Leben Programmier in einer anderen Welt?

Hallo liebe It`ler

Jetzt mal eine Frage an euch. Wer um Himmels willen denkt sich so was aus. Macht Ihr das absichtlich um die User zu ärgern? Denken Programmierer überhaupt an die Benutzer?

Folgender Vorgang

IEin User hat einen Zugang zu einer Seite mit einem gelbem Posthorn. Leider wusste er nicht mehr genau welches Passwort ier da hat, und um nicht den Zugang mit mehreren Versuchen zu blockieren hat er den „Passwort vergessen“ Button benutzt. Soweit so gut.

Das Passwort kam per SMS mit ähnlichem Textaufbau

…lautet: 6cD5pL. Ihr Team…

Da grübelt der User ob der Punkt nun Teil des Passwortes ist oder nicht? Nun gut, einfach mal probieren. Aber halt, da ist noch das „Captcha“ mit der nächsten Hürde. Ist das nun ein grosses I oder doch ein l? Wechselbutton gibt es nicht. Na gut, probieren. Ein Klick auf den „Senden“ Button und banges Warten, „Sie konnten leider nicht eingeloggt“ werden. (

Kein Hinweis ob nun das Captcha oder das Passwort falsch war. Also nächster Versuch, diesmal mit „Punkt“ oder doch ohne? War nur das „Captcha“ falsch? Der User rätselt und probiert. Mit negativem Ergebnis. Grrr

Nach mehrmaligen Versuchen wahrscheinlich die Fehlversuche überschritten, jetzt geht nicht mal mehr die „Passwort vergessen“ Funktion. Der User will ins Notebook beissen… oder den Programmierheini in den Arsch treten…

Gruss vonsales

Hallo!
Was erwartest Du an Antworten auf dieses Posting? Du hast hoffentlich den Asbestanzug übergeworfen…

Das zugesandte Passwort endet bestimmt nicht mit ‚.‘, das könnte man sich leicht erschließen, wenn man die korrekte (aber heutzutage leider häufig komplett missachtete) Interpunktion in deutschen Sätzen beachtet.
Eine Alternative wäre gewesen, das Passwort in irgendwie geartete Anführungszeichen zu setzen, die aber unter Garantie auch irgendein Spezialist mit eingibt. Das führt immer zu solchen Passagen wie „natürlich ohne die Anführungszeichen!“ in Mails.
Eigentlich selbstverständlich, aber es gibt halt einfach DAUs da draußen…
Aus Deiner Entrüstung schließe ich, dass Du dieses Passwort nicht selbst irgendwann einmal eingegeben hast (sonst könntest Du Dich vielleicht erinnern, ob Du Punkte verwendet hast oder nicht), es also ein vom System selbst generiertes PWD ist. Soweit erst mal gut, das bedeutet nämlich, dass es recht wahrscheinlich ist, dass Dein Originalpasswort nicht mit umkehrbarer Verschlüsselung (oder ganz ohne) in deren Datenbank gespeichert wird - diesbezüglich ist dem Posthornträger nichts vorzuwerfen. Wenn es eine Möglichkeit gäbe, an das Originalpasswort ranzukommen, dann wäre Entrüstung angebracht.

Das konkrete Captcha kenne ich zwar nicht, aber die meisten der leicht lesbaren Captchas kann man komplett in die Tonne treten - dafür gibt es Programme, die das Captcha in Sekundenbruchteilen aushebeln. Was wiederum dazu führen könnte, dass über einen automatisierten Angriff das ganze System lahmgelegt werden könnte (DDOS). Insofern müssen solche Captchas eine gewisse Anstrengung bedeuten, damit sie ihren Zweck erfüllen können.

Daher ist aus meiner Sicht den Entwicklern dieser Lösung nur vorzuwerfen, dass sie beim Benutzer ein bisschen gesunden Menschenverstand vorausgesetzt haben…
Ich muss gestehen, ich wundere mich manchmal auch über bestimmte Anwender, die ihr Gehirn auf Komplettdurchzug stellen, sobald Sie mit jemandem telefonieren, der ihnen bei ihren Computerproblemen helfen will. Aber ist deswegen die Hilfestellung Mist?

Gruß,
Martin

Hallo liebe User,

…lautet: 6cD5pL. Ihr Team…

Aber halt, da ist noch das „Captcha“ mit der nächsten Hürde. Ist
das nun ein grosses I oder doch ein l? Wechselbutton gibt es nicht.

Password in Word kopieren, dort markieren, in eine Schriftart wechseln bei der die Unterscheidung eindeutig möglich ist.
Dann hat man das .-Problem mit höchstens zwei Versuchen gelöst.

Gruß
Markus

Hi!
Bei der i/I/l Thematik scheint es nicht um das Passwort sondern das Captcha zu gehen, man könnte also höchstens das Bild kopieren

Übrigens (ist allerdings jetzt etwas OT) gäbe es bislang noch keine automatisierte Möglichkeit, ein Captcha zu knacken, bei dem zwischen Bildern von Hunden und Katzen unterschieden werden muss (außer natürlich über entsprechendes Social Engineering doch wieder reale Menschen dafür einzuspannen). Wäre vielleicht ein Verbesserungsvorschlag für die angesprochene Seite. Einziglich: Wenn wir hier im stillen Kämmerlein uns darüber unterhalten, bekommt der Anbieter der Seite das nicht mit. Eine entsprechende Meldung an die richtige Stelle wäre also effizienter.

Gruß,
Martin

Hi,

ahso, langsam dämmert mir, was ein Captcha ist: Diese komischen verschnörkelten Bildchen von irgendwelchen Zahlen und Buchstaben?
Dann funktionierts natürlich nicht mitm kopieren.
War mir neu, das es sowas auch bei Passwörtern gibt, kannte ich bisher nur als zusätzliche Sicherheitsabfrage.

Gruß,
Markus

Hi nochmal!

Es scheint auch im vorliegenden Fall eine zusätzliche Sicherheitsabfrage zu sein, vermutlich um zu verhindern, dass ein angefordertes vergessenes Passwort durch automatisierte Angriffe ausgespäht wird.
Wenn man weiss, wie diese automatisch generierten Passwörter aufgebaut sind, die beim Klick auf „Passwort vergessen“ generiert werden, könnte man sonst über ein relativ einfaches Brute Force Verfahren so lange versuchen, sich einzuloggen, bis es klappt. Wenn aber noch ein vernünftiges Captcha (http://de.wikipedia.org/wiki/Captcha) davor ist, werden solche automatisierten Angriffe verhindert oder zumindest erheblich behindert.

Gruß,
Martin

Hallo Martin

Das konkrete Captcha kenne ich zwar nicht, aber die meisten
der leicht lesbaren Captchas kann man komplett in die Tonne
treten - dafür gibt es Programme, die das Captcha in
Sekundenbruchteilen aushebeln. Was wiederum dazu führen
könnte, dass über einen automatisierten Angriff das ganze
System lahmgelegt werden könnte (DDOS). Insofern müssen solche
Captchas eine gewisse Anstrengung bedeuten, damit sie ihren
Zweck erfüllen können.

Nichts gegen die Captchas, aber es sollte doch ein Button zum Wechseln dabei sein. So kann man ein schlecht entzifferbares auswechseln ohne einen Einlogversuch machen zu müssen. Bei der Seite hat man nur 3 Fehlversuche dann wird man 24 Stunden gesperrt.

Daher ist aus meiner Sicht den Entwicklern dieser Lösung nur
vorzuwerfen, dass sie beim Benutzer ein bisschen gesunden
Menschenverstand vorausgesetzt haben…

Aus Sicht eines gesunden Verstandes. Das Passwort habe ich zuletzt vor ca. 1 Jahr benutzt, wusste aber nicht mehr genau welches ich dafür genommen habe. Ich habe mal zusammengerechnet. Ich habe ca.
15 Passwörter, die für Banking und Arbeit noch nicht eingerechnet.

Wenn ich nun ein wahrscheinliches aber leider falsches Passwort benutze habe ich nur noch 2 Versuche. Der zweite Versuch scheiterte also am Captcha, da ich den Punkt nicht benutzt habe. Nun zum dritten und letzten Versuch! Wie entscheiden, wenn man nicht weiss an was der letzte Einloggversuch gescheitert ist? Diesen fehlenden Hinweis werfe ich dem Programmierer vor.

Kann man Captchas nicht anders machen. Z.B. Zeichen die leicht verwechselt werden können einfach nicht benutzen. Oder zwei Zahlen addieren oder multiplizieren etc. Oder eine Frage aus der Allgemeinbildung (mit Multiple Choice) beantworten.

So ist das doch mehr ein Lotteriespiel.

Gruss vonsales

Hallo

Übrigens (ist allerdings jetzt etwas OT) gäbe es bislang noch
keine automatisierte Möglichkeit, ein Captcha zu knacken, bei
dem zwischen Bildern von Hunden und Katzen unterschieden
werden muss (außer natürlich über entsprechendes Social
Engineering doch wieder reale Menschen dafür einzuspannen).

Diese Idee gefällt mir. Aber bleiben da genug verschiedene Möglichkeiten? Müsste wohl ein Bild mit mehreren verschieden Hunden und Katzen sein die man zählen muss und das Ergebnis eintragen. Sollte doch machbar sein. Aber es gibt auch Hunde die wie eine nasse Katze aussehen. Die Hilton schleift doch immer solche mit. )

Gruss vonsales

Das zugesandte Passwort endet bestimmt nicht mit ‚.‘, das
könnte man sich leicht erschließen, wenn man die korrekte
(aber heutzutage leider häufig komplett missachtete)
Interpunktion in deutschen Sätzen beachtet.

Hallo,

das ist nun reiner Blödsinn: es wird dringend empfohlen, Passwörter zufällig aus Buchstaben, Zahlen und Sonderzeichen zusammenzusetzen, also kann ein beliebiges Zeichen im Passwort genausogut ein Punkt sein wie irgendein anderes Zeichen.

Mit Interpunktionsregeln zu argumentieren, schlägt dann doch dem Fass die Krone ins Gesicht: SICHERE Passwörter dürfen eben keinen Regeln folgen! Demnächst erklärst du hier noch, man könnte doch die Gültigkeit von Passwörtern im Duden überprüfen…

Wer sich da überlegt, ob der Punkt nun dazugehört oder nicht, versteht schon 100 mal mehr von der Materie als du mit solchen jeder Sicherheit zuwiderlaufenden Ratschlägen - und muss sich dann noch als DAU beschimpfen lassen. Möge uns eine bessere Zukunft vor solchen Hotlines bewahren, irgendwann müssten auch angelernte Hausfrauen ein bisschen Fachwissen mitbringen.

Gruss Reinhard

Hallo nochmal!

Bezüglich des Wechseln-Buttons für das Captcha gebe ich Dir natürlich Recht, das sollte schon sein.
Dann würde sich auch die Frage „mit oder ohne Punkt“ erübrigen: Ein mit Sicherheit lösbares Captcha auswählen und einmal die eine und einmal die andere Variante probieren und Du hast es.

Dass ein Captcha in dieser Situation sinnvoll/notwendig ist, darüber sind wir uns aber einig, oder?

Und wie im oberen Posting schon geschrieben: Es gibt doch höchstwahrscheinlich einen „Kontakt“-Link/Button, über den Du den Verbesserungsvorschlag an die richtige Stelle bringen kannst. Nutze ihn!

Gruß,
Martin

Hallo,

das ist nun reiner Blödsinn: es wird dringend empfohlen,
Passwörter zufällig aus Buchstaben, Zahlen und Sonderzeichen
zusammenzusetzen, also kann ein beliebiges Zeichen im Passwort
genausogut ein Punkt sein wie irgendein anderes Zeichen.

Mit Interpunktionsregeln zu argumentieren, schlägt dann doch
dem Fass die Krone ins Gesicht: SICHERE Passwörter dürfen eben
keinen Regeln folgen! Demnächst erklärst du hier noch, man

Mein lieber Reinhard,
ich denke nicht, dass Du mir einen Vortrag über sichere Passwörter halten musst.

könnte doch die Gültigkeit von Passwörtern im Duden
überprüfen…

Wer sich da überlegt, ob der Punkt nun dazugehört oder nicht,
versteht schon 100 mal mehr von der Materie als du mit solchen
jeder Sicherheit zuwiderlaufenden Ratschlägen - und muss sich

Würdest Du mir bitte erklären, wo ich „jeder Sicherheit zuwiderlaufende Ratschläge“ gegeben habe? Lies’ bitte meine Antwort nochmal richtig durch, bevor Du solche unqualifizierten Behauptungen aufgestellst!
Ich habe nie behauptet, dass das automatisch generierte Passwort sicher sei (allein schon die Länge von 6 Zeichen spricht ja wohl für sich)!
Oder unterstellst Du, dass das generierte Passwort vielleicht doch sicher ist, weil der Punkt (und womöglich auch noch das Leerzeichen danach, wo wir schon dabei sind) dazugehört? Nicht ernsthaft, oder?

dann noch als DAU beschimpfen lassen. Möge uns eine bessere

Hast Du gelesen, welche Kategorie von Anwendern ich als DAUs bezeichnet habe? Anscheinend nicht oder Du hast es nicht verstanden.
In beiden Fällen: Nochmal von vorne, bevor Du mir hier die Worte im Mund rumdrehst.

Zukunft vor solchen Hotlines bewahren, irgendwann müssten auch
angelernte Hausfrauen ein bisschen Fachwissen mitbringen.

???
Was willst Du damit sagen?

Gruss Reinhard

Leicht angesäuerte Grüße ob diesem Unfug da oben,

Martin

Guten Morgen

Danke für die Hinweise und rege Diskussion. Das Passwort war übrigens ohne den Punkt richtig. Ob eine Mail mit Anregungungen bezüglich des Captchas viel bewirkt wage ich zu bezweifeln. Es handelt sich übrigens um die DHL Seite. Das Captcha ist eher einfach gehalten, man kan es durchaus unterscheiden wenn man mehrere Varianten gesehen hat. Was aber normalerweise nicht der Fall ist da man sich nur zur Adressänderung etc. einloggen muss.

Warum auch bei Änderungen innerhalb des Accounts ein Captcha sein muss entzieht sich meiner Kenntnis. Automatisierte Abfragen scheiden da wohl aus.

Gruss vonsales

Hi,

ahso, langsam dämmert mir, was ein Captcha ist:

ein beispiel wäre z.b.

Diese
komischen verschnörkelten Bildchen von irgendwelchen Zahlen
und Buchstaben?

und die eigentliche beschreibung
http://de.wikipedia.org/wiki/CAPTCHA