Donnerstag, September 20, 2007
E-Mail-Passwort vergessen, aber noch in Outlook gespeichert
Heute war ich wieder auf einem Support-Einsatz bei einem Bekannten. Er hatte sich einen neuen Laptop gekauft, den er neben seiner älteren Workstation als Zweitgerät nutzen wollte.
Als ich seine zwei E-Mail-Konten (Bluewin und GMail) auf dem neuen Gerät in Outlook einrichten wollte, konnte er sich partout nicht mehr an das GMail-Passwort erinnern? Was nun?
Die Passwort Recovery-Funktion war leider nicht zu gebrauchen, da er wohl bei der Einrichtung von GMail keine Zweitadresse angegeben hatte, auf die das Passwort in solchen Fällen gesendet werden sollte. Auch die Frist von 5 Tagen Inaktivität in solchen Fällen konnten und wollten wir nicht verziehen lassen.
Deshalb entschied ich mich für das letzte noch verbliebene Hintertürchen: Da auf der Workstation das GMail-Konto mit POP-Abruf unter Outlook eingerichtet war und das Passwort dank dem lebensrettenden Häkchen gespeichert wurde, konnte ich mich eines Netzwerk-Sniffers bedienen:
Einziger Haken: GMail spricht nur verschlüsselt mit pop.gmail.com. Da nützt kein noch so toller Sniffer etwas. Als ich die Verschlüsselung deaktivierte, entdeckte der Sniffer weiterhin nichts. Unverschlüsselt verweigert der GMail-Server anscheinend von vorneweg den Dienst.
Die letzte Hoffnung erwies sich als begründet: Ich änderte den Posteingangsserver des GMail-Kontos in Outlook auf pop.bluewin.ch. Unlogisch, nicht? Nej, denn dieser Server hat zwei tolle Eigenschaften, die sich in diesem Notfall als äusserst nützlich erwiesen:
- Er akzeptiert unverschlüsselte POP3-Verbindungen
- Er akzeptiert jeden Login-Benutzernamen
Letzteres ist meines Wissens so eingerichtet, um Spammern das Leben zu erschweren: Wenn der Server nämlich brav Auskunft gibt, ob ein Benutzername (= oftmals die Mail-Adresse selbst) auf dem Server existiert, lässt sich relative rasch eine Attacke mit Wortlisten durchführen und erhält so eine Liste gültiger Mail-Adressen. (Ich mag mich bei dieser Begründung aber auch irren ...)
Da der Benutzernamen offensichtlich akzeptiert worden war (so dachte es jedenfalls das gute, alte Outlook 2003), fuhr die Applikation fort, das Passwort zu übermitteln. Mangels Verschlüsselung geschah dies im Klartext - wunderbar, genau, was ich wollte! Und siehe da, einige Hundertstelsekunden später stand es in der Liste der von SniffPass abgefangenen Passwörter.
Auftrag erfüllt, der Kunde überglücklich - und das Passwort jetzt auf einem Papier als Gedächtnisstütze notiert.
Labels: Mail, Passwort, PC-Support
Abonnieren
Kommentare
neuen Kommentar verfassen
Wie wärs mit einem Passwort Recovery Tool von nirsoft? Wesentlich einfacher und auch schneller...
Noch einfacher:
http://www.download-tipp.de/shareware_und_freeware/1811.shtml
PantsOff (dummer Name) starten und Lupe über gespeichertes Passwort ziehen...
Ich muss mich meinem Vorredner anschliessen. PantsOff ist genial.
Einziges Problem, es wird von einigen Antiviren-Softwaren als Spyware erkannt, also AV ausschalten.
Jap.. PantsOff.. :-) Und alle Passwörter lassen die Hosen runter.. *g*
pffff... Warum extra eine Software installieren, wenns auch ohne geht? Auch der Download ist viel kleiner ;-)
Wie schon einmal erwähnt:
http://www.nirsoft.net/utils/mailpv.html
Und Du schimpfst Dich PC-Supporter??? Just kidding... :-)
Möchte mich meinen Vorrednern anschliessen, aber auf "Snadboy's Revelation" hinweisen. Funktioniert anstandslos und wird nicht als Spyware erkannt.
Ausserdem gibt es speziell für Outlook noch zwei andere nützliche Tools: Den "Save my Settings Wizard" von Microsoft selber (zu finden unter Microsoft Office -> Office Tools) oder Outback Plus 6 von AJ Systems. Mit beiden Tools kannst Du die Einstellungen von Outlook ex- und wieder importieren...
die Passwortfelder werden trozdem verschlüsselt angezeigt :S funktioniert doch nicht mit dieser luppe -.-!!