Das trifft ein paar wilde Annahmen:
> 1. Deutsche Rufnummern sind amerikanische in Area Codes organisierte (keine 4-5-stelligen Vorwahlen)
> 2. Jede ist hierzulande ein Handy (oder mit nun wirklich ungewöhnlichen Festnetz-Vorleseservice ausgestattet) und kann daher SMS empfangen.
> 3. Jeder ist jederzeit am Ort der angemeldeten Nummer telefonisch erreichbar.
eBay hat natürlich auch in meiner Domain wie die meisten anderen (so
nach etwaigen Hacks recht einfach zuzuordnenden und schlimmstenfalls
abweisbaren) Sites&"potentiellen Primärziele" eine dedizierte Inbox.
Seit 21. Mai 2014 ist dort keine Nachricht mehr eingegangen (MTA, MUA
& alle anderen Konten funktionieren freilich), weder nach 5 Minuten
(die eBay für den Versand benötigen will) noch nach über 50 Stunden.
Nun wurde wohl endlich ein weiterer Dienst eingerichtet, der per
Festnetzanruf (an immer noch kurios US-formatierte Nummer) die PIN
durchsagt:
Nach Bestätigung per Tonwahltaste (so man sie hat) dreimal im
Eiltempo, aber immerhin, das funktioniert dann (wenn man trotz
gleichzeitig zu bedienenden Telefons schnell genug tippen kann oder
überDAUschnittlich merkfähig ist ;-)) und gibt die Möglichkeit zur
Änderung auf ein neues Passwort, das nun den üblichen Regeln genügen,
d.h. mindestens 6 Zeichen IIRC inkl. Sonderzeichen/Großbuchstaben/
Zahlen enthalten muß.
Vorher reichten m.W. 5-6 Kleinbuchstaben, aber sollte das bei gut
gesalzenen Hashes einen wesentlichen Unterschied machen?
Die erste Begrüßung nach dem Re-Logon nach Passwortänderung ist
freilich… immer [wieder|noch] eine Aufforderung zur Passwortänderung.
=;-o
> Zuerst war ein Hinweis auf die Aufforderung zur Änderung des Passworts auf
> der Website der eBay-Tochter Paypal aufgetaucht, dann aber wieder verschwunden.
Das trägt nicht eben zur Beruhigung bei, zumal nachdem dort ein
Zwei-Faktor-Verfahren per SMS eingeführt wurde, die nach meiner
Erfahrung in den letzten Wochen immer seltener ankommen und dann
durch so "sichere, vertrauliche" Antworten wie den "Mädchenname der
Mutter" ersetzt werden müssen (ohne daß sich "Ihre SMS hat mich
(wiederholt) nicht erreicht" als vielleicht eher eine absenderseitige
Diagnose triggernder Grund statt "Schlüssel nicht dabei" angeben
lassen würde).
> 1. Deutsche Rufnummern sind amerikanische in Area Codes organisierte (keine 4-5-stelligen Vorwahlen)
> 2. Jede ist hierzulande ein Handy (oder mit nun wirklich ungewöhnlichen Festnetz-Vorleseservice ausgestattet) und kann daher SMS empfangen.
> 3. Jeder ist jederzeit am Ort der angemeldeten Nummer telefonisch erreichbar.
eBay hat natürlich auch in meiner Domain wie die meisten anderen (so
nach etwaigen Hacks recht einfach zuzuordnenden und schlimmstenfalls
abweisbaren) Sites&"potentiellen Primärziele" eine dedizierte Inbox.
Seit 21. Mai 2014 ist dort keine Nachricht mehr eingegangen (MTA, MUA
& alle anderen Konten funktionieren freilich), weder nach 5 Minuten
(die eBay für den Versand benötigen will) noch nach über 50 Stunden.
Nun wurde wohl endlich ein weiterer Dienst eingerichtet, der per
Festnetzanruf (an immer noch kurios US-formatierte Nummer) die PIN
durchsagt:
Nach Bestätigung per Tonwahltaste (so man sie hat) dreimal im
Eiltempo, aber immerhin, das funktioniert dann (wenn man trotz
gleichzeitig zu bedienenden Telefons schnell genug tippen kann oder
überDAUschnittlich merkfähig ist ;-)) und gibt die Möglichkeit zur
Änderung auf ein neues Passwort, das nun den üblichen Regeln genügen,
d.h. mindestens 6 Zeichen IIRC inkl. Sonderzeichen/Großbuchstaben/
Zahlen enthalten muß.
Vorher reichten m.W. 5-6 Kleinbuchstaben, aber sollte das bei gut
gesalzenen Hashes einen wesentlichen Unterschied machen?
Die erste Begrüßung nach dem Re-Logon nach Passwortänderung ist
freilich… immer [wieder|noch] eine Aufforderung zur Passwortänderung.
=;-o
> Zuerst war ein Hinweis auf die Aufforderung zur Änderung des Passworts auf
> der Website der eBay-Tochter Paypal aufgetaucht, dann aber wieder verschwunden.
Das trägt nicht eben zur Beruhigung bei, zumal nachdem dort ein
Zwei-Faktor-Verfahren per SMS eingeführt wurde, die nach meiner
Erfahrung in den letzten Wochen immer seltener ankommen und dann
durch so "sichere, vertrauliche" Antworten wie den "Mädchenname der
Mutter" ersetzt werden müssen (ohne daß sich "Ihre SMS hat mich
(wiederholt) nicht erreicht" als vielleicht eher eine absenderseitige
Diagnose triggernder Grund statt "Schlüssel nicht dabei" angeben
lassen würde).