eXma » Diskutieren » Computer und Technik
Startseite - Veranstaltungen - Mitglieder - Suche
Vollständige Version anzeigen: ZIH verlangt nach Passwortbestätigung
Polygon
24 Feb 2013, 17:27
Hat jemand von euch auch diese Mails vom ZIH erhalten?

Zitat
Sehr geehrte Damen und Herren, liebe Kolleginnen und Kollegen, liebe Studierende,

an der TU Dresden ist ein neues Identitäts-Management-System (IDM) eingeführt worden. Da mit dem System auch eine neue Passwort-Richtlinie
wirksam wurde, ist es notwendig, dass jeder Nutzer sein aktuelles Passwort für seine ZIH-Benutzerkonten einmalig von dem neuen System prüfen lässt.

Sie erhalten in Kürze eine personalisierte E-Mail vom ZIH, die eine Anleitung zur Passwortprüfung für Ihre Logins über die Seite des ZIH der TU Dresden
enthält.  (Web: [ZIH] -> [A-Z] -> [Passwort bestätigen])

An dieser Stelle sei nochmals darauf hingewiesen, dass das ZIH Sie zu keiner Zeit auffordern wird, Ihr Login und Passwort per E-Mail zu versenden
bzw. Ihr Passwort auf einer anderen Seite als https://idm-service.tu-dresden.de zu ändern oder zu bestätigen. Die Kommunikation mit dieser Seite ist
stets verschlüsselt (https). Ob die Seite tatsächlich der TU Dresden zugehörig ist, können Sie prüfen, indem Sie auf das Schlosssymbol in der
Statuszeile Ihres Browsers klicken. Der Fingerabdruck des Zertifikats lautet:

SHA1:D6:EA:3A:6C:52:0F:F6:D7:AD:5D:C5:38:57:B2:BA:61:A3:80:D3:34

Sollten Sie sich dennoch unsicher sein, ob die oben genannte Aufforderung dann tatsächlich vom ZIH versandt wurde, wenden Sie sich
bitte an den Service Desk der TU Dresden.
(Web:  [ZIH] -> [Dienste] -> [Beratung und Unterstützung] -> [Benutzerberatung])

Mit freundlichen Grüßen
Jens Syckor - IT-Sicherheitsbeauftragter
Matthias Herber – Datenschutzbeauftragter
***********************************
Stabsstelle für Informationssicherheit
Technische Universität Dresden
01062 Dresden
Tel.: +49 (0351) 463 32881 / 32988
Fax : +49 (0351) 463 39718


Gerade das ZIH, das schon mehrfach Ziel von Phishing-Attacken war, verschickt Mails in denen die Nutzer aufgefordert werden, ihr Passwort auf einer Webseite einzugeben? Da es die entsprechende Seite auf der Webpräsenz des ZIH wirklich gibt, muss man wohl davon ausgehen, dass die es ernst meinen.

Ich finde das schon ein starkes Ding. Das ZIH warnte mehrfach vor solchen Mails und schreibt jetzt genau diese Mails selber. Der Grund ist auch bemerkenswert, ein neues IDM-System hat neue Passwortrichtlinien und daher sollen alle Passwörter auf Ihre Sicherheit geprüft (nicht etwa geändert, das wäre ja noch verständlich) werden. What the hell? Das ist so ziemlich genau die Begründung die in 99% aller Phishing-Mails steht.

Was meint Ihr dazu? Legt sich das ZIH hier selber ein Ei, weil die Nutzer zukünftig nicht mehr ausschließen können, dass so eine Mail nicht doch mal echt ist? Leistet das ZIH einen Bärendienst bei der Vermeidung von Phishingangriffen generell?

Und als Randnotiz: Ich denke, die neue Passwort-Policy wird für viele Passwörter auf Post-Its sorgen :-).
Stormi
24 Feb 2013, 17:33
Warum zwingen die ihre Nutzer nicht einfach zur Passwortänderung, in dem das alte PW ungültig gemacht wird?
abadd0n
24 Feb 2013, 19:18
Ja, Polygon, das ist irgendwie ein Eigentor.

Zitat(Stormi @ 24 Feb 2013, 16:33)
Warum zwingen die ihre Nutzer nicht einfach zur Passwortänderung, in dem das alte PW ungültig gemacht wird?*

Das war auch mein erster Gedanke. Wäre das vielleicht zu einfach oder so? blink.gif

#a
Polygon
24 Feb 2013, 20:29
So, da kam gerade nochwas rein.

Zitat
Sehr geehrte® Frau/Herr Polygon,

wie bereits durch die Stabstelle für Informationssicherheit angekündigt, ist
mit der Einführung eines neuen Identitäts-Management-Systems (IDM) im November
2012 an der TU Dresden auch eine neue Passwort-Richtlinie wirksam geworden.
Dadurch ist es notwendig, dass jeder Nutzer sein aktuelles Passwort für seine
ZIH-Benutzerkonten einmalig von dem neuen System  prüfen lässt. Entspricht das
Passwort nicht den neuen Sicherheitsregeln, muss es geändert werden.

Diese Prüfung muss für Ihre Logins s5837693 bis zum 15. April 2013 erfolgen.
Eine Anleitung zur Passwortprüfung für Ihre Logins und den Link zum IDM-Portal
finden Sie auf den Seiten des ZIH der TU Dresden.
(Web: [ZIH] -> [A-Z] -> [Passwort bestätigen])

Nach der oben genannten Frist werden alle noch nicht geprüften Logins
gesperrt. Mit der Sperrung des Logins ist auch kein Zugriff auf die
ZIH-Mailboxen mehr möglich.

Wenn Sie Hilfe brauchen, zum Beispiel Ihr Passwort nicht mehr wissen, dann
wenden Sie sich bitte an den Service Desk des ZIH, den Sie jetzt in der
Nöthnitzer Str. 46 vorfinden.

Mit freundlichen Grüßen

Ihr ZIH

-

Diese E-Mail wurde gemäß §7 Abs. 12 der IuK-Rahmenordnung an Studenten,
Mitarbeiter bzw. Gäste der TU Dresden durch das ZIH versandt. Für den Inhalt
dieser Mail ist der Autor verantwortlich.

-

Autor:       Service Desk
Institution: ZIH
Ort:         Nöthnitzer Str. 46, E036, Montag bis Freitag von 8:00 - 19:00 Uhr
E-Mail:      servicedesk@tu-dresden.de
Telefon:     (0351) 463 31666
Fax:         (0351) 463 42328


Also fassen wir mal zusammen:

- Passwort muss "geprüft" werden
- Daher soll man das Passwort auf einer Seite eingeben
- Drohung mit Accountsperrung, wenn das nicht bis Datum X passiert ist

Das sind doch die wesentlichen Elemente einer Phishing-Mail.

Ich will dem ZIH zu Gute halten, dass man am Schreibstil schon erkennt, dass dem Verfasser bewusst war, dass das ein heißes Eisen ist (so ist die Frist bspw. sehr lang anstatt nur wenige Tage wie sonst). Aber sowas kann man doch einfach nicht bringen. Hier wird ja mehr oder weniger der Goldstandard festgelegt, wie man künftig ZIH-Phishing-Mails zu formulieren hat, damit möglichst viele User drauf reinfallen.
Stormi
24 Feb 2013, 20:45
Sind die Mails signiert? Auch: Wie sieht denn der neue Passwortstandard aus? Drölfzehn Sonderzeichen oder was muss man sich da drunter vorstellen?
HGAZIS
24 Feb 2013, 21:03
min 9 zeichen; min ein großbuchstabe, min eine ziffer, min ein sonderzeichen

bunglefever
24 Feb 2013, 21:17
Also ich hab die Mail auch bekommen und sofort Zweifel gehabt. Allerdings scheinen alle Umgebungsvariablen zu stimmen, daher kommt man wohl nicht drumrum, oder?
KevinG1987
24 Feb 2013, 23:20
Ich hatte beim Service Desk des ZIH angerufen und gefragt, die haben es bestätigt.
Zudem ist die Bestätigungsseite eine gesicherte Seite. Und wenn ich bei Chrome auf das Schloss gehe steht dort die TU Dresden als Host..

Zudem kommt man auch über die ZIH Homepage auf die Seite indem man über A-Z bei Passwort bestätigen klickt. Sollte also m.E. passen.
stabilo
25 Feb 2013, 11:22
SSL Zertifikate sind aber mittlerweile auch nicht mehr das, was es mal war...
KevinG1987
25 Feb 2013, 13:02
Zitat(stabilo @ 25 Feb 2013, 10:22)
SSL Zertifikate sind aber mittlerweile auch nicht mehr das, was es mal war...
*


Am ehesten Überzeugt hat mich eigentlich auch nur das Telefonat mit dem Service Desk
Stormi
25 Feb 2013, 22:44
>>Hier wird ja mehr oder weniger der Goldstandard festgelegt, wie man künftig ZIH-Phishing-Mails zu formulieren hat, damit möglichst viele User drauf reinfallen.

Alles andere ist bummi. Ruft nämlich längst nicht jeder beim Helpdesk an. Jedenfalls nicht mehr beim zweiten Mal shifty.gif
Padex
09 Apr 2013, 17:05
done! Bis man wieder mit dem neuen Kennwort Mails über POP3 abrufen kann, dauert es allerdings ein - zwei Stunden...
abadd0n
12 Apr 2013, 16:46
Zur Erinnerung: Die Frist endet am 15. April, dann ist mit einer Sperrung des Accounts beim ZIH zu rechnen.
Quelle: ZIH

~abd