DARC Website- und E-Maillogin derzeit nicht in Funktion

Falscher Benutzername oder falsches Passwort wird mit beim Login ins Forum angezeigt

Je nach Benutzernamen (Call oder Mitgliedsnummer)

Peter, der sich nicht ganz dolle grämt, weil er nicht alleine ist mit diesem Problem

Hallo,

Inveni error! ... Also denke ich. D.h. wenn jetzt abermals jemand sein Passwort über mein.darc.de zurücksetzt, sollte danach hoffentlich auch das Forum laufen. Der Fehler gehörte, sofern er jetzt gelöst ist, zu der Kategorie "zu einfach, um überhaupt dran zu denken"

Und um das Thema von DF2OK noch aufzugreifen. Hier noch kurz eine Liste, was passiert, wenn ihr euer Passwort über mein.darc.de zurücksetzt:

- Es wird das Password zum Log-in auf http://www.darc.de, treff.darc.de, mein.darc.de neu gesetzt. Dies passiert im Regelfall in weniger als 60 Sekunden.
- Es wird das Passwort für den Log-in im Typo3 Backend neu gesetzt (sofern ein solcher Log-in besteht). Auch dies passiert im Regelfall in weniger als 60 Sekunden
- Es wird das Passwort für die E-Mail-Adresse neu gesetzt. Da dies jedoch über eine Schnittstelle des Hosters läuft, kann dies 1-2 Stunden dauern.

In der Hoffnung, dass das Forum jetzt auch geht, schon mal einen schönen Abend

Oliver

Hallo,

das Forum geht bei mir auch nicht. Es kommt immer die Meldung "Sie haben einen falschen Benutzernamen angegeben.".

Ich habe dann versucht mein Passwort nochmal mit den Daten aus dem Brief vom DARC zurückzusetzen. Das funktioniert auch nicht. Dort kommt jetzt die Meldung "Leider konnten wir deine Daten nicht verifizieren."

Weiß jemand bis wann das Versenden der Passwort-Reset-Briefe abgeschlossen sein soll? Bei mir in der Familie sind noch nicht alle Briefe angekommen.

73

Uli DF7SC

Hallo Uli,

Zitat von DF7SC

Ich habe dann versucht mein Passwort nochmal mit den Daten aus dem Brief vom DARC zurückzusetzen. Das funktioniert auch nicht. Dort kommt jetzt die Meldung "Leider konnten wir deine Daten nicht verifizieren."

Sobald du dein Kennwort erstmalig über den Brief neu gesetzt hast, wird der Token aus Sicherheitsgründen ungültig. Du kannst dich aber mit dem von dir gesetzten Kennwort in https://mein.darc.de einloggen und dir dort einfach über den Menüpunkt "Passwörter" dasselbe Passwort nochmals setzen. Dann sollte jetzt auch der Forenzugang funktionieren.

Zitat

Weiß jemand bis wann das Versenden der Passwort-Reset-Briefe abgeschlossen sein soll? Bei mir in der Familie sind noch nicht alle Briefe angekommen.

Der Briefversand ist bereits abgeschlossen. Sollte eines deiner Familienmitglieder noch keinen Brief bekommen haben, sich aber bei einem der Dienste des DARC anmelden wollen, dann bitte eine kurze E-Mail an darc@darc.de und die Geschäftsstelle generiert dann einen neuen Brief und verschickt ihn per Post.

vy 73 de DL7TNY, Oliver

Zitat von DF2OK

Nö...

Menno. Dann geh ich wieder auf die Suche, kann doch nicht wahr sein.

Zitat von DF2OK

Nö...

Nu aber! Ich hatte den Bug zwar in meinem Testsystem gefixt, ihn aber nicht auf das Produktivsystem deployed.

Zitat von DF2OK

Oliver, ich mache es kurz:

Es klappt! Sogar ein zweiter Login. Also ein Logout und dann wieder ein Login...

Danke!

Sehr gerne. Bitte entschuldigt die Probleme, der Fehler war so dämlich, der hätte mir nicht passieren dürfen.

Jetzt bin ich aber schon neugierig, bei mir geht es nach wie vor nicht. Allerdings ist mir beim "change" aufgefallen, daß "der DARC" meint, mein Password in Std zu knacken und es deshalb als Fehler markiert. Alles andere ist grün. Die Meldung habe ich bisher nicht ganz ernst genommen.

Ich habe verschiedene Time-Rechner dazu aufgerufen und normalerweise wird mein PW als "strong" gekennzeichnet und <3Std war keiner dabei. Ich werde nachher noch mal die Länge erhöhen und mich später noch mal hier melden. Dauert ebbes, weil das natürlich zum Testen ein paar Kreise zieht.

73 Peter

Auch nach erneutem Passwort-Reset auf der DARC-Seite geht das Forum bei mir immer noch nicht.

"Sie haben einen falschen Benutzernamen angegeben." (Ich hab sowohl Rufzeichen als auch Mitgliedsnummer probiert)

73

Uli DF7SC

So, habe "dem DARC-Forum" eine Hunderunde um's Dorf Zeit gelassen, und ....... es geht mit dem auf 10 Zeichen verlängerten PW. Nach dem Test ok, im Wiederholungsfall ohne Test auch ok. Webmail, POP3/SMTP ebenfalls ok. Beim Webftp komme ich nicht weiter mangels userid (vermutlich, mydarc.de geht noch ab, die letzte alte userid habe ich nirgends hinterlegt).

Warum der Server vorher auf <3Std bei 8 Zeichen in komplexer Folge kommt ????? Was soll's. Könnte er mir ja mal vormachen. Merken konnte ich es allerdings erst mit mein.darc.de, wobei die Anzeige <3Std auch erst bei der Wiedereingabe des (jetzt alten) PW kam und von mir nicht ernst genommen wurde. Bei der Eingabe nach dem Brief wurde nichts angemeckert und bis auf Forum und FTP ging auch alles.

Falls noch jemand PW-Probleme hat, bei der Wiedereingabe mal darauf achten, und falls der Server wieder meint, so schnell gehackt zu werden, PW verlängern.

Erstmal Danke DL7TNY und Co, 73 Peter (der DAU mit "nur" 8 Zeichen-PW ).

Zitat von DL7BJ

Moin Pascal,Ausnahmsweise meinte ich mal nicht die Sicherheit, sondern einfach das POP3 von den Funktionen her veraltet ist. IMAP bietet da einfach viel mehr.

ok Missverständnis; ja der POP3 ist recht anachronistisch; früher, also ganz früher in den späten 90er haben die Provider nur POP3 angeboten, weil sie so wenig Kundendaten wie möglich auf den Servern wollten; haben wir dort, wo ich damals gearbeitet auch so gehandhabt.

was mich aber bei der ganze Geschichte hier im Thread immer noch wundert, ist die Tatsache, dass es offensichtlich wirklich kein einziges und einheitliches pw für alle Dienste gemeinsam gibt. das find ich doch sehr merkwürdig

Moin,

Zitat von DB6ZH

Warum der Server vorher auf <3Std bei 8 Zeichen in komplexer Folge kommt ????? Was soll's. Könnte er mir ja mal vormachen.

Die Tabelle ist schon älter, ausgehend von 170 Millionen Passwörtern pro Sekunde. So ein i7-12700 oder i9-12700 dürfte da weit, weit drüber liegen.

Beim DARC Password sind auch nicht alle Sonderzeichen erlaubt, das verkürzt die Zeit enorm. 8 Zeichen Passwörter mit allen möglichen Zeichen sind bei den heutigen CPU Leistungen nicht mehr als sicher zu betrachten. Wenn statt der CPU noch die GPU einer leistungsfähigen Grafikkarte verwendet wird, ist ein 8 Zeichen Passwort wie eine offene Tür.

Deswegen sollte man die möglichen Login Versuche begrenzen und gegebenenfalls das Konto bei zu vielen Fehlversuchen sperren.

Gruß

Tom

Guten Morgen zusammen,

die Funktion zur Abschätzung der Sicherheit eines Passworts geht davon aus, dass die Passworthashes (nicht die Passwörter, denn die speichern wir nicht im Klartext) abhandenkommen und durch Brute-Force versucht wird, diese zu errechnen. Dabei hat die verwendete Bibliothek verschiedene Einstellungen, für die Anzahl der Versuche, die pro Sekunde möglich sind. Da wir einen sehr rechen- und speicherintensiven Algorithmus verwenden, um die Passwörter zu hashen (deswegen dauert der Log-in im Forum z.B. auch länger), haben wir der Bibliothek gesagt, dass sie mit 10.000 Versuchen pro Sekunde rechnen soll. Das ist ein realistischer Wert für vernünftige Passwordhashes.

ABER das ist nur zur Sensibilisierung gedacht und kein fixer Wert. Es ist sozusagen ein Best Case Szenario - sprich der Angreifer der Datenbank muss jede Kombination ausprobieren, die möglich ist. Es kann natürlich auch der Zufall helfen und direkt die erste Kombination, die der Angreifer ausprobiert, ist richtig. Sobald ein Passwort vermutlich mehr als 10^8 Versuche zum Ausprobieren benötigt, akzeptiert unser System das neue Passwort als ausreichend sicher, wobei einige Passwörter von vorneherein einen sehr niedrigen Wert bekommen (z.B. übliche Tastenkombinationen auf der Tastatur und übliche Vornamen und so Dinge).

vy 73 de DL7TNY, Oliver

So ... nachdem ich das Kennwort auf meinDARC noch mal mit mehr als 8 Zeichen geändert habe, geht der Login nun auch im Forum. Jetzt fehlt nur noch der FTP Zugang.

73