Donnerstag, 20. September 2007
Heute war ich wieder auf einem Support-Einsatz bei einem Bekannten. Er hatte sich einen neuen Laptop gekauft, den er neben seiner älteren Workstation als Zweitgerät nutzen wollte.
Als ich seine zwei E-Mail-Konten (Bluewin und GMail) auf dem neuen Gerät in Outlook einrichten wollte, konnte er sich partout nicht mehr an das GMail-Passwort erinnern? Was nun?
Die Passwort Recovery-Funktion war leider nicht zu gebrauchen, da er wohl bei der Einrichtung von GMail keine Zweitadresse angegeben hatte, auf die das Passwort in solchen Fällen gesendet werden sollte. Auch die Frist von 5 Tagen Inaktivität in solchen Fällen konnten und wollten wir nicht verziehen lassen.
Deshalb entschied ich mich für das letzte noch verbliebene Hintertürchen: Da auf der Workstation das GMail-Konto mit POP-Abruf unter Outlook eingerichtet war und das Passwort dank dem lebensrettenden Häkchen gespeichert wurde, konnte ich mich eines Netzwerk-Sniffers bedienen:
SniffPass v1.02
Einziger Haken: GMail spricht nur verschlüsselt mit pop.gmail.com. Da nützt kein noch so toller Sniffer etwas. Als ich die Verschlüsselung deaktivierte, entdeckte der Sniffer weiterhin nichts. Unverschlüsselt verweigert der GMail-Server anscheinend von vorneweg den Dienst.
Die letzte Hoffnung erwies sich als begründet: Ich änderte den Posteingangsserver des GMail-Kontos in Outlook auf pop.bluewin.ch. Unlogisch, nicht? Nej, denn dieser Server hat zwei tolle Eigenschaften, die sich in diesem Notfall als äusserst nützlich erwiesen:
- Er akzeptiert unverschlüsselte POP3-Verbindungen
- Er akzeptiert jeden Login-Benutzernamen
Letzteres ist meines Wissens so eingerichtet, um Spammern das Leben zu erschweren: Wenn der Server nämlich brav Auskunft gibt, ob ein Benutzername (= oftmals die Mail-Adresse selbst) auf dem Server existiert, lässt sich relative rasch eine Attacke mit Wortlisten durchführen und erhält so eine Liste gültiger Mail-Adressen. (Ich mag mich bei dieser Begründung aber auch irren …)
Da der Benutzernamen offensichtlich akzeptiert worden war (so dachte es jedenfalls das gute, alte Outlook 2003), fuhr die Applikation fort, das Passwort zu übermitteln. Mangels Verschlüsselung geschah dies im Klartext – wunderbar, genau, was ich wollte! Und siehe da, einige Hundertstelsekunden später stand es in der Liste der von SniffPass abgefangenen Passwörter.
Auftrag erfüllt, der Kunde überglücklich – und das Passwort jetzt auf einem Papier als Gedächtnisstütze notiert.