Arcor-Account entsperren

[LPW]

Hallo,

ich kam 1998 oder 1999 zu Arcor, als sie ihre Internetaktivitäten noch unter der Marke "Nexgo" bündelten. Seinerzeit meldete ich mich für Internet by Call an, so daß Entgelte nur bei Einwahl anfielen. Der Internetzugang erfolgte per analogem Modem. Da die Preise schnell und häufig fielen, wechselte ich entsprechend häufig den Call by Call-Provider, bestellte irgendwann T-DSL und nutze Arcor bis heute als Freemailer und Usenet-Provider.

Wenn man beim Login auf der Weboberfläche (http://www.arcor.de/) allerdings fünfmal hintereinander ein falsches Paßwort angibt, wird der Account gesperrt und kann nur durch eine teure Hotline (1,24 ¤/min) wieder entsperrt werden. Nun logge ich mich nur selten in die Weboberfläche ein, weil ich meine Emails seit Jahren problemlos per Software abfrage. Diese speichert Benutzerkennung und Paßwort, so daß Fehleingaben durch mich selbst hier gar nicht in Betracht kommen.
Daher habe ich den starken Verdacht, daß ein böswilliger Mensch diese Fehleingaben auf der Weboberfläche von Arcor absichtlich vornimmt, um mich zu ärgern und mir Kosten zu verursachen. Die Benutzerkennung kann er der betroffenen Mailadresse entnehmen, sie entspricht dem localpart. Natürlich könnte es auch sein, daß bei Arcor etwas schief läuft, aber das Resultat ist immer das Gleiche.

Selbstverständlich habe ich das Arcor schon vor Wochen mitgeteilt, jedoch bis heute keine Antwort erhalten. Von einem anderen Arcor-Kunden weiß ich, daß er denen dieses Problem schon vor Jahren mitgeteilt hat. Zum Glück verwende ich Arcor nicht als Accessprovider, denn sonst wäre ich ja auch ganz leicht offline.

Mit freundlichen Grüßen an die Mitleser hier, aber auch
mit verärgerten und mitleidigen Grüßen an die Technik bei Arcor
LPW

 

[sven@mainz]

Komischerweise ist das seit ca. 1,5 Wochen auch bei mir der Fall, ich wollte in den Webmail-Zugang mich einloggen und es kam die Meldung, daß der Account gesperrt wurde. Nur habe ich als Arcor-Kunde den Vorteil, mir per Post einen neuen Zugang schicken lassen zu können. Allerdings ist da der erste Versuch auch schon negativ ausgefallen, d.h. ich habe seit dieser Zeit keinen Zugriff auf meine Anschlußkonfiguration.

 

[LPW]

Hallo,

folgende Mail habe ich am 1. 8. 2008 an [email protected] geschrieben:

Sehr geehrte Damen und Herren,

bereits zweimal mußte ich heute schon meinen Account bei Ihnen durch
eine (ziemlich teure) Hotline entsperren lassen. Der Grund wurde leider
erst beim Einloggen auf der Weboberfläche in roter Schrift sichtbar:

| Der Login ist fehlgeschlagen.
|
| Ihr Online-Passwort und die Online-Passwortfrage 
| wurde infolge zu vieler Fehlversuche gesperrt 
| (Fehlertyp: 3a). Zur Freischaltung Ihres Accounts 
| setzen Sie sich bitte mit unserer telefonischen 
| Kundenbetreuung in Verbindung. Unsere Kundenbe-
| treuung erreichen Sie unter der Rufnummer: 
| 0900 10 70 200 (1,24 EUR/Min. aus dem deutschen 
| Festnetz).

Nun logge ich mich nur selten auf der Weboberfläche ein, normalerweise
greife ich mit einer Mailsoftware per POP3 und SMTP auf Ihre
Mailserver zu. Die Login-Daten speichert die Software. Nachdem die
Hotline den Account wieder freigeschaltet hat, funktionierte dieser
Zugriff auch sofort wieder; meine Software hat also keine falschen
Login-Daten übermittelt.

Von Ihrer Hotline erfuhr ich auch, daß diese Sperre ganz simpel nach
fünfmaliger Fehleingabe des Paßwortes greift.
Ich möchte nicht hoffen, daß das das letzte Wort und vor allem auch
nicht die letzte Maßnahme zu diesem Problem ist. Denn mit dieser
"Sicherheitsfunktion" kann jeder kinderleicht unbefugt fremde Accounts
stillegen, und das sogar ganz bequem manuell per Weboberfläche. Ein
fremder Account kann auch betroffen sein, wenn sich jemand bei der
Eingabe seiner Benutzerkennung vertippt, den Fehler aber beim Paßwort
vermutet und dessen Eingabe mehrfach falsch wiederholt. Den
Erfahrungen anderer Nutzer zufolge hilft es auch nicht, als localpart
der Mailadresse nur einen von der Benutzerkennung verschiedenen Alias
zu verwenden, weil man sich auch mit den eigenen Aliasen einloggen
kann - mit dem gleichen Problem wie der ursprünglichen
Benutzerkennung.
Ich bin erstaunt, daß ein Telekommunikationsunternehmen eine solch
primitive "Sicherung" überhaupt in Erwägung zieht und implementiert.
Das "Klingelmännchen" aus den Kindertagen war geistig kaum anspruchs-
loser als diese Möglichkeit, den Arcor-Account eines fremden Benutzers
unbefugt zu blockieren. Ihr Produkt ist damit für viele Menschen
praktisch unbrauchbar.

Zunächstmal erscheint es offenkundig nicht sinnvoll, daß man sich mit
Aliasen einloggen kann. Die Beseitigung dieser Möglichkeit hilft
allerdings nur Neukunden und solchen Kunden, deren Benutzerkennung als
Bestandteil der Mailadresse noch nicht bekannt wurde.
Desweiteren kann ein solcher Login nicht einfach nach fünfmaliger
Fehleingabe gesperrt werden. Es empfiehlt sich wohl, erneute Eingabe-
versuche nur nach einer laufend steigenden Zeitspanne zuzulassen. Nach
20- bis 30maliger Fehleingabe könnten Sie den Wechsel der IP-Adresse
voraussetzen. Den kann auch ein Privatkunde leicht bewerkstelligen,
während Scripte stark ausgebremst würden. Vor allem ist der Kreis
derjenigen, die ihre IP-Adresse automatisiert wechseln können, schon
sehr viel kleiner als der Kreis derjenigen, die ein Paßwort fünfmal
hintereinander falsch eingeben können. Die steigende Zeitspanne für
erneute Einloggversuche tut ein Übriges, um Knackscripte auszubremsen.
Nicht zuletzt sollte die Überwachung Ihrer Server Alarm schlagen, wenn
jemand beispielsweise Hunderte von erfolglosen Einlogversuchen
unternimmt.

Ich bitte daher um Stellungnahme und vor allem um Beseitigung dieser
Sicherheitslücke. Desweiteren bitte ich um Angabe der IP-Adressen, von
denen aus die falschen Eingaben meines Paßwortes ausging. Die
Benutzerkennung entnehmen Sie bitte meiner Mailadresse bei Ihnen.

Mit freundlichen Grüßen

Mit freundlichen Grüßen
LPW

 

[sven@mainz]

Nachdem gestern der zweite Brief ankam, konnte ich wieder drauf zugreifen, allerdings auch erst nach dem zweiten Versuch, das Paßwort zu ändern.

Wenn Du ne Antwort bekommen hast, laß es uns bitte wissen.

 

[Frank-DD]

Der POP3-Zugang funktioniert im Fall einer solchen Sperre bei Arcor aber weiterhin, oder?

Ich hatte mir bei GMX mal selbst den Web-Zugang gesperrt. Daraufhin kam von GMX direkt eine Mail mit einem Link zur Entsperrung, für den Fall, dass das Mailprogramm das richtige Passwort noch in sich hat. Und das ging dann auch gleich wieder.

 

[LPW]

Hallo,

Der POP3-Zugang funktioniert im Fall einer solchen Sperre bei Arcor aber weiterhin, oder?

Nein, bei mir geht gar nichts mehr, keine Webmailer-Oberfläche, kein POP3 und auch keine News.

Mit freundlichen Grüßen
LPW

 

[sven@mainz]

Richtig, man kann auf nichts zugreifen, als Arcor-Kunde auch nicht auf die Rechnung und die Konfiguration.

 

[reinhard.m2]

Nur mal so eine Idee ...

Hotline mit Wartemusik, Abfrage der Daten, moment der PC braucht etwas.

Summe 8 Minuten zu fast 10 Euro.

Macht man dies bei 5.000 Kunden pro Monat sind das in einem Jahr über eine halbe Million Gewinn. - Nicht Umsatz ... GEWINN!


PS: Hatte ich auch mal ... sehr sehr selten Login-Namen den auch keine kennt ... und trotzdem gesperrt.