Jetzt bin ich auch pissed off.

Letzte Woche hieß es noch kein Hack. Diese Art von Informationspolitik ist ja wohl das letzte. Danke OTR.DG.

Danke für den Hinweis. Aller aller allerspätestens hier hätte mehr passieren müssen, als einfaches abbügeln:
http://www.otrforum.com/showthread.php?72951-Aufforderung-das-OTR-Passwort-zu-%E4ndern

Aber warum soll das denn jetzt bei jedem Öffnen der Seite erfolgen?Tsja, wenn man zum Beispiel das alte Passwort erneut als neues Passwort einträgt, oder unerlaubte Sonderzeichen verwendet oder mehr als die erlaubte Zeichenanzahl einträgt oder oder oder, dann wird man auch mehr als einmal gefragt ;).

MfG
MCMUPPET

Also ich musste jetzt auch schon mehrmals innerhalb ein paar tagen das Passwort ändern.

Beim 1. mal da das PW länger nicht geändert wurde.
Heute würde mir aber dabei eine Meldung angezeigt, dass OTR gehackt wurde.

So kurzfristig hinter einander fand ich auch seltsam.

Tsja, wenn man zum Beispiel das alte Passwort erneut als neues Passwort einträgt, oder unerlaubte Sonderzeichen verwendet oder mehr als die erlaubte Zeichenanzahl einträgt oder oder oder, dann wird man auch mehr als einmal gefragt ;).

MfG
MCMUPPET

Wie kann es dann sein, dass ich nur einmal gebeten wurde, mein Passwort zu ändern, obwohl ich das selbe Passwort dafür genutzt habe?

Ziemlich armselig, was OTR derzeit hier betreibt.

Tsja, wenn man zum Beispiel das alte Passwort erneut als neues Passwort einträgt, oder unerlaubte Sonderzeichen verwendet oder mehr als die erlaubte Zeichenanzahl einträgt oder oder oder, dann wird man auch mehr als einmal gefragt ;).

MfG
MCMUPPET

Ich habe nicht das alte PW als neues genommen und auch nicht oder, oder, oder und musste es trotzdem ändern. Eben mit dem Hinweis das OTR gehackt wurde. Mal klare Worte von OTR, spät aber immerhin....

Wie kann es dann sein, dass ich nur einmal gebeten wurde, mein Passwort zu ändern, obwohl ich das selbe Passwort dafür genutzt habe?
Ziemlich armselig, was OTR derzeit hier betreibt.Keine Ahnung. Ich habe hier meine gerade gemachte Erfahrung als User geschildert und keine OTR Bekanntgabe verfasst ;). Aber wenn Du Informationen als armselig ansiehst,... *obwohl, das kenne ich schon aus anderen Beiträgen von Dir. IGN-Listeneintrag... fertig.

MfG
MCMUPPET

Ich habe nicht das alte PW als neues genommen und auch nicht oder, oder, oder und musste es trotzdem ändern. Eben mit dem Hinweis das OTR gehackt wurde. Mal klare Worte von OTR, spät aber immerhin....Bei mir hat es erst nach Beachtung der oben genannten Eckpunkte funktioniert. Zufall?

MfG
MCMUPPET

Um die Änderung geht es mir eher weniger, da es eh zufällig generierte PW sind, spielt es keine große Rolle.
Was allerdings eine Rolle spielt ist Datensicherheit, Ehrlichkeit seitens OTR falls mal etwas schief läuft.

Ob dies nun hier bei der 1. Änderung mal der Fall war ...

... und ich gehe davon aus, dass wenn ein neues Passwort bei einer Änderung akzeptiert wird und danach auch zum einloggen benutzt werden kann, dieses gültig ist.

Bei mir hat es erst nach Beachtung der oben genannten Eckpunkte funktioniert. Zufall?

MfG
MCMUPPET

Bei mir hat es mit Beachtung auch erst beim 2. Mal funktioniert. Es gab 2 mal eine Aufforderungen zum PW ändern, erst die 2. enthielt Infos für den Grund. Reinfall? Zufall? Egal, die Tür ist jetzt zu und die Bösen draußen.

Beim PW-Hack die User eine Woche nicht in Kenntnis zu setzen, da hört der Spaß dann auf.

So gruß- wie humorlos
WOB

...und ganz toll ist, dass jetzt mit dem neuen PW der Decoder entweder abstürzt oder aber tatsächlich die Meldung bringt, das PW wäre falsch (ja, ich habe das PW auch im Decoder geändert und ja, ich kann ausschließen, dass ich es falsch eingegeben habe). Trage ich im Decoder bewusst ein falsches PW ein, dann meckert er das falsche PW prompt an. ==> ganz ganz großes Kino.

Also mir liegt eine Meldung vor wo ein User auf eine Grenze von 20 Zeichen hinweist.

MfG
MCMUPPET

Hallo MCMUPPET habe erneut geändert,nur jedes mal erscheint das Passwort stimmt nicht,klicke ich da auf Anmelden bin ich eingeglogt,aber ich kann nicht dekodieren,das PS habe ich geändert und nun.

Wie man unschwer an der Nummerierung im Titel erkennen kann, ist das bereits der 4. Thread zu diesem Thema, weil alle anderen Threads zuvor kommentarlos geschlossen oder gelöscht wurden.
Leute, das kann doch wohl nicht euer Ernst sein?!

Da kann ich dir nur zustimmen, sowohl als User als auch als Mod. :-|


Jetzt bin ich auch pissed off.

+1 :(


Tsja, wenn man zum Beispiel das alte Passwort erneut als neues Passwort einträgt, oder unerlaubte Sonderzeichen verwendet oder mehr als die erlaubte Zeichenanzahl einträgt oder oder oder, dann wird man auch mehr als einmal gefragt ;).

In diesem Punkt muß ich dir leider widersprechen. Gestern oder vorgestern habe ich nach Aufforderung mein Passwort nicht nur aktualisiert, sondern geändert. Die Sonderzeichenproblematik ist mir bekannt, die Passwortlänge ist <20 Zeichen und das Passwort hatte ich vorher noch nicht benutzt. Heute soll ich das Passwort nun erneut ändern... :thinking:

@frido:

Die Sonderzeichen funktionieren bei OTR schon seit Jahren nicht. Das hängt wohl damit zusammen, dass der Decoder dann die Arbeit verweigert.

@hvollo:

Hatte ein Sonderzeichen eingebaut und konnte auch dekodieren.
Sind anscheinend nur bestimmte die nicht funktionieren.

In diesem Punkt muß ich dir leider widersprechen. Gestern oder vorgestern habe ich nach Aufforderung mein Passwort nicht nur aktualisiert, sondern geändert. Die Sonderzeichenproblematik ist mir bekannt, die Passwortlänge ist <20 Zeichen und das Passwort hatte ich vorher noch nicht benutzt. Heute soll ich das Passwort nun erneut ändern... :thinking:Leid muss es Dir nicht tun. Kann ja nur das schreiben was bei mir funktioniert hat und worüber ich in Kenntnis gesetzt wurde (Usermeldungen). Mag ja alles nicht zutreffen, aber besser ein Austausch als Rätselraten. Aber der Drops in diesem Thread ist eh für mich gelutscht.

lg
MCMUPPET

@frido:

$ funktioniert definitiv nicht. ;)

Ich spare es mir zu sagen, wie ich diese Aktion finde... :-|

Vorgestern habe ich mein altes Passwort bestätigt, gestern war ich nicht auf der Seite.

Heute kann ich mich nicht einloggen und werde zu einer erneuten Änderung aufgefordert.

Dekodieren funktioniert aber trotzdem. Das verstehe, wer will... :thinking:

Zwischenzeitlich läuft nichts mehr,auf FF hab ich mehr als 1 Stunde gewartet und neu versucht,eine reine Katastrophe,derzeit versuche ich auf die Chatbox zu kommen,dass ist einfach unmöglich,dann hab ich über Safarie versucht,nichts geht.
Bei FF steht unten :warten auf onlinetvrecorder oder auch verbunden mit onlinetvrecorder,nur ein Aufbau der Site erfolgt nicht.

Als braver User habe ich natürlich mein PW sofort geändert (ist ja nicht so wild), aber anders als @sinistra kann ich nun nicht mehr decodieren weil bei der Verifikation das neue PW nicht erkannt wird – finde ich jetzt auch etwas arm…

Das war ja eigentlich klar. Also hätte man es auch gleich so kommunizieren können.
Aber das mehrfache Ändern ist wiederum unverständlich. Wurde OTR denn mehrfach gehackt, dass das bereits erneuerte Passwort wieder in falsche Hände gefallen ist? Oder hat man das nur zur Sicherheit gemacht, weil einige User einfach das alte Passwort eingegeben haben?
Kleiner Tipp: die neuen Passwörter kann man normalerweise auch serverseitig überprüfen und ggf. zurückweisen, das macht jede ernstzunehmende Firma so.

Als braver User habe ich natürlich mein PW sofort geändert (ist ja nicht so wild), aber anders als @sinistra kann ich nun nicht mehr decodieren weil bei der Verifikation das neue PW nicht erkannt wird – finde ich jetzt auch etwas arm…

habs eben extra getestet

neues PW, einmal ausgeloggt u neu eingeloggt

PW im Dekoder aktualisiert

Datei dekodiert- alles Roger !

Ich musste heute zum zweiten mal mein Passwort ändern.
Beim ersten mal ohne Sonderzeichen, hat funktioniert, auch im Dekoder.
Heute wurde jede Änderung ohne Sonderzeichen zurückgewiesen!?
Neue Passwort mit 50% Satzzeichen und 5ß% Sonderzeichen.
Wird won OTR akzeptiert und der Dekoder funktioniert damit auch!?

Gruß Otti

Tsja, wenn man zum Beispiel das alte Passwort erneut als neues Passwort einträgt, oder unerlaubte Sonderzeichen verwendet oder mehr als die erlaubte Zeichenanzahl einträgt oder oder oder, dann wird man auch mehr als einmal gefragt ;).

MfG
MCMUPPET

Das man auf der Seite wo man sein Passwort ändern soll aber mal einfach klar und deutlich angibt was die Beschränkungen bezüglich Sonderzeichen und Längens sind ist wohl zu viel verlangt?
Leute, da kann doch nicht so schwer sein, stattdessen muß man sich durch Threads wühlen, die beim nächsten Forenbesuch aber wieder nach /dev/null verschoben wurden. wtf? Ihr würdet euch einen Haufen blöder Postings hier ersparen wenn ihr endlich mal eine klare und einfache Informationspolitik anfangt.

Ich hab schon am WE mein PW geändert, und es hatte Sonderzeichen drin, das Einloggen klappte, dekodieren auch. Nun komme ich heute, logge mich mit dem neuen ein und werde danach aber gleich wieder zu der PW-Änderungsseite weitergeleitet? Das ist doch Unfug.

@hvollo:

Kann sein, das hatte ich auch nicht benutzt.
Es gibt ja noch mehr, gell? ;)

Hallo kmh,
ich frage mich bloss, warum Du mit so einem dubiosen Unternehmen von den Seychellen Kontakt hast. Brich doch einfach den Kontakt ab, dann hast Du Ruhe. Das ist doch wohl die einfachste Übung.:cool:
Gruss von Manfredo

Das hilft mir nicht wenn meine E-Mail-Adresse schon abgegriffen wurde ;) Da rappelts jetzt so richtig im Postfach :D

Unter FF 36.0 kann man jetzt gar nicht mehr das Passwort ändern!

Diese Aussage ist definitiv falsch. Ich habe hier Firefox 36.0 und das Passwort geändert. Also bitte, nicht noch für mehr Verwirrung sorgen als ohnehin schon herrscht :thinking:.

@ ColonelBlimp:

Ich habe vorgestern (nach Aufforderung) mein PW unter FF36.0 geändert.

Maske:


Altes Passwort

Neues Passwort

Neues Passwort wiederholen

Gab keine Probleme. Vllt. hast Du ein Addon welches Schwierigkeiten macht?

Das hilft mir nicht wenn meine E-Mail-Adresse schon abgegriffen wurde ;) Da rappelts jetzt so richtig im Postfach :D

Phantasie oder Wunschdenken ?

ich habe auf meiner OTR Addy nicht eine einzige Spam os. Pishingmail oder sonstiges erhalten

@ ColonelBlimp:

Ich habe vorgestern (nach Aufforderung) mein PW unter FF36.0 geändert.

Maske:
Altes Passwort

Neues Passwort

Neues Passwort wiederholen

Interessant, bei Opera wurde das alte Passwort gar nicht abgefragt.

Phantasie oder Wunschdenken ?

ich habe auf meiner OTR Addy nicht eine einzige Spam os. Pishingmail oder sonstiges erhalten

Du bist aber auch nicht schlecht, welche Zeitmaschiene benutzt du denn? :)

Nun hat man den (erneuten) HackWas habe ich verpasst? Mehrfach? Wann? Wo ? Wie? Was?

MfG
MCMUPPET

20 Zeichen finde ich ausreichend für einen Dienst, wo nur wenig Schaden enstehen kann.
Groß, Klein, Zahlen, einige wenige Sonderzeichen.
Mein Firmenaccount läßt deutlich weniger Spielraum und dort könnte ein Hacker verdammt viel anstellen. Viel wichtiger ist doch das regelmäßige Ändern.

Mehrfache Änderungsanforderungen heißt für mich auch, dass die Wahrscheinlichkeit eines mehrfachen Hacks recht hoch ist oder dass man alternativ ewig gebraucht hat, um es zu bemerken.

Was die Kommunikation angeht, ist das Ganze aber aus anderen Gründen echt armselig:

1. Hätte ich gerne gewusst wie das Passwort bei OTR gehashed (MD5, SHA1, etc.) in der DB abgelegt wird, das wäre schonmal gut.
2. Hätte ich gerne gewusst ob das Passwort bei OTR zuerst mit dem Benutzernamen und sonstwas vor dem Hashen verknüpft wird, dann wäre der Hash für einen Angreifer praktisch wertlos und ich könnte besser schlafen, das wäre besser.
3. Hätte ich, wenn ich eine Webseite gekapert hätte exakt so eine Schmalspur-Meldung abgesetzt um an möglicht viele ungehashte Email+Passwort-Kombinationen zu kommen. Eventuell mal drüber Nachdenken wie die Kommunikation hier verbessert werden kann.
4. Bin ich etwas angefressen, da ich etwa 200 Passwörter ändern durfte (hatte nach dem Ändern vergessen welches das alte Passwort war und hab auf allen Webseiten dann sämtliche geändert, das ist aber mein Problem...).

4. Bin ich etwas angefressen, da ich etwa 200 Passwörter ändern durfte (hatte nach dem Ändern vergessen welches das alte Passwort war und hab auf allen Webseiten dann sämtliche geändert, das ist aber mein Problem...).
Benutzt Du auf 200 Webseiten dasselbe Passwort ?

hmm.. habe auch per Mail die Aufforderung bekommen und das Passwort geändert.

Erschreckend, wie von den Betreibern hier die Passwortsicherheit eingestuft wird!!!

Es ist NICHT möglich Sonderzeichen im Passwort anzugeben!!!!!!!!!

Soviel mal zum Überlegen.

3. Hätte ich, wenn ich eine Webseite gekapert hätte exakt so eine Schmalspur-Meldung abgesetzt um an möglicht viele ungehashte Email+Passwort-Kombinationen zu kommen. Eventuell mal drüber Nachdenken wie die Kommunikation hier verbessert werden kann.


Kam mir noch gar nicht in den Sinn, sollten sich die Verantwortlichen aber mal ernsthaft zu Herzen nehmen.

MCMUPPET gab es gestern erneut einen Hack oder ist die News wegen der laufenden Diskussion?
Die Frage wurde weiter oben schon einmal gestellt.

LG
Rohen

Bei Zitaten unbedingt eine Quellenangabe hinterlegen!

MfG
MCMUPPET

... im Forum nur ein bestenfalls genervter resp. lustloser Mod, der die fehlenden offiziellen Infos scheinbar auch nicht liefern kann und an Erhellung kein Interesse hat.

Da ich gemeint sein könnte, möchte ich dazu was sagen: Ich bin genervt, ich verliere die Lust, aber gerade WEIL ich an Erhellung ein Interesse habe. Was soll ich denn bitteschön tun, Informationen erfinden?

Auch ich habe von dem Hack erst durch den Blogeintrag auf Stadt-Bremerhaven erfahren und wenn ich hier im vierten Thread darüber lese, kommt es mir echt hoch.

Nach einem solchen Hack Hack gibt es vier grundlegende Faktoren die im Umgang damit zu beachten sind:
Schnelligkeit (Kurz und knapp: NEIN)
Transparanz (Kennt bis jetzt jemand den Umfang, oder kann sagen wie die Passwörter gespeichert waren und jetzt werden? Sind alle oder nur ein Teil entwendet worden? Wurde die Lücke vielleicht bereits schon über einen längere Zeitraum ausgenutzt? Fragen über Fragen)
Verbesserungen (Wo ist das Versprechen, dass in Zukunft etwas spezifisch besser gemacht wird?)
Entschädigung (fakultativ)

Das hätte dann in groben Zügen so aussehen können:

Liebe User,

leider haben wir gestern feststellen müssen, dass unser Dienst das Opfer eines großangelegten Hacks geworden ist.

Dabei ist unsere Komplette Datenbank mit den Benutzernamen und verschlüsselten Kennwörtern kopiert und entwendet worden. Eure Bezahldaten (Kreditkartennummern etc.) lagen auf einem externen Server und sind davon nicht betroffen. Die für den Hack ausgenutzte Sicherheitslücke wurde innerhalb von 24 Stunden nach Bekanntwerden identifiziert und geschlossen.

Auch wenn wir uns sicher sind, dass eure Passwörter durch die gewählte Art der Verschlüsselung nicht zu entschlüsseln sind, bitten wir euch über diesen Link ein neues Passwort anzulegen. Alternativ werdet ihr beim nächsten Login dazu aufgefordert.

Selbstverständlich arbeiten wir weiter an der Verbesserung der Sicherheit unseres Services. Dazu haben wir die Verschlüsselung eurer Daten noch einmal verbessert und werden wir in den nächsten Woche ein Sicherheits-Audit durchführen lassen.

Wir entschuldigen uns vielmals für den entstandenen Vertrauensbruch und hoffen, dass ihr auch in Zukunft weiter unseren Service nutzen werdet.

Mit freundlichen Grüßen

OTR-Team

ps: Für alle Benutzer, die sich dazu entscheiden unseren Service weiter zu nutzen wird es in naher Zukunft natürlich auch noch eine kleine Entschädigung geben.

Wäre das so schwer gewesen?

Wenn jetzt jemand schreibt, dass er die Kommunikation und das Vorgehen lächerlich findet, ist das sicherlich nicht sehr eloquent ausgedrückt, trifft den Nagel aber doch ziemlich auf den Kopf.

Speziell die Haltung von MCMUPPET in diesem Forum ist nicht förderlich und sollte in keinster Weise die Meinung von OTR wiederspiegeln. Demut und lösungsorientiertes Handeln wäre hier der Weg zu Ziel und nicht sein Verhalten. Leichtsinnige Falschaussagen z.B. darüber welchem Unternehmen ein Hack zusätzliche Kunden beschert hätte machen es nur noch schlimmer. Entweder weiß man wovon man redet oder nicht. Dieter Nuhr hat das mal ganz gut auf den Punkt gebracht ;)

ps: Schau doch mal, wie viele neue Benutzer LastPass durch den guten Umgang mit deren Hack bekommen hat. Da fällste glatt vom Stuhl.

@PeGu: Nein, Du warst damit nicht gemeint. Ich hatte beim Überfliegen nur Einträge von McMuppet bemerkt.Wenn das auf mich gemünzt gewesen ist, bitte ich darum, diese falschen Unterstellungen sofort abzustellen und ab sofort zu unterlassen.

MfG
MCMUPPET

Der PW Klau, gelesen hab ich es bei der c't, hat mich nun auch ins Forum getrieben.
Ich hab folgendes Problem, obwohl ich jetzt nicht das erste Mal ein PW ändere:

Wie ändere ich bei OTR das PW?
Bei mir zeigt er unter Einstellungen beim PW nur ----- an, ich find aber keinen Schalter wo ich was ändern kann
Bitte um dringende Hilfe und Rückantwort :(

Gr€€tz Biosman

PS: Wenn ma schon dabei sind, ich kann kein Avatar hochladen, ist wohl für Normaluser nicht frei geschaltet, habe .gif und .png >64kb probiert

@callista
Thx, das habe ich rechts übersehen in der Hektik :)
Was ist nun mit dem Avatarbild hier auf dem Board?

@Biosman
Avatar: das Zauberwort heißt: Benutzerkontrollzentrum (Menue ganz oben rechts). Dort kannst du dein Profilbild hochladen oder ein Avatar anlegen. Du siehst: alles da. Bloss manchmal gut versteckt :D

Entgegen des Statements zum O.G. Thema vom Administrators von heute Nachmittag habe ich keine Mailaufforderung erhalten, mein Passwort zu ändern. Ja, den Spamordner habe ich auch durchsucht... Ich gehe mal davon aus, dass ich nicht der Einzige bin...

Ich werde mein Passwort jedenfalls ändern.

Was einige Moderatoren angeht, ich nenne jetzt niemanden beim Namen, so erwarte ich von ihnen die selbe Einhaltung der Nettiquette, so wie es auch den Usern angeraten wird.

Hallo Mr_Maniac,

inzwischen hat sich OTR hier im Forum ausführlich geäußert: http://otrforum.com/showthread.php?72982

Kurzfassung: Hack im Februar; Passwörter sind im Klartext gespeichert wegen Decodersoftware.

Warum nicht jeder User die angesprochene Mail bekommen hat, kann ich leider auch nicht beantworten. :(

Kann die Kommentare von Heiko_65 und Mr_Maniac nur bestätigen: auch bei mir ist keine E-mail bezüglich Passwortänderung angekommen. Genau das war ja mein erster Kritikpunkt: dass man aus heiterem Himmel zur Passwortänderung genötigt wird, alldieweil ohne diese Änderung keine Nutzung der OTR-Seite mehr möglich war. Und das ohne jegliche Info zum Grund. Das kam ja erst später, bröckchenweise, wie üblich.
Dass erst Tage (!) später ein Grund - nämlich der Hack - angegeben wird und zwischenzeitlich erneut - wieder ohne Angabe von Gründen - zur Passwortänderung aufgefordert wurde, spricht für sich.
Auch die letzte Meldung in den News, diesmal verbunden mit der Empfehlung, das Passwort zu ändern war leider nicht eindeutig formuliert, wie die vielen Nachfragen im Chat und hier im Forum zeigen. Ich habe mein PW trotzdem auch ein drittes Mal geändert ... sicherheitshalber.

Rechtzeitige und klare Kommunikation von OTR hätte hier viel Ärger vermeiden können - aber das scheint aus nicht nachvollziehbaren Gründen immer noch nicht bei den Verantwortlichen von OTR angekommen zu sein.
Schade - auch für die MODs, die auch nur das weitergeben können, was sie an Information erhalten.

vielleicht kann man das hier verallgemeinern:
- ich hatte im forum davon gelesen und direkt das passwort geändert -> keine Mail bekommen
- Arbeitskollege hatte es nicht gelesen und mail bekommen -> Passwort geändert


Passwörter sind im Klartext gespeichert wegen Decodersoftware.
Tut mir leid, dazu muss ich einfach was sagen, da ich selbst damit beruflich zu tun habe.
Diese vermutlich von OTR stammende Begründung ist Schwachsinn.
Es gibt keinen berechtigten Grund Passwörter im Klartext zu speichern.
Passwörter gehören gesalzen und gehasht, alles andere ist Faulheit oder Zeitmangel.

Die ganze Angelegenheit incl. Klartext ist eine bodenlose Frechheit. Inkompetenter und verantwortungsloser geht es nicht. Schreiben an Magazine und Blogs ist raus. Absolut unglaublich...

Schlimmer noch (geht das überhaupt?) als die Tatsache, dass Passwörter im Klartext gespeichert werden, ist, dass man auch in Zukunft wohl nicht verschlüsseln möchte. So jedenfalls verstehe ich die Ankündigung des Admins. Und dann den Usern den Vorwurf zu machen, sich fahrlässig zu verhalten, wenn man Passwörter für mehrere Dienste benutzt, selbst aber nicht einmal grundlegendste Sicherheitsvorkehrungen zu treffen. Das ist nur noch dreist.

Habe mein PW bei OTR geändert, ging problemlos. Dekoder muss ich dann noch machen.

Jedenfalls danke, dass ihr es auch gemeldet habt. :)

Das Forum ist aber nicht von betroffen oder? Wenn doch dann bitte sagen.

Zwar könnte bei mir eh blos jmd im Forum rumspammen, aber das muss ja nicht sein.

Winke Robin

Geladen bin ich überhaupt nicht und ich hoffe auch, dass ich diesen Eindruck nicht vermittle. Wörter auf die Goldwaage zu legen, ist mein täglich Brot ;). Ich hätte mir gewünscht bzw. wünsche mir eine klare Aussage, dass es (in absehbarer Zeit) eine Verschlüsselung der Passwörter geben wird, von daher habe ich etwas gegen die ergebnisoffene Formulierung.

Ich hätte mir gewünscht bzw. wünsche mir eine klare Aussage, dass es (in absehbarer Zeit) eine Verschlüsselung der Passwörter geben wird,Ich glaube das spiegelt den Wunsch vieler vieler User wieder. Gerne schließe ich mich dem Wunsch an. Nun heißt es jedoch abwarten wie schnell der Wunsch in die Tat umgesetzt werden kann ;). Und Danke für den Austausch *nichtgeladenerseits :)

MfG
MCMUPPET

Angreifer, die den Server kompromittieren können nicht nur die verschlüsselten Passwörter sondern auch den Schlüssel kapern und haben die Passwörter dann im Klartext.
Der Schlüssel liegt nur dann kaperbar auf dem Server herum, wenn es sich eine Zweiwegeverschlüsselung handelt, die man bei Passwörtern nicht verwenden darf (Passwörter werden in der Regel ja nicht im Klartext angezeigt...) - ansonsten d'accord

Nachdem ich nun auch das Statement des Admins überflogen habe - OTR macht weiter vor, wie man es nicht macht. Mehr fällt mir dazu nicht mehr ein.

So allmählich reicht mir dieser Dilettantenstadl hier.

Soeben soll ich zum 4. Mal mein PW ändern! Ist OTR eigentlich noch ganz bei Sinnen?

Ich habe die letzten Seiten hier nicht mehr gelesen, aber ich kann nirgendwo eine Stellungnahme oder auch nur einen Hinweis erkennen. Bei mir kam nur: Das Passwort ist nicht korrekt! Das wird aber automatisch per PW-Manager eingetragen und ist somit ok.

Gibt es irgendwann irgendwo eine Erklärung? Und vor allem: Wann wird das ja nun schon lange existierende Problem gefixt?

Ich habe die letzten Seiten hier nicht mehr gelesen, aber ich kann nirgendwo eine Stellungnahme oder auch nur einen Hinweis erkennen.

Dennoch ist eine solche erfolgt, und wurde hier im Thread verlinkt. Die Stellungnahme findet sich als Ankündigung im entsprechenden Bereich.

Hier nochmal der Link: http://otrforum.com/showthread.php?72982-Hinweis-OTR-Passw%F6rter-werden-im-Klartext-gespeichert-daher-diese-nirgends-sonst-ve

Ich hab mir gestern und heute mal den Spaß gemacht und mit Wireshark mitgeschnitten, was der Multidecoder so beim Dekodieren ins Internet überträgt und ich kann da außer der eMail-Adresse keine Daten im Klartext erkennen. Es wird eine PHP-Seite angefordert:
GET /quelle.php?code=[hier_verschlüsselter/gehashter_Code]&AA=[eMail-Adresse_im_Klartext]&ZZ=20150307&CS=UTF8und die Antwort des Servers darauf sieht ähnlich aus und enthält neben dem normalen HTML-Header nur einen verschlüsselten/gehashten Code. Also sofern ihr den Multidecoder meint, ist hier kein Passwort im Klartext zu erkennen und die Erklärung, warum die Passwörter im Klartext vorliegen müssten, wird noch viel unverständlicher. Der OTR Decoder in Version 2.x arbeitet übrigens ähnlich (fordert statt quelle.php die quelle_neu1.php und zusätzlich noch myversions.php an).

Falls der EasyDecoder gemeint war, ist die Sache umso schlimmer, weil der ja erst vor einiger Zeit eingeführt wurde (und somit eine Neuentwicklung war). Selbigen nutze ich nicht und habe ihn daher nicht weiter untersucht.

MfG Dalai

Falls der EasyDecoder gemeint war, ist die Sache umso schlimmer, weil der ja erst vor einiger Zeit eingeführt wurde (und somit eine Neuentwicklung war).

Die letzte Version vom EasyDecoder ist nun auch schon mindestens 5 Jahre alt.

Ein Kommentar von der Heise-Seite bringt es auf den Punkt.


6. März 2015 11:11

Na und? OTR läuft anonym

Irgend Wer (320 Beiträge seit 02.02.06)

es wird nie nach Namen, Anschrift, Bankdaten, usw. gefragt
Nur nach irgendeiner Email und Passwort.
Der Nutzen solcher Beute dürfte minimal sein.
Außer bei Deppen, die überall die gleiche Email und Passwort nutzen.

Quelle: http://www.heise.de/newsticker/meldung/Internetdienst-Onlinetvrecorder-com-gehackt-2569350.html

Ein Kommentar von der Heise-Seite bringt es auf den Punkt.Und das soll eine Rechtfertigung sein, dass die Passwörter bei OTR unverschlüsselt gespeichert werden? Ne, oder? Wahrscheinlich lässt du auch den Schlüssel zu deiner Wohnung unter der Matte liegen... *kopfschüttel*

MfG Dalai

Wahrscheinlich lässt du auch den Schlüssel zu deiner Wohnung unter der Matte liegen... *kopfschüttel*

MfG Dalai

Und das setzt du mit einem Passwort bei OTR gleich? *augendreh*

@rai

Entschuldige bitte, dass ich versucht habe, die Fehlerquelle in so fern einzugrenzen, dass es ja auch der Dekoder hätte sein können ...

Zumal sich, außer dir, hier niemand anderes beschwert, dass das Passwort jedes Mal geändert werden soll.

Ich wurde 2x zur Änderung meines Passwortes aufgefordert und damit hatte es sich. Wer sich darüber schon echauffieren kann, der gehe zurück auf #102

Ein Kommentar von der Heise-Seite bringt es auf den Punkt.

Na und? OTR läuft anonym

es wird nie nach Namen, Anschrift, Bankdaten, usw. gefragt
Der Kommentarier ist leider schlecht informiert.
Bankdaten könnten durchaus gespeichert sein, immerhin gibt es ja durch Banner einfach zu wenige Punkte, so dass Viele Geld einzahlen.
Und nicht jeder ist so extrem auf Anonymität bedacht, dass er sein Geld per Post schickt. Wozu auch? Ist ja kein Drogenumschlagsplatz.
An FTP-Push hat er auch nicht gedacht. Mit den Zugangsdaten für einen Server kann man viel Blödsinn anstellen.

Warum sollte der OTR in dem Fall die Bankdaten mit sichern? Es wird nachgeschaut, von welchem User die Überweisung stammt. Die Punkte gutgeschrieben und fertig. Dazu muss man in der Datenbank nicht auch noch die Bankdaten hinterlegen.

@ mrturbo1

Hast Du Dein PW nach Aufforderung auf der OTR-Seite geändert oder upgedatet? Ich gehe davon aus, dass nur die User eine Mail bekommen haben, die bis zu einem bestimmten Zeitpunkt nicht auf OTR waren und damit die Aufforderung gesehen und befolgt hatten. Es ist für OTR ja ein einfaches über einen Batchlauf festzustellen, wer die Aufforderung nicht erhalten hat und somit gezielt an diese User eine Mail zu verschicken.
Damit kann man sicherstellen, dass auch alle User erreicht wurden, die sich in der fraglichen Zeit nicht bei OTR eingelogged hatten. Somit muss man die Mail nicht an alle User senden.

Meine Meinung - man muss die Mail SOFORT an alle versenden.

@ mrturbo1

Hast Du Dein PW nach Aufforderung auf der OTR-Seite geändert oder upgedatet? Ich gehe davon aus, dass nur die User eine Mail bekommen haben, die bis zu einem bestimmten Zeitpunkt nicht auf OTR waren und damit die Aufforderung gesehen und befolgt hatten. Es ist für OTR ja ein einfaches über einen Batchlauf festzustellen, wer die Aufforderung nicht erhalten hat und somit gezielt an diese User eine Mail zu verschicken.
Damit kann man sicherstellen, dass auch alle User erreicht wurden, die sich in der fraglichen Zeit nicht bei OTR eingelogged hatten. Somit muss man die Mail nicht an alle User senden.

Das Problem ist, dass diese Mail offensichtlich die bisher einzige offizielle Meldung an alle User war, die nicht regelmäßig im Forum vorbeischauen. Wer also brav (naiv?) sein PW geändert hat, weiß bis heute nicht, was hier eigentlich für Ungeheuerlichkeiten passiert sind. Umso pikanter ist, dass die einzige offizielle Meldung im Forum erst nach der Ermahnung bei heise.de veröffentlicht wurde.

Meine Meinung - man muss die Mail SOFORT an alle versenden.Die Meinung teile ich, da zum Zeitpunkt der ersten und zweiten Aufforderung die Gründe und die Ausmaße noch nicht kommuniziert wurden und somit die betroffenen User evtl. erforderliche Zusatzmaßnahmen aufgrund von Unwissenheit nicht (rechtzeitig) durchgeführt haben.

MfG
MCMUPPET

Umso pikanter ist, dass die einzige offizielle Meldung im Forum erst nach der Ermahnung bei heise.de veröffentlicht wurde.Kann sein das ich etwas verpasst habe, aber eine Ermahnung habe ich nicht gelesen. *confused

MfG
MCMUPPET

Kann sein das ich etwas verpasst habe, aber eine Ermahnung habe ich nicht gelesen
Wenn eine Nachrichtenseite einen Artikel zu einem Hack veröffentlichen muss, bevor sich der Anbieter bemüßigt fühlt, mal etwas umfangreicher auf den Sachverhalt einzugehen, dann ist das eine Ermahnung.

Ich frag mich, warum du mich jetzt so persönlich angehen musst.Ich könnte mich nun selber zitieren, spare mir das aber an dieser Stelle. Wenn Du nur Deine Meinung zulässt solltest Du einen Blog ohne Kommentarfunktion eröffnen. Aber ein Forum wäre dann der falsche Platz dafür.

MfG
MCMUPPET

...
alle anderen -die sich eben nicht nach dem Hack bei OTR eingeloggt haben-bekamen eine Mail
...

Woher hast du denn diese Erkenntnis? Die einzige Info die in diese Richtung geht, ist hier im Thread die Spekulation von hvollo.


...
Ich gehe davon aus, dass nur die User eine Mail bekommen haben, die bis zu einem bestimmten Zeitpunkt nicht auf OTR waren und damit die Aufforderung gesehen und befolgt hatten.
...

Denn in dem Posting vom Administrator (http://www.otrforum.com/showthread.php?72982-Hinweis-OTR-Passw%F6rter-werden-im-Klartext-gespeichert-daher-diese-nirgends-sonst-ve&p=388591&viewfull=1#post388591) steht nur, dass alle User angeschrieben wurden.

Warum sollte der OTR in dem Fall die Bankdaten mit sichern? Es wird nachgeschaut, von welchem User die Überweisung stammt. Die Punkte gutgeschrieben und fertig. Dazu muss man in der Datenbank nicht auch noch die Bankdaten hinterlegen.
Was wirklich nötig ist und was dann am Ende gemacht wird, sind bei Daten im Internet leider oft 2 paar Schuhe.

Denn in dem Posting vom Administrator (http://www.otrforum.com/showthread.php?72982-Hinweis-OTR-Passw%F6rter-werden-im-Klartext-gespeichert-daher-diese-nirgends-sonst-ve&p=388591&viewfull=1#post388591) steht nur, dass alle User angeschrieben wurden.

Die Aussage war aber nun mal definitiv falsch. Alle User ist alle User - und es gibt genug Beispiele, die nie eine Mail erhalten haben.