doch auch per e.mail zusenden, richtig? na, merkt ihr was ?


ôô

versteh nicht was ihr habt ... wenn ihr irgendwo euer passwort vergesst (forum, spiel, account und sonstwas, dann lasst ihr euch das doch auch per e.mail zusenden, richtig? na, merkt ihr was ?


ôô

Aber jeder normaldenkende Mensch ändern dann dieses maschinengeschreibsel in ein sicheres/minder sicheres Passwort, aber es ist veränderbar !

Genau dieser Punkt ist das Hauptproblem bei dieser ganzen Geschichte. Sollen sie halt eine Algorithmus in die Page einbauen der die Sicherheitsmerkmale abprüft. Dann wär das Problem eigentlich schon fast gelöst...

/edit: Hab gerade die Mail aus den Spamfilter gefischt.... Eigentlich kamen die Ryzommails immer in Empfängerordner an und net da... ;-)

aber das kann ich dann sofort ändern, und es kommt keiner an personenbezogene daten ran

mein standpunkt

@ silenced

dann wird das Passwort aber OHNE Accountnamen Geschickt udn zum anderen Handelt es sich dan nicht um ein Passwort mit den man die Persönlichen Daten einsehen kann.
-----------------------------------------------------------
Zum anderen kann man das Passwort NICHT verändern.
Man kann lediglich das Spiel Passwort verändern OHNE das alte Passwort zu kennen. Aber NICHT das Profil Passwort was weit aus wichtiger ist.

Also hier die forderung.
1. Profil Passwort muss veränderbar sein
2. Spielpasswort nur veränderbar wenn man das Alte Passwort kennt
3. Accountname nie zusammen mit dem Passwort in eine Email Schreiben, vor allem da dan auch noch so schön bequem steht wo man damit hin muss.
4. Für mich Persönlich ist es schon Ungenügend das der Accountname = Forenname ist. Vor allem da nirgendwo gewarnt wird das der Accountname öffentlich sichtbar ist. Andere Anbieter zeigen zu genüge wie es geht, zb auswahl eines Bestehenden eigenen Chars als name. Wodurch nicht nur die sicherheit erhöht wird sondern man die Post auch jemand besser zuordnen kann.

@ishan12: gute punkte!

das hatten wir auch schon während der OB vorgeschlagen, aber umgesetzt wurde es leider nicht. vielleicht kann da jemand von den GMs nochmal bei Nevrax anklopfen? und bitte teilt ihnen auch mit, dass account-name und passwort in einem mail eine ungünstige kombination ist (auch wenn hier die meinungen doch sehr unterschiedlich sind). man kann es script kiddies wenigstens ein bischen schwerer machen. und bitte, nur weil andere die selben fehler machen muß man sie noch lange nicht nachmachen.

Also wen ich das jetzt richtig verstanden habe kann sich jeder, der wie auch immer an diese E-Mail gekommen ist sich auf meiner Accountseite einloggen. Dort ändert er dann die dort angegebene E-Mail Adresse in seine eigene um und fordert noch ein neues Accoutpasswort an. Dies wird dann an die geänderte E-Mail gesendet. Damit komme ich schon mal nicht mehr auf meine Account Seite. Dann lässt er sich ein neues Passwort für den Zugang zum Spiel an seine E-Mail senden, den Loginname hat er ja schon. Damit komm ich dann nicht mehr ins Spiel. Zu guter letzt löscht er meinen Char und das wars ??

Also wen ich das jetzt richtig verstanden habe kann sich jeder, der wie auch immer an diese E-Mail gekommen ist sich auf meiner Accountseite einloggen. Dort ändert er dann die dort angegebene E-Mail Adresse in seine eigene um und fordert noch ein neues Accoutpasswort an. Dies wird dann an die geänderte E-Mail gesendet. Damit komme ich schon mal nicht mehr auf meine Account Seite. Dann lässt er sich ein neues Passwort für den Zugang zum Spiel an seine E-Mail senden, den Loginname hat er ja schon. Damit komm ich dann nicht mehr ins Spiel. Zu guter letzt löscht er meinen Char und das wars ??

warum so Kompliziert. Er Logt sich mit dem Mitgeliefert Accountnamen und Accountpasswort unter den in der Mail angegeben Link ein und dort kann er ohne überprüfung des Alten Passwortes dein Spiel passwort direkt ändern.

yup

als worst case szenario

Ja gut, dann kann ich mein Accountpasswort aber wieder ändern, da ich ja immer noch Zugriff auf meine Accountseite hab und den Schaden rückgängig machen. Erst wenn er dieses Passwort ändert hat er mich vollkommen ausgesperrt.

Aber im Grunde bin ich ja dann beruhigt. Dieser "Patch" macht genau das selbe wie allen anderen auch. Genau das Gegenteil von dem was er soll. :D

@intel: dein einwand ist das worst case szenario. hoffen wir nur, dass alle packet sniffer geschlafen haben und das die PCs nie einen unangenehmen virus abbekommen.

ich werde dieses mail ausdrucken und in die SoR-Box räumen, danach wird es gelöscht. und sollte wirklich wer bis zu meiner SoR-Box gelangen, dann hab ich größere sorgen als dieses spiel :)

Ja gut, dann kann ich mein Accountpasswort aber wieder ändern, da ich ja immer noch Zugriff auf meine Accountseite hab und den Schaden rückgängig machen. Erst wenn er dieses Passwort ändert hat er mich vollkommen ausgesperrt.

Aber im Grunde bin ich ja dann beruhigt. Dieser "Patch" macht genau das selbe wie allen anderen auch. Genau das Gegenteil von dem was er soll. :D

Richtig du kannst es ändern, aber das Hilft dir zum einen nicht wenn deien Chars schon gecleant oder gelöscht sind, zum anderne sit das Hauptaugenmerk das das dadurch jeder zugrif auf deine Persönliche daten hat.

Ja gut, dann kann ich mein Accountpasswort aber wieder ändern, da ich ja immer noch Zugriff auf meine Accountseite hab und den Schaden rückgängig machen. Erst wenn er dieses Passwort ändert hat er mich vollkommen ausgesperrt.

Aber im Grunde bin ich ja dann beruhigt. Dieser "Patch" macht genau das selbe wie allen anderen auch. Genau das Gegenteil von dem was er soll. :D

jo kannst rückgängig machen, aber dein char ist dann weg, der andere kann ja bis du es merkst deinen char ingame ausgeplündert haben und dann löschen :(

Da hast du auch wieder recht. Also hilft nur sich ein neues Accountpasswort zuschicken zu lassen in der Hoffnung das auf diese E-Mail nicht auch wieder der Loginname erscheint. Hat das schon jemand gemacht ??

Ja, hab ich. Hab ich hier auch schon geschrieben.
Die neu versendete E-Mail enthält nicht mehr beides.

OK, danke. Dann mach ich das auch.

ihr seid alles boese menschen die immer vom schlimmsten ausgehen :/