Login-Probleme: Alte/neue Links, unfreundlich zu Passwortmanager

Das alte “Mein o2” für DSL steht seit der abgeschlossenen Systemmigration nicht mehr zur Verfügung. Links, die zum alten “Mein o2” für DSL führen, können daher nicht mehr genutzt werden.

Das aktuelle Loginverfahren entspricht dem, wie es auch bei anderen Diensten wie z.B. Google üblich ist. Du kannst davon ausgehen, dass es keine Änderung daran geben wird. Ich empfehle, dass du dir das von dir selbst gewählte Passwort zum Abruf deiner monatlichen Rechnung merkst. Alternativ kannst du auch die “Mein o2” App  nutzen. 

@bolfh 

hi, diese Art des Zugangs wurde vor einiger Zeit geändert, (ich meine etwa 10-14 Monate)

der Grund liegt darin es Such- Robotern und automatischen Passwort- Hacker Software zu erschweren,

entsprechende Schad- Programme auf diese Webseiten einzusetzen.

Da wirst du dich mit abfinden müssen

und kannst dich freuen, dass O2 die Datensicherheit erhöht hat.

mfg

Ich erlaube mir zu widersprechen. Bei guter Implementierung weist der Seitentitel auf den Dienst hin, z.B. “Anmelden - Google Konten” oder “Loggen Sie sich bei PayPal ein”. Dann kann man auch bequem einen Passwortmanager ohne tiefe Browserintegration nutzen. Ein Seitentitel “Login” ist nicht hilfreich.

Sich Passwörter zu merken ist nicht zeitgemäß. So viele hochwertige und einmalige  Passworter kann sich nur ein Gedächtnisakrobat merken, aber kein normaler Mensch. Ich habe über 300 Passwörter in meinem Passwortmanager, normalerweise zig vollkommen zufällige Zeichen und natürlich für jeden Dienst ein eigenes. Niemals wiederverwendet, kein erratbares Schema.

Hast Du eine Quelle, die darlegt, wie genau das das Abfischen erschwert? Oder ist das Spekulation?

Hallo @bolfh,

du hat hier ja schon die eine und andere Antwort erhalten. Der Login, egal ob nun Festnetz oder Mobilfunk läuft über die selbe Adresse.

Und ja, Nutzernamen und Kennwort jeweils separat laufen zu lassen erhöht auf jeden Fall die Komplexität, mit Brute Force zu versuchen, erfolgreich an Daten zu kommen. Das siehst du zum Beispiel hervorragend an deinem Passwortmanager. Denn letztendlich sind Skripte, die sich versuchen, mit Nutzernamen und Kennworten aus Wörterbüchern einzuloggen nichts anderes als latent gepimpte Passwortmanager. Im Regelfall halt dezentralisiert und über Botnetze aufgeteilt, um eine automatische Erkennung zu erschweren.

Die Herausforderungen, die nun dein Passwortmanager hat, haben eben auch die durchschnittlichen Skripte, die darüber laufen. Lassen sich diese Skripte anpassen? Absolut, das sollte möglich sein. Zusätzliche Wartezeit und Komplexität verringert aber sehr deutlich die Anzahl der Versuche pro Zeiteinheit und wird dadurch auch schon direkt unattraktiver. 

Ist es heute noch zeitgemäß, sich viele Passörter zu merken? Nein, nicht wirklich. Ist die Nutzung von einem Passwortmanager mit 300 Passwörtern besser? Nun, wenn, aus welchem Grund auch immer, dr Zugang dazu nicht mehr bestehen sollte (oder schlimmer, andere darauf Zugriff erhalten), sind halt unter Umständen eine Vielzahl von Accounts kompromittiert. 

Ich denke, dass mittel- bis langfristig die Lösung dazu sehr anders aussehen wird und man komplett andere Wege zum einloggen nutzen wird. Biometrische Lösungen, MFA, ich denke, da wird noch einiges auf uns zukommen :-)

Für die Nutzung mit einem Passwortmanager kann ich dir aktuell jedoch keine Lösung bieten, tut mir leid :-/

Gruß,

Lars

sorry, dass ich im OP nicht deutlicher herausgestellt habe, was O2 dringend ändern sollte:

1. Die alten Anmeldeseiten vom Netz nehmen . Welchen Sinn hat eine normal aussehende Anmeldeseite, die immer “Probieren Sie es bitte später noch einmal“ sagt? Das bringt den Nutzer nicht auf die richtige Spur sondern frustriert ihn.
2. Beim neuen Login einen identifizierenden Seitentitel setzen statt lapidar “Login”, also möglichst irgendwo “o2.de” unterbringen, damit der Passwortmanager automatisch den richtigen Eintrag zuordnen kann.

So viel zu meinen Verbesserungsvorschlägen.

Mit dem Rest habe ich kein größeres Problem, mein Passwortmanager war längst angepasst auf die Zwei-Seiten-Variante. Das “erheblich erschwert” im OP bezog sich nur auf den fehlenden Titel.

Trotzdem interessehalber: Wie soll eine Verteilung der Abfrage auf zwei Seiten ein Brute-Force-Skript nennenswert behindern?

Bei der aktuellen Implementierung von O2 sehe ich in der Hinsicht eher ein Problem: Die gibt nämlich schon im ersten Schritt Auskunft, ob der Benutzername gültig ist. Zwei Werte separat auf Gültigkeit testen zu können macht Brute-Force-Angriffe viel leichter, als wenn erst beim Vorliegen des ganzen Paares eine pass/fail-Nachricht ausgegeben wird. Es mag die Komplexität des Skriptes (vernachlässigbar) erhöhen, aber es reduziert die Zahl der durchzuprobierenden Kombinationen dramatisch.

Mich juckt das alles nicht, auch wenn jemand meinen Anmeldenamen kennt und “nur” das Passwort aus 30 zufälligen Zeichen durchprobieren muss, ist er genügend lange beschäftigt.

Grüße

Oliver

*) Zu den beiden im OP genannten auch noch diese: https://dsl.o2online.de/sso/login

Das heisst weil Dein Passwortmanager nicht damit zurecht kommt soll o2 alles umstellen? Ist klar.

Der Punkt mit http://dsl.o2.de/meino2 → https://dsl.o2online.de/selfcare/content/segment/kundencenter/ ist valide wenn die Anmeldung dort wirklich nicht funktionieren sollte.

Naja, es geht gerade mal darum, das aktuelle

<title>Login</title>

durch

<title>o2.de Login</title>

oder so ähnlich zu ersetzen. Das ist nicht gerade “alles umstellen”, oder siehst Du diesen Änderungsvorschlag als ungerechtfertigt an?

Und es geht nicht um irgendeinen dahergelaufenen Passwortmanager eines unfähigen Programmierers, sondern einen der besten und sichersten, universellen, die Privatsphäre achtenden Passwortmanager.

Nun könnte man argumentieren, dass man den Passwortmanager mit einem Browser-Plugin in die Lage  versetzten könnte, den URL mit zu berücksichtigen. Dann muss man aber auch dem Autor des Plugins vertrauen und vergrößert generell die Angriffsmöglichkeiten enorm. Ich habe schon zwei solche Plugins getestet und bewusst entschieden, sie nicht produktiv einsetzen zu wollen sondern aus Sicherheitsgründen Browser und Passwortmanager strikt getrennt zu halten.

Man könnte auch durch Änderung der Browserkonfiguration (about:config) den URL im Seitentitel anzeigen (BTDT). Wenig elegant, und außerdem doof, weil es “Clutter” in die Tab-Beschriftung bringt.

Wenn Du weiterhin der Ansicht bist, dass mein Vorschlag nicht wohlüberlegt ist, dann formuliere Deine Kritik bitte spezifischer.

Na der Passwortmanager nimmt hoffentlich die URL und nicht <title>…

Mein Passwortmanager hat hier keine Probleme. 

Wie kommt der Passwortmanager an den URL?

Bitte lies vor Deiner Antwort meinen vorherigen Beitrag nochmal komplett, insbesondere bezüglich Browser-Plugin und Änderung des Titelformates.

Anmerkung: Man kann das bei Firefox wohl nicht mal (mehr?) durch eine einfache Konfigurationsänderung machen, sondern benötigt ein Plugin. Aber wie ich schrieb: Es ist ohnehin nicht praktikabel.

Dann ruf den HTML Debugmodus des Firefox auf und änder den Inhalt des Titel Tag.

Hallo @bolfh,

ah, da bin ich beim beantworten irgendwo falsch abgelaufen und hab mich da ein wenig verrannt :-)

Ich hab das mit den beiden URL mal intern entsprechend adressiert. In der Titelleiste selbst wird das o2 Logo angezeigt, ich werde mal schauen, ob ich das dennoch adressieren kann, sehe da aber persönlich eher weniger Aussicht auf Erfolg.

Bezüglich der Komplexität mit zwei Seiten, nein, es macht natürlich Brute Force Angriffe nicht unmöglich, macht sie aber eben durch zusätzliche Wartezeiten komplexer. Zumindest nach meinem Verständnis. 

Gruß,

Lars