Nutzerdaten der Frankfurter Stadtbücherei gehackt – ein offenbar unterschätztes Sicherheitsrisiko

onleihe:hilfe
Aktuelle Meldungen finden Sie stets auf der :hilfeseite für die Onleihe.

  • Hier im Forum wurde die Eingabe des Geburtsdatums inzwischen deaktiviert. Das Feld im Profil gibt es nicht mehr.

    Also kann man hier durchaus etwas bewirken.


    Leute, wenn ihr hier oder sonstwo Schwachstellen erkennt – macht darauf aufmerksam, verlangt deren Behebung!

    Das ist keine Herabwürdigung der Arbeit von Verantwortlichen und Mitarbeitern. Denn die Schließung von Schwachstellen nutzt allen, Betreibern und Nutzern.


    Danke an die Betreiber des Forums, divibib-support, Admin, Moderatoren ... wer auch immer hinter den Kulissen darauf gedrängt und dafür gesorgt hat, dass hier eine potenzielle Sicherheitslücke gestopft wurde. Und setzt Euch bitte dafür ein, dass auch andere Defizite möglichst rasch eliminiert werden.

  • Seit gestern ist der

    Katalog der Stadtbücherei Frankfurt wieder online!


    Wer jetzt sein altes, möglicherweise kompromittiertes Passwort ändern möchte, kann dies folgendermaßen tun:

    • Den Katalog der Stadtbücherei Ffm aufrufen.
    • Den Button "Login" anklicken.
    • Im daraufhin erscheinenden Anmeldungsbild Ausweisnummer und Passwort nicht eingeben und nicht auf "weiter" klicken, sondern "Passwort vergessen?" anklicken.
    • Im daraufhin erscheinenden Bild E-Mail-Adresse und Ausweisnummer eingeben und "Passwort zurücksetzen" anklicken.
    • Kurze Zeit später findet sich im E-Mail-Postfach eine Mail von Katalogverlaengerung@stadt-frankfurt.de mit einem maschinell erzeugten 10-stelligen Passwort, bestehend aus Groß-, klein-Buchstaben und Ziffern.

    Der "Nachteil" ist, dass sich dieses Passwort nicht so leicht merken lässt, wie der eigene Geburtstag, was aber nicht besonders tragisch sein dürfte, da bei Vergessen einfach erneut wie oben beschrieben vorgegangen werden kann.


    Ich hätte mir sogar ein etwas längeres Passwort zusätzlich mit einigen Sonderzeichen gewünscht ... aber immerhin. Wer jedoch partout auf Sonderzeichen im Passwort besteht oder gerne ein leichter zu merkendes haben möchte, kann auch zu seiner Bibliothek gehen und sein Wunschpasswort von der Bibliothekarin in den Computer eingeben lassen. Wovon ich allerdings abraten möchte, da Passwörter (übrigens im beiderseitigen Interesse!) auch die Angestellten des Dienstes, für dessen Inanspruchnahme man ein Passwort benötigt, dieses nicht kennen sollten.


    Und bevor mir jemand ans Bein pinkelt, weil er damit nicht zurechtkommt: Alles wie immer ohne Gewähr.


    Wichtige Ergänzung (17.01.2019): Es gibt eine viel einfachere Möglichkeit der Passwort-Änderung, auf die mich Bibliothekarin aufmerksam machte (s.u.). Das hier geschilderte Verfahren sollte also tatsächlich nur dann angewendet werden, wenn man das Passwort vergessen hat.


    Die vermeintlichen Restriktionen gelten daher ebenfalls nicht. Es kann ein sehr langes (Wunsch-)Passwort mit Sonderzeichen eingegeben werden, was keine Wünsche mehr offenlässt – außer dass die Stelle, an der das möglich ist nach meiner (beschränkten – ja, ich gebe es zu!) Auffassung etwas versteckt ist.

    2 Mal editiert, zuletzt von ThomasK () aus folgendem Grund: Rechtschreibe korrigiert: "auch Angestellten" -> "auch die Angestellten"

  • Ich hätte mir sogar ein etwas längeres Passwort zusätzlich mit einigen Sonderzeichen gewünscht ... aber immerhin

    Ja, und noch was: Nach diesem Verfahren steht das Passwort unverschlüsselt im Posteingangsfach, bzw. nach dem Löschen erstmal im "Papierkorb". Sicherer wäre es bspw. gewesen, wenn man auf eine Seite geführt würde, auf der das Passwort mitgeteilt wird und die nach Klick auf einen entsprechenden Button für immer verschwindet oder eine ähnliche Lösung. Aber hier sind außer der Stadtbücherei Frankfurt auch andere Dienstanbieter offenbar noch nicht so weit. So bleibt in diesem Falle nur: Selber dafür sorgen, dass Mails mit Passwörtern möglichst rückstandslos gelöscht werden.


    Jetzt höre ich schon die Frage: "Was soll denn mit dem Passwort in einer E-Mail schon passieren?". Solange sich niemand in euren PC eingehackt hat nichts. Aber wenn es doch mal passieren sollte wäre es sicherlich eher unangenehm, wenn ein Angreifer im Postkasten sämtliche Passwörter seines Opfers unverschlüsselt vorfände. Ich sag's ja bloß ...

  • Vielleicht einfach den/die Datenschutzbeauftragten des Trägers der Frankfurter Bibliothek mal auf diese Sicherheitslücken aufmerksam machen.


    In meiner Bücherei ist es schon seit Jahren so, dass man selbst das Passwort im WebOPAC verändern kann, aber Standard-Passwort ist dort das Geburtsdatum, also rückständig und fortschrittlich gleichzeitig :/

    Die meisten Menschen, die ich über die Möglichkeit der Passwort-Änderung informiere, winken allerdings ab;).

  • Ich hätte mir sogar ein etwas längeres Passwort zusätzlich mit einigen Sonderzeichen gewünscht ... aber immerhin. Wer jedoch partout auf Sonderzeichen im Passwort besteht oder gerne ein leichter zu merkendes haben möchte, kann auch zu seiner Bibliothek gehen und sein Wunschpasswort von der Bibliothekarin in den Computer eingeben lassen.

    Ich habe jetzt extra geschaut welches System in Frankfurt eingesetzt wird und da sollte es nach dem Login mit dem Zufallskennwort die Möglichkeit geben das PAsswort zu ändern. Da wir das gleiche System einsetzen weiß ich, dass die Schaltfläche hierfür sehr unscheinbar ist aber existieren müsste. Einfach mal die Symbole anschauen, die über den persönlichen Daten angezeigt werden. Da Frankfurt ein eigenes Design verwendet kann ich nicht sicher sagen, ob die Logos die selben sind aber bei uns ist das ein Papier mit einem gelben Schloss davor.

  • Ich habe jetzt extra geschaut welches System in Frankfurt eingesetzt wird und da sollte es nach dem Login mit dem Zufallskennwort die Möglichkeit geben das PAsswort zu ändern. Da wir das gleiche System einsetzen weiß ich, dass die Schaltfläche hierfür sehr unscheinbar ist aber existieren müsste. Einfach mal die Symbole anschauen, die über den persönlichen Daten angezeigt werden. Da Frankfurt ein eigenes Design verwendet kann ich nicht sicher sagen, ob die Logos die selben sind aber bei uns ist das ein Papier mit einem gelben Schloss davor.

    Tatsächlich!


    "Sehr unscheinbar" beschreibt den Sachverhalt wirklich treffend:


    pasted-from-clipboard.png


    Also: Bitte zur Passwortänderung auf dieses Symbol klicken. Alles weitere erklärt sich danach von selbst.


    Auch die vermeintlichen Restriktionen, von denen ich in meinem obigen Beitrag geschrieben hatte, existieren daher nicht. Ich konnte ein sehr langes Passwort mit Sonderzeichen eingeben und musste nicht Sorge tragen, dass irgendwas verräterisches in meinem Postfach zurückbleibt.


    Fast perfekt! Nur das Symbol könnte etwas auffälliger gestaltet werden (Seniorengerecht) – Ohne Lesebrille hätte ich da keine Chance :)


    Danke Bibliothekarin für Deinen Hinweis!

  • Nur das Symbol könnte etwas auffälliger gestaltet werden (Seniorengerecht)

    Da stimme ich voll und ganz zu, das ist uns auch schon aufgefallen. Daher gibt es bei uns Hinweisblätter wo das entsprechend markiert ist. Ich werde das aber auch an den Anbieter weiterleiten. Vielleicht tut sich da mal noch was.

  • [...] Nur das Symbol könnte etwas auffälliger gestaltet werden (Seniorengerecht) – Ohne Lesebrille hätte ich da keine Chance :)

    Ebenfalls volle Zustimmung. Dieses Icon finde ich unmöglich. Viel zu klein; außerdem: warum nicht als Text-Link?

    Das Design meiner Heimatbibl. ist zwar total unmodern, aber gerade das Textlastige finde ich gut. Bei uns sieht es so aus:

    test.jpg

  • Zitat

    Die Symbole sind im Größenverhältnis angepasst an das gesamte Layout . Grundsätzlich können Sie für eine Vergrößerung die Zoom-Funktion Ihres Browsers nutzen.

    Hier ein Auszug aus der Rückmeldung des Anbieters. Eine barrierearmere Version ist jedoch wohl in Arbeit.

  • Zitat

    Die Symbole sind im Größenverhältnis angepasst an das gesamte Layout . Grundsätzlich können Sie für eine Vergrößerung die Zoom-Funktion Ihres Browsers nutzen.

    Und was hab' ich nicht alles probiert: Prili, Isoprobat-Alkohol (von Kindern fernhalten), Mikroflusentuch, Schmürgelpapier (bitte nicht nachmachen!) ... aber der Fliegenschiss auf dem Bildschirm war einfach nicht weg zu kriegen! Ach was? – das waren Symbole? Das nächste mal nehme ich gleich Zoom®. ^^

  • Munzinger


    Jetzt hab' ich mich gefreut, dass ich für den Online-Zugriff auf den Katalog meiner Heimat-Bibliothek – und damit auch auf die Onleihe – ein langes Passwort, außer mit Buchstaben, auch mit Sonderzeichen und Ziffern, verwenden kann – und jetzt, nach dem gescheiterten Versuch, mich als Inhaber eines Bibliotheksausweises der Stadtbücherei Frankfurt, bei Munzinger einzuloggen, schreibt man dort nach meiner Anfrage: "Wenn also ihr Passwort unterschiedliche Sonderzeichen beinhaltet oder eine größere Länge hat, kann es dazu führen, dass die Schnittstelle Ihre Eingabe nicht sauber verarbeitet und keine gültige Rückmeldung (Fehler 500) gibt. Daher würde ich Ihnen empfehlen, Ihr Passwort zu variieren und die Anmeldung im Anschluss erneut zu versuchen."


    Das heißt doch auf Deutsch: Bitte verwenden Sie ein simples, relativ unsicheres Passwort. – Ich kanns nicht glauben!


    Da das auch die Sicherheit bei Onlinekatalog-Zugriff und Onleihe betrifft – ist ja immer das selbe Passwort! – poste ich das mal hier, auch wenn das ein Missstand ist, den weder Divibib noch (wahrscheinlich) Bibliotheken zu verantworten haben.


    Bitte erkundigt euch selbst und fragt nach Abhilfe. Danke.

  • Wenn also ihr Passwort unterschiedliche Sonderzeichen beinhaltet oder eine größere Länge hat, kann es dazu führen, dass die Schnittstelle Ihre Eingabe nicht sauber verarbeitet und keine gültige Rückmeldung (Fehler 500) gibt

    Mir ist nur bekannt, dass Umlaute ein Problem machen, mit Sonderzeichen hatten wir bisher keine Schwierigkeiten. Das Problem liegt in diesem Fall dann (nach meiner Einschätzung) auch nicht direkt an Munzinger sondern an der Schnittstelle die verwendet wird. Das Problem müsste dann eigentlich auch bei der Onleihe auftreten, die verwenden nämlich eigentlich die gleiche Schnittstelle.

  • Mir ist nur bekannt, dass Umlaute ein Problem machen, mit Sonderzeichen hatten wir bisher keine Schwierigkeiten.

    Und wieder einmal war der Tipp der Bibliothekarin goldrichtig! Ich hatte einen einzigen Umlaut in meinem megatollen zufallsgenerierten Passwort mit Sonderzeichen und Trallala. Den tauschte ich gegen einen "normalen" Buchstaben aus – und schon klappte die Anmeldung bei Munzinger.


    Komisch, dass Munzingers Support das nicht so recht wusste. Ich werde denen jedenfalls schreiben, damit sie – falls das Problem mal bei jemand anderem auftritt, ein wenig kompetenter beraten können.

    Das Problem müsste dann eigentlich auch bei der Onleihe auftreten, die verwenden nämlich eigentlich die gleiche Schnittstelle.

    Nee, mit der Onleihe hatte ich in Bezug auf Umlaute überhaupt kein Problem. Das war also schon irgendwie eine Munzinger-Spezialität. Ist zwar ein kleiner Schönheitsfehler, dass Umlaute im Passwort bei Katalog und Onleihe funktionieren und bei Munzinger nicht. Das ist aber (wenn man's erst mal spitzgekriegt hat) nicht weiter tragisch.


    Jedenfalls Danke Bibliothekarin!

  • Nee, mit der Onleihe hatte ich in Bezug auf Umlaute überhaupt kein Problem. Das war also schon irgendwie eine Munzinger-Spezialität. Ist zwar ein kleiner Schönheitsfehler, dass Umlaute im Passwort bei Katalog und Onleihe funktionieren und bei Munzinger nicht. Das ist aber (wenn man's erst mal spitzgekriegt hat) nicht weiter tragisch.

    Mich wundert, dass die Onleihe damit keine Probleme hatte. Weil in unserer Bibliothek ist das Problem auch schon aufgekommen und zwar in Zusammenhang mit der Onleihe und hier wurde als Übeltäter die Schnittstelle vom Bibliothekssystem identifiziert. Diese kann eigentlich keine Umlaute verarbeiten, vom Anbieter des Bibliothekssystems haben wir diese Info aber auch nur auf Nachfragen erhalten. Es kann höchstens sein, dass die Onleihe in Frankfurt unterschiedliche Schnittstellen für Onleihe und Munzinger nutzt. Aber Munzinger selber kann da nix dafür...

  • Mich wundert, dass die Onleihe damit keine Probleme hatte [...]

    Hi Bibliothekarin,

    nein hatte sie wirklich keine. Ich habe, nachdem ich mein Superhyperpasswort (18 Stellen! Sonderzeichen!!!8):thumbup::):!:Umlaute!!!! :() erstellt hatte, etliche E-Books und -Magazine in der Onleihe ausgeliehen. Kein Problem! Weshalb ich immer noch dazu neige, davon auszugehen, dass der Fehler doch eher auf der Munzinger-Seite liegt. Und sei es, dass die vielleicht eine veraltete Schnittstelle nutzen ...


    Wie sieht es denn bei anderen Nutzern aus? Gibt es da welche, die Umlaut-"kontaminierte" Passwörter sowohl für die Onleihe als auch für Munzinger problemlos verwenden können?


    Aktualisierung: Neue Info!

    E-Mail von Munzinger:

    Hat Bibliothekarin doch recht gehabt!

    Einmal editiert, zuletzt von ThomasK () aus folgendem Grund: Neue Informationen

  • dass der Fehler doch eher auf der Munzinger-Seite liegt. Und sei es, dass die vielleicht eine veraltete Schnittstelle nutzen ...

    Vielleicht hat sich an der Schnittstelle vom Bibliothekssystem was geändert und bei der Abfrage über Munzinger wird etwas nicht korrekt übermittelt. In meinem Fall lag das Problem damals definitiv am Lokalsystem.

    Generell wäre es vermutlich sinnvoll, wenn du deine Erlebnisse an deine Heimatbibliothek weitergibst, dann können die schauen in wieweit sie Hinweise einblenden können oder mit Munzinger auf die Suche gehen können wo das Problem liegt.


    Ich persönlich würde generell keine Umlaute in Passwörtern verwenden, da man bei Nutzung im Ausland da recht schnell mal ein Problem kriegen kann, wenn das Gerät dann kein deutsches Tastaturlayout hat...