Hallo Steffen und andere,
danke für die Anteilnahme, hier der Header:
Received: from [207.142.131.213] (helo=smellie.wikimedia.org) by mx30.web.de with esmtp (WEB.DE 4.103 #184) id 1CgARB-0006Y3-00 for pohl.wolfgang@web.de; Mon, 20 Dec 2004 00:26:05 +0100 Received: from humboldt.wikimedia.org (localhost.localdomain [127.0.0.1]) by smellie.wikimedia.org (8.12.11/8.12.11) with ESMTP id iBJNQ4P5021730 for pohl.wolfgang@web.de; Sun, 19 Dec 2004 23:26:04 GMT Received: (from apache@localhost) by humboldt.wikimedia.org (8.12.11/8.12.11/Submit) id iBJNQ4Lm021729; Sun, 19 Dec 2004 23:26:04 GMT Date: Sun, 19 Dec 2004 23:26:04 GMT Message-Id: 200412192326.iBJNQ4Lm021729@humboldt.wikimedia.org X-Authentication-Warning: humboldt.wikimedia.org: apache set sender to wiki@wikimedia.org using -f To: pohl.wolfgang@web.de Subject: Wikipedia-Passwort MIME-Version: 1.0 Content-type: text/plain; charset=utf-8 From: wiki@wikimedia.org X-Mailer: MediaWiki interuser e-mailer Content-Transfer-Encoding: quoted-printable X-MIME-Autoconverted: from 8bit to quoted-printable by smellie.wikimedia.org id iBJNQ4P5021730 Sender: wiki@wikimedia.org
Viele Grüße, Wolfgang
Received: from [207.142.131.213] (helo=smellie.wikimedia.org)
Ich war wohl nen bißchen paranoid ;) Der Server steht in der Wikipedia Range.
Aber so ein Fake-Mail Angriff ist prinzipiell möglich, vorallem bei der Formulierung der jetzigen Nachricht. "Sie sollten sich jetzt anmelden und Ihr Passwort ändern." Besser wäre: "Wenn sie Ihr altes Passwort vergessen haben können Sie sich jetzt Anmelden und Ihr Passwort ändern, ihr altes Passwort funktioniert bis zur Änderung."
Received: from [207.142.131.213] (helo=smellie.wikimedia.org)
Ich war wohl nen bißchen paranoid ;) Der Server steht in der Wikipedia Range.
Aber so ein Fake-Mail Angriff ist prinzipiell möglich, vorallem bei der Formulierung der jetzigen Nachricht. "Sie sollten sich jetzt anmelden und Ihr Passwort ändern." Besser wäre: "Wenn sie Ihr altes Passwort vergessen haben können Sie sich jetzt anmelden und Ihr Passwort ändern, ihr altes Passwort funktioniert bis zur Änderung."
Ja, das könnte man so oder ähnlich ändern, darüber kann man nachdenken. Wenn man sein eigenes Passwort öfter wechselt, dann ist die Missbrauchgefahr auch kleiner. Und wenn man fremde Aktivitäten unter eigenen Namen vorfinden sollte, dann sofort reagieren - man kann ja in der Wikipedia fast alles wieder korrigieren - im krassen Gegensatz zum wirklichen Leben! :-) il
Aber so ein Fake-Mail Angriff ist prinzipiell möglich, vorallem bei der Formulierung der jetzigen Nachricht. "Sie sollten sich jetzt anmelden und Ihr Passwort ändern."
Besser wäre: "Wenn sie Ihr altes Passwort vergessen haben können Sie sich jetzt Anmelden und Ihr Passwort ändern, ihr altes Passwort funktioniert bis zur Änderung."
Bevor ich (oder jemand anders) das ändert: wie lange gilt denn das neue Passwort? Eine begrenzte Zeit oder bis zur nächsten Passwortänderung?
(Nebenbei: so eine Nachricht habe ich vor geraumer Zeit auch schon mal bekommen.)
Denkbarer Text:
Jemand <etc. ...> Ihr bisheriges und das neu angeforderte Passwort sind beide gültig bis Sie das Passwort das nächste Mal ändern. Wir empfehlen aus Sicherheitsgründen, das Passwort in so einem Fall neu zu setzen.
Der Text ist übrigens hinterlegt in [[MediaWiki:Passwordremindertext]].