Alexander (HH): Passwort vergessen - dem User ein neues Passwort geben?

Beitrag lesen

Moin Moin!

Dream on. Wer eine Mail "versehentlich" lesen kann, kann alle Mails "versehentlich" lesen. Denn entweder hat der Angreifer Zugriff auf die Mailbox, oder auf den Computer, mit dem das Opfer arbeitet, oder auf die Datenleitung zum Computer (die mittlerweile oft einfach aus WLAN-gesättigter Luft besteht), oder er kann die Abstrahlungen des Computers bzw. des Monitors auswerten. Dazu reicht schon eine Strom- oder Wasserleitung oder ein nicht verdunkeltes Fenster.

Dem zu folge könnte ich dem User das Passwort ja doch in Klartext schicken.

Wenn Du nur mit Usern arbeitest, die unter Vollüberwachung stehen, dann ja.

Ich hab immer gedacht E-Mail werden in Klartext übermittelt und könnten recht leicht abgehört werden...

Wenn Du keine weiteren Maßnahmen triffst, ja.

Für den Zugriff auf Maiboxen kannst Du POP3 und IMAP4 in SSL verpacken, für SMTP hab ich das noch nicht in der Praxis gesehen. Natürlich wird die Mail von Server zu Server immer noch unverschlüsselt transportiert, so dass diese Maßnahme eigentlich nur die Zugangsdaten zum Postfach schützt. Naja, und Möchtegern-Überwacher beißen sich daran vielleicht die Zähne aus. Gegen Abhören der Datenleitungen hilft nur harte Verschlüsselung, z.B. gängige Verfahren wie PGP, GPG. Garantiert sicher sind nur One-Time-Pads, und auch nur, wenn man sie richtig benutzt (nämlich maximal einmal und anschließend gründlich vernichtet).

Gegen die Abstrahlungen des Systems kann man mit sehr viel Metall einen Faradayschen Käfig bauen, die notwendigen Zuleitungen filtert man entsprechend.

Abstrahlungen des Monitors kann man mit darauf optimierten Farb- und Fonteinstellungen deutlich verringern.

Alternativ man überdeckt die Abstrahlungen mit ähnlichen Signalen, oder aber man sorgt dafür, dass die Informationen über einen Kanal ausgegeben werden, der nur geringe Abstrahlungen hat und einem möglichen Abhörer entgeht. Damit der Abhörer nicht mistrauisch wird, sollte man natürlich trotzdem dafür sorgen, dass es Abstrahlungen gibt. Idealerweise sorgt man dafür, dass auf diesem Weg falsche Informationen abgestrahlt werden.

Lesetipp: Cryptonomicon, zum Van-Eck-Phreaking insbesondere Randys Zeit im Knast gegen Ende des Buchs. Leider leidet die deutsche Übersetzung etwas unter mangelndem Verständnis des Übersetzers: Internet-Adressen als "gepunktete Quadrate" dargestellt (dotted quads), whois mit "wer ist" übersetzt, usw.

Alexander

--
Today I will gladly share my knowledge and experience, for there are no sweeter words than "I told you so".