Frage:
Wie kann es sicher sein, 24 Stunden zu warten, um das Passwort erneut zu ändern?
ZN13
2017-04-03 14:36:26 UTC
view on stackexchange narkive permalink

Also habe ich es geschafft, mein Passwort für einen Dienst in das "falsche" Passwort zu ändern. Der Einfachheit halber sagen wir einfach, ich habe es in ein unsicheres Passwort geändert.

Jetzt wollte ich es in ein mehr ändern sicheres Passwort, aber stattdessen habe ich eine nette Fehlermeldung erhalten:

Das eingegebene Passwort entspricht nicht den Mindestsicherheitsanforderungen.

Was in Anbetracht dessen interessant war Dieses neue Passwort verwendete mehr Buchstaben, mehr Zahlen und mehr Sonderzeichen als das letzte Passwort.

Ich habe einige Nachforschungen angestellt und herausgefunden, dass der von mir verwendete Dienst eine Sicherheitsregel hat Hier müssen Sie 24 Stunden warten, bevor Sie das Passwort erneut ändern.

Ich fragte meinen Provider, ob er die Änderung in der akzeptierten Antwort dieses Links vornehmen könne, aber er sagte, er könne es nicht tun und das 24 Stunden Wartezeit war "aus Sicherheitsgründen".

Was zu meiner Frage führt.

Wie kann es sicher sein, 24 Stunden zu warten, um das Passwort erneut zu ändern? Was sind die Vor- und Nachteile, wenn ein Benutzer warten muss, bevor er sein Kennwort erneut ändern kann?

Im Allgemeinen würde ich zustimmen, klingt dumm.Jede Sicherheitsmaßnahme sollte jedoch eine Reaktion auf ein bestimmtes Bedrohungsmodell sein, sodass möglicherweise bestimmte Bedrohungen durch Personen oder Angreifer auftreten, die ihr Kennwort häufiger ändern.Wahrscheinlicher ist, dass sie einen administrativen, nicht automatisierten Aufwand haben, wenn Sie ein Passwort ändern und nicht * wollen *.Noch wahrscheinlicher ist es eine schlechte Praxis, die irgendwie "historisch bewiesen !!!!!" ist.Siehe die Antwort auf https://security.stackexchange.com/questions/139594/why-do-the-large-majority-of-big-organizations-have-known-bad-password-policie/139602#139602
Es ist nichts wert, dass der Dienstanbieter seine Kennwortrichtlinie hätte aktualisieren können, nachdem Sie Ihr ursprüngliches Kennwort festgelegt haben.Ich bin auf vielen Websites registriert, auf denen ich das derzeit verwendete Kennwort nicht mehr verwenden kann, nur weil es 6 Kleinbuchstaben enthält.
"Sie können das Passwort nur einmal alle 24 Stunden ändern" ist ein Geschäft für "Benutzer werden (hoffentlich) unseren Helpdesk nur einmal am Tag belästigen"
Ich denke, es hält jemanden davon ab, es zu ändern, während Sie beim Mittagessen sind, eine Menge schlechter Dinge zu tun und es wieder zu ändern, bevor Sie nicht klüger zurückkehren.
@dandavis Sie sollten Ihre Antwort als vollständige Antwort unten einreichen, damit wir darüber abstimmen können.Dies ist das einzige nicht administrative, nicht benutzerbezogene Szenario, das hier bisher bereitgestellt wurde, und ein sehr plausibles Szenario.
@dandavis: In diesem Szenario müssen sie jedoch Ihr ursprüngliches Passwort kennen, sodass sie es überhaupt nicht ändern müssen.
@user2357112: Ich dachte, es würde verhindern, dass bestimmte Benachrichtigungen / Bestätigungen gesendet werden, aber sie würden wahrscheinlich andere Fehler beim Abmelden sehen. Sie haben also Recht, das ist keine gute Rechtfertigung.
Immer wenn Sie eine Wartezeit von 24 Stunden haben, ist irgendwo im Stapel entweder ein Mainframe oder ein Idiot beteiligt.
In Organisationen, für die ich gearbeitet habe, sollte verhindert werden, dass Personen die Anforderungen an den Kennwortverlauf umgehen.Wenn Sie Ihre letzten 20 Passwörter nicht wiederholen können, setzen die Benutzer ihre Passwörter anscheinend immer wieder zurück und durchlaufen 20 Iterationen. Dann können sie sie auf ihr * bevorzugtes * Passwort zurücksetzen.
@music2myear Die einfache Lösung besteht darin, den Kennwortverlauf zeitbasiert und nicht iterationsbasiert zu gestalten.d.h. "Sie können kein Passwort aus den letzten 6 Monaten wiederverwenden" anstatt "Sie können keines Ihrer letzten 20 Passwörter wiederverwenden".
@dandavis Welchen Vorteil hat ein Angreifer, wenn er das Passwort überhaupt ändert?Wenn ich das ursprüngliche Passwort bereits kenne, habe ich bereits Zugriff.Wenn ich versuche, eine Erkennung zu vermeiden, schadet das Ändern des Passworts meinen Bemühungen (was ist, wenn sie versuchen, sich während eines langweiligen Gesprächs zur Mittagszeit anzumelden?). Der einzige Vorteil, den ich beim Ändern des Passworts sehe, ist, wenn mein böser Plan dies irgendwie tun würdemehr durch Unterbrechung als durch Erkennung geschädigt werden (und die Vermeidung der Erkennung ist nur ein sekundäres Ziel).
Fünf antworten:
Serge Ballesta
2017-04-03 15:10:37 UTC
view on stackexchange narkive permalink

Die Regel, nur eine Kennwortänderung pro Tag zuzulassen, bietet keine Sicherheit. Aber es kommt oft zusätzlich zu einer anderen Regel, die besagt, dass sich das neue Passwort von den n (im Allgemeinen 2 oder 3) vorherigen unterscheiden muss.

Die Regel für eine Änderung pro Tag ist ein Versuch, diese Trivialität zu vermeiden Perversion:

  • Ein Benutzer muss sein Passwort ändern, da es sein Zeitlimit erreicht hat.
  • Er ändert es in ein neues Passwort.
  • Er wiederholt das Ändern Sie sofort die Anzahl der gespeicherten Passwörter minus eins.
  • Er ändert sie sofort wieder in das ursprüngliche => Hurra, immer noch das gleiche Passwort, was eindeutig die erste Regel war, die zu verhindern versuchte ...

Ok, die Regel könnte sein, dass das mehrmalige Ändern des Passworts an einem einzigen Tag nicht die Liste der letzten Passwörter rollt. Leider ist Ersteres in vielen Systemen integriert, während Letzteres nicht ...

Anders gesagt, es ist nur ein Versuch, nicht kooperative Benutzer zu zwingen, ihr Passwort rechtzeitig zu ändern.

Nur eine triviale Wahrscheinlichkeitsanalyse nach Kommentaren, wonach es kein Sicherheitsproblem ist, Benutzern zu erlauben, ihr Passwort niemals zu ändern. Angenommen, Sie haben einen ziemlich ernsthaften Benutzer und das Risiko, dass sein Passwort an einem Tag kompromittiert wird, beträgt 1%. Unter der Annahme von ungefähr 20 Arbeitstagen pro Monat liegt das Risiko einer Gefährdung in einem Quartal bei ungefähr 50% (1- (1- 1/100) ^ 60). Und nach einem Jahr (200 Arbeitstage) erreichen wir 87%! Ok, 1% kann hoch sein und nur bei 0,1% pro Tag beginnen, nur einer von 1000, ziemlich vernachlässigbar, nicht wahr? Aber nach 1 Jahr (200 Arbeitstage) beträgt das Risiko eines Kompromisses fast 20% (18%, um ehrlich zu sein). Wenn es das Passwort für Urlaubsfotos ist, würde es mich nicht interessieren, aber für etwas Wichtigeres ist es wichtig.

Es bedeutet, dass es wichtig ist, Benutzer zu erziehen und sie die Regeln akzeptieren zu lassen, da wir alle wissen, dass Regeln leicht umgangen werden können und wenn ein Benutzer ihnen nicht zustimmt wird nicht kooperativ sein. Das Auffordern von Benutzern, ihr Kennwort regelmäßig zu ändern, ist jedoch eine grundlegende Sicherheitsregel, da Kennwörter kompromittiert werden können, ohne dass der Benutzer dies bemerkt. Die einzige Möglichkeit zur Schadensbegrenzung besteht darin, das (wahrscheinlich kompromittierte) Kennwort zu ändern.

Nur eine kleine Einschränkung: Wenn Benutzer gezwungen werden, Kennwörter ohne Grund zu ändern, wird auch keine Sicherheit hinzugefügt.
@Agent_L: Es wird zugegeben, dass je länger ein Passwort verwendet wird, desto größer ist das Risiko, dass es kompromittiert wird, weil beispielsweise ein Mitarbeiter bereitwillig über Ihre Schulter lauscht oder nicht.Oder geben Sie es in eine falsche Eingabeaufforderung ein und lassen Sie es an eine Anwendung senden und dort protokollieren.Oder...
Nein, tatsächlich sind dies die gleichen Risiken, die seit Tag 0 bestehen. Es gibt nur mehr ** Exposition ** gegenüber demselben Risiko.Andererseits zwingen zu viele Einschränkungen Benutzer dazu, sehr einfache Algorithmen zu erfinden, um sich diese zu merken, wie z. B. Passwort1, Passwort2, Passwort3 oder 1. Januar, 2. Februar, 3. März, sodass die Risiken einer wiederholten Exposition kaum gemindert werden, aber die Komplexität geht verloren.
@AgapwIesu: Der Benutzer kann jederzeit einen neuen trivialen Änderungsalgorithmus erfinden, von dem die Regeln nichts wissen, und er wird dies tun.Richtlinien zum Ablauf von Passwörtern sind nur äußerst schädlich.
Kommentare sind nicht für eine ausführliche Diskussion gedacht.Diese Konversation wurde [in den Chat verschoben] (http://chat.stackexchange.com/rooms/56528/discussion-on-answer-by-serge-ballesta-how-can-waiting-24-hours-to-change-the-pa).
Beachten Sie, dass diese Richtlinie ohne Verzögerung leicht durchgesetzt werden kann: Wenn Sie sich etwa 20 letzte Passwörter merken, ist diese Taktik ziemlich unpraktisch.
@DmitryGrigoryev: Sie müssen sich nicht an sie erinnern, nehmen Sie einfach 20 verschiedene Wörter in Ihre Lieblingszeitung, verwenden Sie jeweils eines und geben Sie dann Ihr ursprüngliches Passwort zurück.Wenn keine Verzögerung vorliegt, sollte dies in wenigen Minuten erfolgen.
@SergeBallesta Wenn der Benutzer hartnäckig genug ist, um sein Passwort 20 Mal hintereinander zurückzusetzen, erscheint es hoffnungslos, ihn zur Verbesserung zu zwingen.
@Agent_L's Punkt scheint nicht kontrovers;Es gibt gute Gründe, eine Kennwortänderung zu erzwingen. Wenn sie jedoch nicht für Ihre Anwendung gelten, tun Sie dies nicht ohne Grund.
@serge-ballesta Ihre Wahrscheinlichkeitsanalyse belegt nicht, dass eine regelmäßige Änderung des Kennworts die Wahrscheinlichkeit einer Gefährdung verringert.
@A.Hersean: Sie haben recht.Es zeigt nur, dass ein Passwort, das sich nicht ändert, kompromittiert wird und dass der Angreifer es seit diesem Moment verwenden kann.Durch Ändern des Kennworts wird nur das Fenster für die Verwendbarkeit des gefährdeten Kennworts durch den Angreifer verkürzt.
Braucht ein Angreifer wirklich 6 Monate, um ein Passwort auszunutzen?Diese "Lösung", Benutzer zum Ändern des Kennworts zu zwingen, löst kein Sicherheitsproblem.
@A.Hersean Das einzige sichere System ist ein System ohne Tastatur, ohne Bildschirm, ohne Netzwerkverbindung, ohne Benutzer und in einem physischen Safe ausgeschaltet.Alles was bleibt ist nur Risikoanalyse und Schadensbegrenzung ...
Die Mathematik in Ihrem Beispiel funktioniert nicht.Da die Wahrscheinlichkeit eines Kompromisses am ersten Tag dieselbe ist wie am 30. Tag, wenn Sie Ihr Passwort jeden Tag ändern, ergibt sich die gleiche Wahrscheinlichkeit eines Kompromisses von 18%.Der einzige Vorteil, den dies hat, ist die Einschränkung des nützlichen Fensters, in dem ein Passwort von den Bösen verwendet werden kann.
@Ukko: Die Mathematik besagt, dass nach einem Jahr das Risiko des Auftretens einer Kennwortkompromittierung nicht mehr vernachlässigbar ist.Es wurde während des Zeitraums nicht geändert, das Risiko einer Kompromittierung des aktuellen Passworts ist dieser Wert und wird weiter zunehmen.Wenn das Passwort jeden Monat geändert wurde, ist das Risiko, dass das aktuelle Passwort kompromittiert wird, viel geringer und fällt nach jedem Zurücksetzen auf 0.Ich mache mir keine Sorgen um kompromittierte Passwörter, da diese nicht mehr verwendet werden.Ich stimme Ihnen in Bezug auf den einzigen Vorteil zu, aber für mich ist dieser Vorteil wichtig.
Eine Site oder ein System kann nicht wissen, welche anderen Kennwörter Sie auf anderen Systemen / Sites verwenden können, und kann daher nicht steuern, ob sie unterschiedlich sind oder nicht.Es wird jedoch empfohlen, unterschiedliche Kennwörter für unterschiedliche (Klassen von) Websites oder Systemen zu verwenden.Passwort-Tresore wie Keepass können hier helfen ...
@Peter: Mein einziges Ziel ist es zu sagen, dass das täglich verwendete, sich nie ändernde Passwort ein kompromittiertes Passwort in nur einigen Monaten oder wenigen Jahren ist.Eine psychologische Analyse, wie der Gelegenheitsbenutzer seine Passwörter verwaltet, geht weit über diese Antwort und meine Fähigkeiten hinaus ... Und nein, meine Passwörter werden nicht auf diese Weise abgeleitet.
@Peter: Ist es jetzt klarer?
@SergeBallesta Es ist klarer.Ich werde jetzt meine Kommentare löschen
Wenn das Risiko, dass sein Passwort an einem Tag kompromittiert wird, 1% beträgt, besteht für das neue Passwort bei der Änderung seines Passworts (vorausgesetzt, das neue Passwort hat eine vergleichbare Entropie) das gleiche Risiko, kompromittiert zu werden, sodass das langfristige Risiko bestehtdas gleiche, als ob sich das Passwort nie geändert hätte.Das einzige, was eine erzwungene Kennwortänderung alle paar Monate erzwingt, ist die Begrenzung der Zeit, die der Angreifer das Kennwort verwenden kann, bevor es geändert wird.Wenn er seinen Schaden schnell anrichten kann, macht es überhaupt keinen praktischen Unterschied.
user371366
2017-04-04 13:05:36 UTC
view on stackexchange narkive permalink

Andere Antworten haben mögliche Sicherheitsvorteile abgedeckt. Ein wesentlicher Nachteil tritt jedoch bei mir auf: Wenn ein Angreifer die Kontrolle über ein Konto übernimmt und das Kennwort ändert, wird ihm ein Zugriffsfenster von mindestens 24 Stunden garantiert, in dem der legitime Benutzer nicht zurückgewinnen kann Zugriff auf ihr Konto und Sperren des Angreifers.

Schlimmer noch: Durch Ändern des Kennworts alle 24 Stunden können sie den Zugriff auf unbestimmte Zeit beibehalten, es sei denn, der Benutzer hat großes Glück mit dem Timing.

Das ist ein bisschen naiv.Wenn der Benutzer feststellt, dass sein Konto gefährdet ist, ruft er einfach den Support an, um das Konto zu sperren.
@DmitryGrigoryev Die Kontaktaufnahme mit dem Kundensupport zum Sperren eines Kontos dauert viel länger als das Ausruhen des Kennworts, um die Kontrolle wiederzugewinnen.Und je nach Anbieter benötigen sie Informationen aus dem Konto, die der Angreifer ändern kann, wodurch es schwieriger wird, die Kontrolle wiederzugewinnen.
@JoeW Wenn ein Kundensupport ein gefährdetes Konto nicht innerhalb von 24 Stunden sperrt, hat dies wenig Sinn.Und wenn der Angreifer Kontoinformationen ändern kann, stellt er sicher, dass ein legitimer Benutzer das Kennwort nicht einfach zurücksetzen und die Kontrolle wiedererlangen kann.
@DmitryGrigoryev Unter 24 Stunden?Warum sollte es länger dauern als ein Anruf, um ein Konto zu sperren?Tatsache ist, dass ein Kunde in der Lage sein sollte, das Passwort zurückzusetzen und die Kontrolle über sein Konto selbstständig und schneller zurückzugewinnen, als sich an den Kundendienst wenden zu müssen, um Hilfe zu erhalten.Es ist nicht gut, am Telefon zu sitzen und 30 Minuten bis einige Stunden zu warten, um die Kontrolle über das Konto wiederzugewinnen, wenn der Angreifer Schaden anrichten kann, dessen Rückgängigmachung viel Zeit und Mühe in Anspruch nehmen kann.
@JoeW Es sollte nicht;das versuche ich dn3s zu sagen.
Unsinn.Wenn der Angreifer das Kennwort ändert, kann der legitime Benutzer in einer Million Jahren keinen eigenen Zugriff mehr erhalten, da er nicht über das neue Kennwort verfügt.Der Angreifer hat in jedem Fall unbegrenzten Zugriff, bis der Administrator das Passwort ändert oder das Konto sperrt.
Oft ist der Kundensupport nur zu bestimmten Zeiten geöffnet.Was passiert, wenn ich feststelle, dass das Konto am Wochenende kompromittiert wurde?Was ist, wenn ich es abends nach der Arbeitszeit entdecke?Manchmal ist es auch nützlich, das Kennwort im Falle eines Kompromisses präventiv zu ändern.Was ist, wenn ich * vermute *, dass das Passwort / Konto möglicherweise kompromittiert wurde, aber nicht sicher ist?Es ist einfach genug, das Passwort für alle Fälle zu ändern, aber ein Anruf bei der Kundenbetreuung (und das Warten am Telefon in einer Warteschlange, um eine lebende Person zu erreichen) ist eine höhere Messlatte.
@DmitryGrigoryev Eine Sache, auf die ich neugierig sein würde, ist, ob selbst Support-Mitarbeiter auf niedriger Ebene in der Lage wären, das Fenster zu überschreiben.Der Wortlaut der Frage und die verknüpfte Antwort deuten darauf hin, dass möglicherweise eine gewisse Eskalation erforderlich ist, bevor Sie jemanden erreichen, der dazu befugt ist.
Für mich erinnern mich die Kommentare zum Anrufen des Supports daran, dass es keine einzige Antwort gibt und dass das von mir beschriebene Szenario nicht universell anwendbar ist.Einige Organisationen verfügen über eine kleine Nutzerbasis oder große Supportbudgets, wobei ein Supportanruf und die Möglichkeit, den Verstoß zu dokumentieren, bevorzugt werden können.Andere müssen sich auf die Reduzierung der Stützlast konzentrieren.Einige Bedrohungsmodelle betrachten Verstöße als außergewöhnlich und betonen die Prävention, andere betrachten sie als Routine und betonen die schnelle Wiederherstellung. Aber standardmäßig ist meine Bauchreaktion gegen Richtlinien, die Benutzer davon abhalten, ihre eigenen Konten zu schützen.
@iamnotmaynard Es sei denn, neben dem Login befindet sich eine Schaltfläche "Passwort vergessen".Das zeigt nur, wie Sicherheitsmaßnahmen miteinander interagieren.
@Peter Richtig, es sei denn, der Angreifer ist sich dessen bewusst und hat die E-Mail- und Sicherheitsfragen geändert (was ich erwarten würde, wenn der Angreifer überhaupt mit dem System vertraut ist, in das er eingebrochen ist).
@iamnotmaynard das ist wahr, vorausgesetzt natürlich, dass die Seite das Ändern von E-Mails erlaubt, was nicht alle tun!(die meisten jedoch)
supercat
2017-04-04 02:10:02 UTC
view on stackexchange narkive permalink

Wenn auf einem verteilten System so etwas wie ein Kennwort geändert wird, kann es eine Weile dauern, bis die Änderung wirksam wird. Wenn mehrere Änderungsanforderungen gleichzeitig anstehen könnten, wäre eine zusätzliche Codekomplexität erforderlich, um sicherzustellen, dass sie alle korrekt aufgelöst werden, insbesondere wenn die Anforderungen Informationen über das alte und das neue Kennwort enthalten müssen [nicht unbedingt beide, aber möglicherweise nur einige Form von "Delta"]. Solche Probleme wären nicht unüberwindbar, aber wenn es akzeptabel wäre, zu verlangen, dass eine Kennwortänderung die Möglichkeit hat, durch das System zu sickern, bevor ein anderes ausgegeben werden kann, könnte dies eine erhebliche Komplexität vermeiden.

Ich würde kein modernes verteiltes System entschuldigen, 24 Stunden für die Replikation zu benötigen. Es gibt jedoch viele ältere Anwendungen in der Finanzbranche, die Mainframes als Backends verwenden und ihre Stapelverarbeitung über Nacht durchführen.Da wir nicht vorhersagen können, wann Ihre Transaktion verarbeitet wurde, bitten wir nur um 24, um auf der sicheren Seite zu sein.
@Johnny: Selbst unter Berücksichtigung älterer Systeme würde ich nicht erwarten, dass Kennwortaktualisierungen normalerweise fast 24 Stunden dauern, aber einige Datenbankserver werden manchmal wegen Wartung, Systemaktualisierungen oder Fehlerbehebung heruntergefahren, und Banken möchten sie möglicherweise nicht veröffentlichenwenn das passieren wird.
Jibin Philipose
2017-04-03 19:54:29 UTC
view on stackexchange narkive permalink

Ich denke, es ist korrekt definiert, als sie sagten, es sei aus Sicherheitsgründen.

Wenn sich jemand in Ihr Konto gehackt hat, sollten Sie eine Benachrichtigung erhalten, dass Sie sich von einem neuen Gerät oder Arbeitsplatz aus angemeldet haben erkannt. In diesem Sinne hängt diese Sicherheitsfunktion vollständig von der Unterstützung ab, die Ihr Problem verfolgt. Wenn diese schnell genug reagiert, erhalten Sie im Falle eines Hacks ein neues geändertes Kennwort gemäß den Sicherheitsrichtlinien.

Wir können jedoch auch davon ausgehen, dass dies nicht die beste Richtlinie ist. Daher sollten sie weitere Einschränkungen auferlegen, wenn sie eine Mindestzeit von 24 Stunden eingehalten haben, wenn Sie Ihr Kennwort erneut ändern möchten.

Aber das OP bat den Support, das Passwort zu ändern, und sie würden es nicht tun.
Es besteht eine sehr seltene Chance, dass die Unterstützung verweigert wird, um dem OP im Falle eines Hacks zu helfen.Wenn die Authentifizierung korrekt durchgeführt wurde, gab es keine Gründe, OP-Anfragen abzulehnen, da diese Sicherheitsfragen und die Telefonnummer registriert sind und in einigen Fällen auch Fingerabdrücke. Deshalb habe ich auch erwähnt, dass es eine noch strengere Richtlinie geben sollte, die all diese Einschränkungen in Begriffen definierteiner Notsituation wie das Hacken eines Kontos.
@GamerD: Wenn für ein Konto ein vom Kennwort getrenntes Flag "Zugriff blockiert" vorhanden ist, gelten die Schwierigkeiten beim Ausgeben einer Kennwortänderungsanforderung während einer anderen nicht für Kontosperrungsanforderungen, es sei denn, eine andere Anforderung zum Sperren oder Entsperren von Konten wurde ausgeführt.
Sie haben absolut Recht und es bezieht sich auf die Echtzeitalgorithmen, die die modernen Datenbanken auferlegen. Wie ich bereits sagte, sind Richtlinien eine wichtige Sache, die definiert werden muss. In diesem Fall muss der Administrator dieser Datenbank eingreifen, oder der technische Support leitet die einfach weiterWenn Sie den Administrator fragen, wird er wiederum eine praktikable Lösung finden, die es dem Hacker mit Sicherheit nicht erlaubt, Zugriffsflags oder andere Lücken zu manipulieren, die der Hacker möglicherweise ausnutzen könnte.
Ludwig Behm
2017-04-05 11:51:44 UTC
view on stackexchange narkive permalink

Fügen wir ein echtes Beispiel hinzu, warum dies eine gute Sicherheitsverbesserung sein kann.

Sagen wir, Ihr Mitarbeiter oder wer auch immer von Ihrem Webmailer-Passwort erfahren hat (sagen wir GMail vor 7 Jahren, ohne 2 Faktoren). Der Angreifer bekommt Zugriff auf das Webinterface, um Ihr Passwort zu ändern (stellen Sie sich einige Gründe vor) und über POP3 in Ihre E-Mails. Da Google ein riesiges Netzwerk ist, dauert es einige Zeit, bis alte Passwörter für den POP3-Zugriff deaktiviert sind. Dies gibt dem Angreifer die Möglichkeit, Ihr Passwort immer wieder zurückzusetzen. Selbst wenn Sie mit der Rücksetzfunktion wieder Zugriff erhalten und sich mit Ihrem Postfachzugriff auf Ihrem Smartphone oder einer Rücksetzstrategie per SMS auf Ihr Smartphone validieren, kann der Angreifer (der weiterhin über POP3 mit den alten oder eigenen Passwörtern auf Ihre Mailbox zugreifen kann) Setzen Sie Ihr Passwort zurück.

Bei einem solchen Angriff kann das Opfer Sie nicht für immer aussperren, da der Angreifer eine Rücksetzstrategie wie eine SMS-Nummer nicht entfernen kann - aber es wird mit Sicherheit ein sehr hohes Risiko angegeben.

Dieser Angriffsvektor kann leicht verhindert werden, wenn Kennwortänderungen nur alle 24 Stunden möglich sind.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...