Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Microsofts Outlook.com: Unbefugte…

Mal eben Outlook.com Passwort ändern...

  1. Thema

Neues Thema Ansicht wechseln


  1. Mal eben Outlook.com Passwort ändern...

    Autor: 1st1 15.04.19 - 14:51

    ...puh... da hängt ganz schön was dran, denn es ist nicht nur das Passwort in Outlook, sondern die Live-ID für alles mögliche...

    - der ganze MS-Account mit verknüpften PCs, Smartphones, Familie (verwaltete Kinder-Accounts!) - Achtung, darüber lassen sich auch aktuelle Standorte der Geräte ermitteln, und zwar auf minimal 100 Meter genau!
    - ggf. Schulaccount
    - ggf. Verknüpfung mit Azure/Office 365 Firmen-Account
    - Microsoft-Store, worin Kreditkarteninformationen hinterlegt sein können
    - Windows Passwort, sofern man sich mit der Live-ID anmeldet,
    - OneNote
    - Office 365
    - Windows Mobile Phone, sofern nicht schon abgeschafft
    - Microsoft Launcher für Android
    - Yourphone App für Android
    - Microsoft Identity Manager für Android
    - OneDrive (auch auf älteren PCs, Android, iPhone, iPad, Mac, ...)
    - In Outlook/Online verknüpfte Google- und iCloud-Accounts (Termine, Mails, ...)
    - usw.

    Passwort ändern zieht hier jede Menge Passwort-Änderungen auf allen möglichen Geräten nach sich... Wenn sich ein Angreifer auf diesem Weg Zugang zu Outlook.com Inhalten verschafft hat, dann hat er betroffene Nutzer komplett am Sack.

    Das ist richtig übel. Und kein Redakteur hat sich bisher diese Folgen bewusst gemacht.



    1 mal bearbeitet, zuletzt am 15.04.19 14:54 durch 1st1.

  2. Re: Mal eben Outlook.com Passwort ändern...

    Autor: dbettac 15.04.19 - 15:07

    Und was nützt es? Nichts. Da die Angreifer über einen Admin-Account mitgelesen haben.

    Was würde wirklich helfen? Standardmäßige Ende-zu-Ende-Verschlüsselung bei E-Mails. Aber das will ja keiner der großen Anbieter durchsetzen. Dann könnten die Anbieter ja nicht mehr mitlesen...

  3. Re: Mal eben Outlook.com Passwort ändern...

    Autor: flow77 15.04.19 - 15:58

    1st1 schrieb:
    --------------------------------------------------------------------------------
    > ...puh... da hängt ganz schön was dran, denn es ist nicht nur das Passwort
    > in Outlook, sondern die Live-ID für alles mögliche...
    >
    > - der ganze MS-Account mit verknüpften PCs, Smartphones, Familie
    > (verwaltete Kinder-Accounts!) - Achtung, darüber lassen sich auch aktuelle
    > Standorte der Geräte ermitteln, und zwar auf minimal 100 Meter genau!
    > - ggf. Schulaccount
    > - ggf. Verknüpfung mit Azure/Office 365 Firmen-Account
    > - Microsoft-Store, worin Kreditkarteninformationen hinterlegt sein können
    > - Windows Passwort, sofern man sich mit der Live-ID anmeldet,
    > - OneNote
    > - Office 365
    > - Windows Mobile Phone, sofern nicht schon abgeschafft
    > - Microsoft Launcher für Android
    > - Yourphone App für Android
    > - Microsoft Identity Manager für Android
    > - OneDrive (auch auf älteren PCs, Android, iPhone, iPad, Mac, ...)
    > - In Outlook/Online verknüpfte Google- und iCloud-Accounts (Termine, Mails,
    > ...)
    > - usw.
    >
    > Passwort ändern zieht hier jede Menge Passwort-Änderungen auf allen
    > möglichen Geräten nach sich... Wenn sich ein Angreifer auf diesem Weg
    > Zugang zu Outlook.com Inhalten verschafft hat, dann hat er betroffene
    > Nutzer komplett am Sack.
    >
    > Das ist richtig übel. Und kein Redakteur hat sich bisher diese Folgen
    > bewusst gemacht.

    Ich stelle mir eher die Frage was man denn aus so einem Vorfall lernen könnte. Man könnte ja prinzipiell auf diese ganzen Account-Verknüpfungen und Services verzichten.
    Mal abgesehen von der Fragwürdigkeit um in solche Probleme zu geraten - solche Services haben doch sicher die Möglichkeit alle Verbundenen Geräte zu kicken/auszuloggen? Jedenfalls läuft das so bei dropbox, netflix, google, ...

  4. Re: Mal eben Outlook.com Passwort ändern...

    Autor: cry88 15.04.19 - 16:40

    Warum das Passwort der User ändern? Der Angreifer hatte die credentials von nem Admin. Das Einzige, was er hätte machen können ist das Passwort eines Users zu setzen um den Account zu übernehmen. Das fällt dem User aber sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals zugreifen.

  5. Re: Mal eben Outlook.com Passwort ändern...

    Autor: 1st1 15.04.19 - 17:00

    Microsoft empfiehlt in seiner Mail an betroffenen Benutzer den Passwortwechsel.

    Man kann den Sinn dieser Empfehlung hinterfragen - ist für Admins das ID-Account-Passwort sichtbar?

  6. Re: Mal eben Outlook.com Passwort ändern...

    Autor: spoink 15.04.19 - 17:37

    cry88 schrieb:
    --------------------------------------------------------------------------------
    > Warum das Passwort der User ändern? Der Angreifer hatte die credentials von
    > nem Admin. Das Einzige, was er hätte machen können ist das Passwort eines
    > Users zu setzen um den Account zu übernehmen. Das fällt dem User aber
    > sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals
    > zugreifen.

    Nimm einfach mal an, ich hätte Zugriff auf dein Mailkonto (gehabt). Was machst du?

    Um es nochmals ganz deutlich zu schreiben: der Mailaccount ist heutzutage der Masterschlüssel für sämtliche deiner Accounts (-> PW Zurücksetzung). Es wäre also ein leichtes für mich gewesen, sich irgendwo mit deinen Logindaten anzumelden, es sei denn, diese wären 2FA gesichert gewesen. Dann hätte ich aber trotzdem vollen Zugriff auf deinen Mailverkehr gehabt.
    Das Passwortändern ist also weniger auf den Microsoftaccount selbst zu sehen, sondern auf alle Accounts, bei dem dieses Mailpostfach hinterlegt ist.

  7. Re: Mal eben Outlook.com Passwort ändern...

    Autor: flow77 16.04.19 - 00:25

    spoink schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum das Passwort der User ändern? Der Angreifer hatte die credentials
    > von
    > > nem Admin. Das Einzige, was er hätte machen können ist das Passwort
    > eines
    > > Users zu setzen um den Account zu übernehmen. Das fällt dem User aber
    > > sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals
    > > zugreifen.
    >
    > Nimm einfach mal an, ich hätte Zugriff auf dein Mailkonto (gehabt). Was
    > machst du?
    >
    > Um es nochmals ganz deutlich zu schreiben: der Mailaccount ist heutzutage
    > der Masterschlüssel für sämtliche deiner Accounts (-> PW Zurücksetzung). Es
    > wäre also ein leichtes für mich gewesen, sich irgendwo mit deinen
    > Logindaten anzumelden, es sei denn, diese wären 2FA gesichert gewesen. Dann
    > hätte ich aber trotzdem vollen Zugriff auf deinen Mailverkehr gehabt.
    > Das Passwortändern ist also weniger auf den Microsoftaccount selbst zu
    > sehen, sondern auf alle Accounts, bei dem dieses Mailpostfach hinterlegt
    > ist.

    Das ist korrekt.
    Eine Empörungswelle gibt es aber trotzdem nicht, selbst die Leute die in der Firma, sowie privat Microsoft hierfür nutzen sehen dass in meinem Bekanntenkreis als ziemlich entspannt an, bzw. waren sogar verärgert als ich das Thema angesprochen hatte. Wahrscheinlich nur Einzelfälle.

    Dagegen würden sie alle am liebsten einen Star-Anwalt aus Hollywood einfliegen wenn ihr Auto einen Haarriss bekommen hat. Wir sollten diesen Vorfall einfach als "OK" abstempeln, ich denke damit können alle wieder "alles gut" sagen und es läuft.



    1 mal bearbeitet, zuletzt am 16.04.19 00:26 durch flow77.

  8. Bringt doch nichts, weil.

    Autor: Truster 16.04.19 - 07:30

    Die hatten wohl Zugriff via Admin Center. Jeder, der ein Firmen-Office365 einsetzt, wird dieses portal in seiner Art kennen. Je nach Berechtigungsstufe haben sie Zugriff bis auf Passwörter - diese können nur zurückgesetzt werden. Und wenn man auf ein fremdes Postfach als Admin zugreift, wird automatisch eine E-Mail an verschiedenen Stellen und an den Besitzer des Postfaches zugestellt, wobei diese "E-Mail" nur dann sichtbar ist, wenn sich der Benutzer mit seinem eigenen Login bei seinem Postfach angemeldet hat. "Vollzugriff" ist hier nicht ausreichend.

  9. Re: Mal eben Outlook.com Passwort ändern...

    Autor: gaym0r 16.04.19 - 12:37

    spoink schrieb:
    --------------------------------------------------------------------------------
    > cry88 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Warum das Passwort der User ändern? Der Angreifer hatte die credentials
    > von
    > > nem Admin. Das Einzige, was er hätte machen können ist das Passwort
    > eines
    > > Users zu setzen um den Account zu übernehmen. Das fällt dem User aber
    > > sofort auf. Auf die Passwörter der User selber, kann kein Admin jemals
    > > zugreifen.
    >
    > Nimm einfach mal an, ich hätte Zugriff auf dein Mailkonto (gehabt). Was
    > machst du?

    Da du jetzt keinen Zugriff mehr hast: Jedenfalls nicht das Password des Emailkontos ändern. Warum auch?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Vorwerk Services GmbH, Wuppertal
  2. Beschaffungsamt des Bundesministeriums des Innern, Bonn
  3. DLR Simulations- und Softwaretechnik, Bremen
  4. Fiducia & GAD IT AG, Münster

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 89,90€ (Versandkostenfrei!)
  2. (u. a. Forza Horizon 4 Xbox One/Windows 10 für 34,49€, F1 2019 Legends Edition für 38,99€)
  3. (aktuell u. a. Netzteile von Thermaltake ab 44,99€, AMD Ryzen 7 2700 für 189,90€, Corsair K70...
  4. ab 127,00€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Minecraft Dungeons angespielt: Fehlt nur noch ein Klötzchen-Diablo in der Tiefe
Minecraft Dungeons angespielt
Fehlt nur noch ein Klötzchen-Diablo in der Tiefe

E3 2019 Von der Steuerung bis zu den Schatzkisten: Minecraft Dungeons hat uns beim Anspielen bis auf die Klötzchengrafik verblüffend stark an Diablo erinnert - und könnte gerade deshalb teuflisch spaßig werden!

  1. Augmented Reality Minecraft Earth erlaubt Klötzchenbauen in aller Welt
  2. Microsoft Augmented-Reality-Minecraft kommt zum zehnten Jubiläum
  3. Jubiläum ohne Notch Microsoft feiert Minecraft ohne Markus Persson

Doom Eternal angespielt: Die nächste Ballerorgie von id macht uns fix und fertig
Doom Eternal angespielt
Die nächste Ballerorgie von id macht uns fix und fertig

E3 2019 Extrem schnelle Action plus taktische Entscheidungen, dazu geniale Grafik und eine düstere Atmosphäre: Doom Eternal hat gegenüber dem erstklassigen Vorgänger zumindest beim Anspielen noch deutlich zugelegt.

  1. Sigil John Romero setzt Doom fort

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    1. HP Elitebook 700 G6: Business-Notebooks mit zweiter AMD-Ryzen-Pro-Generation
      HP Elitebook 700 G6
      Business-Notebooks mit zweiter AMD-Ryzen-Pro-Generation

      Der Computerhersteller HP hat seine Elitebook-Generation der 700er-Serie aktualisiert. Wie gehabt, werden in dieser High-End-Serie von Geschäftskundennotebooks AMD-Prozessoren eingesetzt.

    2. Machine Learning: Google bietet vorgefertigte Umgebungen für KI-Training an
      Machine Learning
      Google bietet vorgefertigte Umgebungen für KI-Training an

      Googles Deep Learning Containers sind in der Cloud gehostete Entwicklungsumgebungen, in der Nutzer ohne viel Einrichtungsaufwand ihre Machine-Learning-Software trainieren können. Die Container schöpfen Ressourcen direkt aus der Google-Cloud mit Intel-CPUs und Nvidia-GPUs. Amazon war aber zuerst da.

    3. Spielebranche: "Katastrophe biblischen Ausmaßes für die deutsche Branche"
      Spielebranche
      "Katastrophe biblischen Ausmaßes für die deutsche Branche"

      Es ist ein Schock für Spielentwickler: Nach der gefeierten Förderung mit rund 50 Millionen Euro zeichnet sich ab, welche Summe der zuständige Bundesminister Andreas Scheuer für das Jahr 2020 bereitstellt - nichts.


    1. 12:55

    2. 12:40

    3. 12:24

    4. 12:02

    5. 11:51

    6. 11:00

    7. 10:40

    8. 10:25