_
toggle menu eXmatrikulationsamt.de
online: 372 gäste

>ZIH verlangt nach Passwortbestätigung WHAT THE FUCK?

Themen Layout: Standard · Linear · [Outline] Thema abonnieren | Thema versenden | Thema drucken
Polygon off
post 24 Feb 2013, 17:27
avatar
dLikP
*******

Punkte: 1497
seit: 06.10.2006
Hat jemand von euch auch diese Mails vom ZIH erhalten?

Zitat
Sehr geehrte Damen und Herren, liebe Kolleginnen und Kollegen, liebe Studierende,

an der TU Dresden ist ein neues Identitäts-Management-System (IDM) eingeführt worden. Da mit dem System auch eine neue Passwort-Richtlinie
wirksam wurde, ist es notwendig, dass jeder Nutzer sein aktuelles Passwort für seine ZIH-Benutzerkonten einmalig von dem neuen System prüfen lässt.

Sie erhalten in Kürze eine personalisierte E-Mail vom ZIH, die eine Anleitung zur Passwortprüfung für Ihre Logins über die Seite des ZIH der TU Dresden
enthält.  (Web: [ZIH] -> [A-Z] -> [Passwort bestätigen])

An dieser Stelle sei nochmals darauf hingewiesen, dass das ZIH Sie zu keiner Zeit auffordern wird, Ihr Login und Passwort per E-Mail zu versenden
bzw. Ihr Passwort auf einer anderen Seite als https://idm-service.tu-dresden.de zu ändern oder zu bestätigen. Die Kommunikation mit dieser Seite ist
stets verschlüsselt (https). Ob die Seite tatsächlich der TU Dresden zugehörig ist, können Sie prüfen, indem Sie auf das Schlosssymbol in der
Statuszeile Ihres Browsers klicken. Der Fingerabdruck des Zertifikats lautet:

SHA1:D6:EA:3A:6C:52:0F:F6:D7:AD:5D:C5:38:57:B2:BA:61:A3:80:D3:34

Sollten Sie sich dennoch unsicher sein, ob die oben genannte Aufforderung dann tatsächlich vom ZIH versandt wurde, wenden Sie sich
bitte an den Service Desk der TU Dresden.
(Web:  [ZIH] -> [Dienste] -> [Beratung und Unterstützung] -> [Benutzerberatung])

Mit freundlichen Grüßen
Jens Syckor - IT-Sicherheitsbeauftragter
Matthias Herber – Datenschutzbeauftragter
***********************************
Stabsstelle für Informationssicherheit
Technische Universität Dresden
01062 Dresden
Tel.: +49 (0351) 463 32881 / 32988
Fax : +49 (0351) 463 39718


Gerade das ZIH, das schon mehrfach Ziel von Phishing-Attacken war, verschickt Mails in denen die Nutzer aufgefordert werden, ihr Passwort auf einer Webseite einzugeben? Da es die entsprechende Seite auf der Webpräsenz des ZIH wirklich gibt, muss man wohl davon ausgehen, dass die es ernst meinen.

Ich finde das schon ein starkes Ding. Das ZIH warnte mehrfach vor solchen Mails und schreibt jetzt genau diese Mails selber. Der Grund ist auch bemerkenswert, ein neues IDM-System hat neue Passwortrichtlinien und daher sollen alle Passwörter auf Ihre Sicherheit geprüft (nicht etwa geändert, das wäre ja noch verständlich) werden. What the hell? Das ist so ziemlich genau die Begründung die in 99% aller Phishing-Mails steht.

Was meint Ihr dazu? Legt sich das ZIH hier selber ein Ei, weil die Nutzer zukünftig nicht mehr ausschließen können, dass so eine Mail nicht doch mal echt ist? Leistet das ZIH einen Bärendienst bei der Vermeidung von Phishingangriffen generell?

Und als Randnotiz: Ich denke, die neue Passwort-Policy wird für viele Passwörter auf Post-Its sorgen :-).

Dieser Beitrag wurde von Polygon: 24 Feb 2013, 17:28 bearbeitet


--------------------
flickr
Und wenn sie kommt, fährt sie an uns vorbei
-RaT-
ProfilPM
AntwortenZitierenTOP
 
AntwortAntworten
Antworten
Stormi off
post 24 Feb 2013, 17:33
avatar
eXma Poltergeist
*********

Punkte: 6729
seit: 20.10.2004
Warum zwingen die ihre Nutzer nicht einfach zur Passwortänderung, in dem das alte PW ungültig gemacht wird?


--------------------
ProfilPM
AntwortenZitierenTOP
abadd0n off
post 24 Feb 2013, 19:18
avatar
alleingelassen.
*********

Punkte: 9598
seit: 22.10.2004
Ja, Polygon, das ist irgendwie ein Eigentor.

Zitat(Stormi @ 24 Feb 2013, 16:33)
Warum zwingen die ihre Nutzer nicht einfach zur Passwortänderung, in dem das alte PW ungültig gemacht wird?*

Das war auch mein erster Gedanke. Wäre das vielleicht zu einfach oder so? blink.gif

#a


--------------------
..:: Wir sind gekommen Dunkelheit zu vertreiben, in unseren Händen Licht und Feuer ::..
ProfilPM
AntwortenZitierenTOP
Polygon off
post 24 Feb 2013, 20:29
avatar
dLikP
*******

Punkte: 1497
seit: 06.10.2006
So, da kam gerade nochwas rein.

Zitat
Sehr geehrte® Frau/Herr Polygon,

wie bereits durch die Stabstelle für Informationssicherheit angekündigt, ist
mit der Einführung eines neuen Identitäts-Management-Systems (IDM) im November
2012 an der TU Dresden auch eine neue Passwort-Richtlinie wirksam geworden.
Dadurch ist es notwendig, dass jeder Nutzer sein aktuelles Passwort für seine
ZIH-Benutzerkonten einmalig von dem neuen System  prüfen lässt. Entspricht das
Passwort nicht den neuen Sicherheitsregeln, muss es geändert werden.

Diese Prüfung muss für Ihre Logins s5837693 bis zum 15. April 2013 erfolgen.
Eine Anleitung zur Passwortprüfung für Ihre Logins und den Link zum IDM-Portal
finden Sie auf den Seiten des ZIH der TU Dresden.
(Web: [ZIH] -> [A-Z] -> [Passwort bestätigen])

Nach der oben genannten Frist werden alle noch nicht geprüften Logins
gesperrt. Mit der Sperrung des Logins ist auch kein Zugriff auf die
ZIH-Mailboxen mehr möglich.

Wenn Sie Hilfe brauchen, zum Beispiel Ihr Passwort nicht mehr wissen, dann
wenden Sie sich bitte an den Service Desk des ZIH, den Sie jetzt in der
Nöthnitzer Str. 46 vorfinden.

Mit freundlichen Grüßen

Ihr ZIH

-

Diese E-Mail wurde gemäß §7 Abs. 12 der IuK-Rahmenordnung an Studenten,
Mitarbeiter bzw. Gäste der TU Dresden durch das ZIH versandt. Für den Inhalt
dieser Mail ist der Autor verantwortlich.

-

Autor:       Service Desk
Institution: ZIH
Ort:         Nöthnitzer Str. 46, E036, Montag bis Freitag von 8:00 - 19:00 Uhr
E-Mail:      servicedesk@tu-dresden.de
Telefon:     (0351) 463 31666
Fax:         (0351) 463 42328


Also fassen wir mal zusammen:

- Passwort muss "geprüft" werden
- Daher soll man das Passwort auf einer Seite eingeben
- Drohung mit Accountsperrung, wenn das nicht bis Datum X passiert ist

Das sind doch die wesentlichen Elemente einer Phishing-Mail.

Ich will dem ZIH zu Gute halten, dass man am Schreibstil schon erkennt, dass dem Verfasser bewusst war, dass das ein heißes Eisen ist (so ist die Frist bspw. sehr lang anstatt nur wenige Tage wie sonst). Aber sowas kann man doch einfach nicht bringen. Hier wird ja mehr oder weniger der Goldstandard festgelegt, wie man künftig ZIH-Phishing-Mails zu formulieren hat, damit möglichst viele User drauf reinfallen.

Dieser Beitrag wurde von Polygon: 24 Feb 2013, 20:32 bearbeitet
ProfilPM
AntwortenZitierenTOP
Beiträge
Polygon   ZIH verlangt nach Passwortbestätigung   24 Feb 2013, 17:27
abadd0n   Ja, Polygon, das ist irgendwie ein Eigentor. Das...   24 Feb 2013, 19:18
Polygon   So, da kam gerade nochwas rein. Also fassen wir...   24 Feb 2013, 20:29
bunglefever   Also ich hab die Mail auch bekommen und sofort Zwe...   24 Feb 2013, 21:17
KevinG1987   Ich hatte beim Service Desk des ZIH angerufen und ...   24 Feb 2013, 23:20
KevinG1987   Am ehesten Überzeugt hat mich eigentlich auch nu...   25 Feb 2013, 13:02
Stormi   >>Hier wird ja mehr oder weniger der Goldsta...   25 Feb 2013, 22:44
1 Nutzer liest/lesen dieses Thema (1 Gäste)
0 Mitglieder:
 
AntwortAntworten Neues Thema erstellenNeues Thema
 
AGDSN
Besuche: 136576030 seit dem 01.10.2003 :: 27889 in den letzen 24 Stunden Impressum :: Nutzungsbedingungen :: Datenschutz :: Fediverse :: Hilfe :: Textversion