Anmeldeproblem (vom 9.1.16): Bitte neues Passwort anfordern

[Christoph]

Hallo IPPF-Freundinnen und -freunde!

Seit dem heutigen frühen Morgen gibt es das Problem, dass man sich nicht mehr einloggen kann. Es betrifft alle Anmeldungen.

Damit Ihr Euch wieder einloggen könnt, müsst Ihr Euch ein neues Passwort anfordern. Das geht über diesen Link:

Neues Passwort anfordern (die Captcha-Grafik ist manchmal nicht leicht zu entziffern, kann aber einfach neu geladen werden)

Hintergrund:

Es sind vorher alle Passwörter gelöscht worden.

Offengestanden wissen wir (noch) nicht, wie es dazu gekommen ist. Infrage kommen ein Software-Fehler, aber wir können nicht ausschließen, dass ein Hack die Ursache ist. Von uns selbst war es jedenfalls niemand. Letzteres ist nicht einfach zu erkennen.

Die Passwörter sind bei uns natürlich nicht klar gespeichert, sondern gehasht. Solltet Ihr (was man ja eh nicht machen sollte), exakt den selben Login, also Benutzername und Passwort, von hier auch woanders benutzern, ändert dort am besten auch zur Sicherheit das Passwort.

Das ist jetzt eine etwas komische Situation, aber wir werden natürlich alles daran setzen, den Vorgang aufzuklären. Dazu dann mehr, wenn es mehr gibt.

 

[csmulo]

Hatte heute Morgen das PW geändert und wurde eben nach neuem Login erneut dazu aufgefordert.
Erst nach erneuter Änderung konnte ich mich einloggen.

 

[RAMler]

Kann man "gehasht" bitte näher definieren?

Softwarefehler bei vBB, welche die PWs in der DB killt, kann ich mir ehrlich gesagt nicht vorstellen. Hoffe mal das Problem ist keines, das von außen kam.

Wenn Daten abflossen, hoffe ich, dass ihr ehrlich darüber kommuniziert.

 

[RAMler]

Ähm ... ganz so unwissend bin ich dann auch nicht.

Vom Hash kann man das Passwort nicht ableiten (Einwegfunktion).

Doch, genau das kann man. Wenn die hier ungesalzen mit md5 gehasht wurden, ist das quasi Klartext in heutigen Zeiten.

Mir ging es natürlich darum, wie gehasht wurde.

 

[andiling]

Ist m.W. zweifach md5 mit Salz in die Richtung

md5(md5($password).$salt);

 

[oldmen]

Wollte mein neues Passwort in ein wunschgemäßes ändern und erhielt dann eine Meldung wie "Ihre E-Mailadresse wurde geperrt" oder so ähnlich.

Scheint z.Zt. ein bischen der Wurm drin zu sein...

 

[MuP]

... Offengestanden wissen wir (noch) nicht, wie es dazu gekommen ist. ...

Aber ihr wisst doch sicherlich, ob HostEurope mit im Boot sitzt ?

 

[oldmen]

Bin gegen Mitternacht rausgeflogen, obwohl "Angemeldet bleiben" angehakt war.


Es ist mir leider auch nicht möglich, das zugesendete Passwort zu ändern.

1. Versuch: Altes Passwort -> Neues Passwort (optional) 2x eingegeben -> Mailadresse (optional) frei -> klappt nicht!

2. Versuch: Altes Passwort -> Neues Passwort (optional) 2x eingegeben -> Mailadresse (optional) die bestehende Mailadresse ist in beiden Felder automatisch eingetragen -> klappt nicht!
Fehlermeldung bei Vers. 2:

(Die bestehende GMX-Mailadresse besteht seit Jahren und soll eigentlich auch nicht geändert werden.)

 

[KunterBunter]

Das liegt sicher daran, dass die Mailadresse zum Zeitpunkt der Registrierung im Forum noch akzeptiert wurde, jetzt aber nicht mehr: [Info] Wegwerfadressen

 

[RAMler]

Laut dem Thread ist gmx aber erlaubt. :-/

Tante EDIT:
Bei mir geht das Wechseln des PWs und auch eine gmx.de Adresse.

 

[powermac1]

Mich hat das Login-Problem jetzt doppelt getroffen.
Bei mir ist es so dass die Mailadresse, die hier hinterlegt ist, nicht mehr existiert. Hab vergessen die neue Adresse einzutragen.
So kann ich natürlich kein neues Passwort anfordern.

Hab mich jetzt komplett neu registrieren müssen.
Weiß nicht ob man die Benutzerkonten zusammen legen kann?
Wobei das jetzt auch nicht so wichtig wäre. Bin eh eher passiv hier unterwegs.


Gruß
Andreas
(ehm. powermac jetzt powermac1)

 

[koyaanisqatsi]

Moins


Oje, ich füchte, dass dies einige User auch passiert ist (geänderte EMailadresse hier nicht eingetragen).
Dann wäre der korrekte Weg wohl einen Mod mal zu fragen ob das wieder gerichtet werden kann.
Dann hättest du deinen alten Usernamen wieder mit aktueller EMail, ohne dass deine Beiträge zweiusrig sind/werden.

 

[koyaanisqatsi]

Ach ja, ich finde, diese Geschichte kann auch als Warnung/Erinnerung gelten, dass das Forum endlich mal auf HTTPS umgestellt wird.
Auch wenn viele "Kleinigkeiten" zu Beachten sind, wie das...

• 5 Zeichen weniger für etwas mehr Sicherheit - HTTPS

 

[Christoph]

Wenn jemand wegen der E-Mail-Adresse scheiter, gerne Mail an ippf@...

"Powermac1" ist nun wieder "Powermac".

https steht bei uns auch schon länger auf dem Plan, funktioniert aber mit dieser Forumversion nicht. Wir müssen also einen Sprung auf 5x (oder was ganz anderes) machen, was wiederum recht viel Aufwand ist, wofür man also Zeit benötigt...

https hätte den Umstand jetzt allerdings nicht verhindert.

 

[Rohrnetzmeister]

Hmm... daher das Problem gestern bei mir.

 

[powermac]

Ja danke das ging schnell.

Und das mit der Umstellung auf HTTPS sollte man doch in Erwägung ziehen.

 

[MuP]

Auf die hier wegen der benutzten Forensoftware bestehende Sicherheits-Lücke hatte ich bereits vor Monaten hingewiesen.
Allerdings nie eine Antwort in dem betreffenden Thread bekommen.

Auch jetzt bekommt man wiederum keine Antwort auf die gestellte Frage, wo denn genau dieses Forum gehostet wird.

 

[csmulo]

Heutige Feststellung.
Erneut neues Passwort generiert um überhaupt hier ins Forum zu kommen.
Ziemlich nervig das Problem.

 

[koyaanisqatsi]

https hätte den Umstand jetzt allerdings nicht verhindert.

...
OK, aber ich seh das jetzt eher in Hinblick auf die vielen Klartextübetragungen der aktuellen Passwortwechsler über HTTP.

Für die Schwierigkeiten der Umstellung hab ich Verständnis.
...und persönliche Sachen, welche absolute Privatssphäre benötigen betreibe, ich nicht im IPPF.

 

[Christoph]

@ MuP:

Wie gesagt, die aktuelle Forumversion unterstützt kein https und ein Update auf 5x ist nicht einfach einen Patch aklicken und fertig.

Das Forum läuft bei Host Europe:

http://www.utrace.de/?query=ip-phone-forum.de