• Sicherheitsmaßnahme! Bitte ändere dein Forum-Passwort. Siehe Beitrag
  • Hardwareluxx führt derzeit die Hardware-Umfrage 2026 (mit Gewinnspiel) durch und bittet um eure Stimme. Unter allen Teilnehmern verlosen wir eine aktuelle Grafikkarte Eurer Wahl bis 1099 EUR.

[Feedback] Hardwareluxx 4.0 Forum

@King Bill Ein Problem ist vermutlich, dass man den Sicherheitshinweis, wenn man eingeloggt ist und das PW noch nicht geändert hat, nicht sehen kann? Ich musste mich gestern ausloggen um in diesen Thread hier zu kommen. Im eingeloggten Zustand konnte ich nichtmal lesen zugreifen, da ich sofort auf die Kennwortänderungsseite umgeleitet wurde.
Beitrag automatisch zusammengeführt:

Wenn man dann vom Passwortmanager das Passwort/Schlüssel oder was auch immer verliert is man komplett im Eimer. :fresse:
Den kannst du ja an einem sicheren Ort hinterlegen, Safe, Versteck, Bankschließfach usw.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wenn kein Datenleck vorliegt und kein Sicherheitsvorfall, ist es unsinnig, ein per se sicheres Paßwort zu ändern.
Ich behaupte einfach, dass was vorgefallen ist.
Ansonsten ist die Aktion wirklich schwachsinnig.

Generell wird auch im Enterpriseumfeld lange kein Passwortwechsel mehr gefordert.
Lieber großflächig auf MFA setzen, passkeys, fido usw.

Naja, mal meine Mailadresse für dieses Forum im Blick halten und nach Spam schauen ;D
 
Oh Mann.... Am Tablet geändert, am PC dann neu einloggen wollen, hat super geklappt....🤮

IMG_20260718_135010_992.jpg
 
Wenn man dann vom Passwortmanager das Passwort/Schlüssel oder was auch immer verliert is man komplett im Eimer.

Moderne Passwortmanger haben die Funktion "Notfallzugriff" um so etwas zu verhindern.
 
Moderne Passwortmanger haben die Funktion "Notfallzugriff" um so etwas zu verhindern.
Habe früher mal einen benutzt, vor vielen Jahren und bin dann zurück - vielleicht schaue ich nochmal rein. :wink:
 
Hab was sparsam geschaut gerade.

Wie wäre es denn mot Accounts die seit 12 Monaten umgenutzt sind, die zu deaktivieren.
Reaktivieren über Link per Mail.


Also wieder Oldschool > Zettel unter die Tastatur 🤣
 
Ich bin auch eher dafür vorher zu informieren, als ich die Aufforderung zur PW Änderung das erste Mal bekommen habe dachte ich erst daran, dass das Forum kompromittiert ist und man so Zugangsdaten stehlen will.

Und ohne Grund das PW ändern (wenn es ausreichend sicher ist), wie es z.B. früher pauschal nach 90 Tagen mancherorts gefordert wurde, das empfiehlt sogar das BSI nicht mehr, weil man Leute so mehr dazu verleitet einfache Passwörter zu nutzen (das werden dann Zahlen hochgezählt oder ähnlich kreative Lösungen genutzt, weil viele eben wirklich keinen Passwortmanager nutzen).
 
Eure Daten sind schon längst im Netz verteilt :rolleyes2:
 
Ohne Grund zum Passwortwechsel auffordern ist keine gute Sicherheitspraxis!
Und den Hinweis mit den Details dazu erst nach dem Logout oder dem Passwortwechsel einsehen zu können ist handwerklich schlecht.

Daher bitte Erklärung welches Risiko ihr abwenden wollt!
 
@Rudi Ratlos
Es gab eine Erklärung zu dem "Warum" weiter vorne im Thread:
Eine reine Vorsichtsmaßnahme. Wir hatten jetzt paar ältere inaktive Accounts gehabt, wo sich jemand über VPN eingeloggt hat und versuchte im schwarzen Brett Sachen zu verkaufen. Da es primär ältere Accounts sind, gehen wir davon aus dass es irgendwo ein Datenleak gab.
 
Ohne Grund zum Passwortwechsel auffordern ist keine gute Sicherheitspraxis!
Und den Hinweis mit den Details dazu erst nach dem Logout oder dem Passwortwechsel einsehen zu können ist handwerklich schlecht.

Daher bitte Erklärung welches Risiko ihr abwenden wollt!
+1000
 
Eine reine Vorsichtsmaßnahme. Wir hatten jetzt paar ältere inaktive Accounts gehabt, wo sich jemand über VPN eingeloggt hat und versuchte im schwarzen Brett Sachen zu verkaufen. Da es primär ältere Accounts sind, gehen wir davon aus dass es irgendwo ein Datenleak gab.

Das ist natürlich grundsätzlich nicht schön.
Mir erschließt sich aber nicht wo der Sicherheitsgewinn herkommen soll, wenn die Bad Guys sich über eine „Quelle“ mit verschiedenen validen Credentials anmelden konnte. Das würde nicht das ändern des Passworts verhindern und im Zweifel nur den rechtmäßigen Nutzer endgültig aussperren…
 
Musste kurz den Typen im Darknet fragen, was mein bisheriges Passwort war. Ansonsten alles ok :d
 
Ist immer noch ein Scare-Banner übrig. Ich solle doch bitte ein sicheres Passwort wählen. Was ist das???
Beitrag automatisch zusammengeführt:

Es gibt keine 'sicheren' Passwörter das ist die Illusion-Trap. Es gibt nur kryptografische Schlüssel mit Zero.Knowlege Policies.
 
Muss zugeben, bei mir war wirklich mal Zeit für einen Wechsel...
 
GenX glaub nichts was ne KI sagt - wir haben nämlich gelernt mit Inforationen richtig umzugehen, sprich: Quellenüberprüfung. Wir hatten das noch in der Schule...
 
Wie kann man die user mit so einer Änderungsmaske verunsichern, statt einfach mal eine Mail über den Verteiler oder eine, wenn auch nicht werbewirksame, Info über das Portal schalten?!

So eine Aktion sieht nach Panik aus und obendrein danach, als wäre längst sicher, dass es ein Leak war/ist.
 
Mein Hinweis sollte bitte positiv konstruktiv aufgefasst werden, i.S.v. Verbesserungsfähig.
Ich begrüße es, dass die Betreiber Maßnahmen zur Cybersicherheit ergreifen und auf Ereignisse mit Maßnahmen reagieren!

Aus meiner Sicht, als jemand der sich beruflich mit Cybersicherheit und Compliance beschäftigt, sollten zwei Aspekte für die Zukunft verbessert werden:
  • Die Information sollte vorab bzw. ohne erzwingen eines Passwortwechsel verfügbar sein. Insbesondere hätte ein Angreifer auf das Forum als solches den Passwortwechsel nutzen können um die aktuellen legitimen Passwörter statt der Hashes abzugreifen. Ja dazu wäre vermutlich eine Anpassung an der Forensoftware nötig, aber dank VibeCoding auch keine nennenswerte Hürde… das wäre insbesondere für alle die Passworte mehrfach nutzen einen erheblichen Schaden, auch wenn die Nutzer dann nicht ganz unschuldig an ihrem Schaden wären. Mir ist bewusst, das die letzte Aussage durchaus kontrovers aufgefasst werden kann, aber das mehrfache nutzen von Passwörtern ist weit abseits von Best Practices. Ich würde hoffe dass dies vielen Nutzern hier im Luxx bekannt ist.
  • Der Passwortwechsel hat keinen Sicherheitsgewinn. Der Angreifer, der sich erfolgreich einloggen konnte, verfügt über das Passwort und kann diesen entsprechend ändern. Ein Sicherheitsgewinn entsteht, wenn das Passwort über eine E-Mail bestätigt werden muss, respektive nur über einen Link aus einer E-Mail zurückgesetzt werden kann. Bedingung ist, dass der E-Mail-Account nicht kompromittiert ist oder das gleiche Passwort benutzt wie das Forum.
Mein Einwand ist bitte als konstruktive Verbesserung zu verstehen, die in Zukunft ein besseres Vorgehen ermöglicht.

Gerne beantworte ich auch Rückfragen oder gebe Verbesserungsvorschläge im Rande der Möglichkeiten des Moderation Teams und des Forums sind im direkten Austausch
 
Wieso geht mein Passwort 12345 nicht mehr :ROFLMAO:
 
Gute Sache!
In letzter Zeit hat es zuviele Account Diestähle gegeben.
Das wurde am schwarzen Brett für Betrug genutzt.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh