Seltsam,
jetzt habe ich grade mein Dropbox Passwort geändert, aber wenn ich im iPhone die Dropbox App öffne, lande ich ohne Eingabe des neuen Passworts in meiner Dropbox.
Am Desktop funktioniert - so wie es sein soll - nur das neue Passwort.

Hat jemand Ideen?
Dank und Gruß
Fadenschein

Das muss ich leider bestätigen. Auch auf meinem Zweitrechner funktioniert das alte PW noch.

Das ist normal und richtig so. Ihr müsstet eure bereits mit dem Account verbundenen Geräte davon trennen, wenn ihr das ändern wollt.

Das ist meiner Meinung nach nicht ungewöhnlich. Eure angemeldeten Geräte "booten" sozusagen direkt in Dropbox durch, da sie beim Service noch als vertrauensvoll registriert sind.
Meldet die Geräte einmal ab und wieder an, dann müsst ihr auch das neue Passwort eingeben.

... das schreibt Dropbox sogar auf die Webseite nach einer Passwort-Änderung und IIRC auch in einer E-Mail die man nach so einer Änderung erhält ...

Die Apps melden sich ja nicht mit dem Passwort an sondern haben ein Token bekommen (nachdem man sie einmal per Passwort authentifiziert hat)

Dh, wenn jemand meinen account gehackt hat, hat er auch ein "Token" bekommen und kommt trotz neuem PW noch immer an meine Daten? Ich hoffe, etwas daran falsch verstanden zu haben

Roobert

Durchaus nicht. Du kannst in deinem Konto nachschauen, welche Geräte sich wann angemeldet haben und auch entsprechend Geräte löschen, denen du zukünftig den Zugriff verweigern willst. Es sei denn, der- oder diejenige kennt das Passwort...

Glaube ich nicht. Mach mal folgendes: Im Browser in die Dropbox gehen, dabei mal das alte Passwort ausprobieren, geht mit Sicherheit nur mit dem neuen Passwort. Dann in den Dropbox Einstellungen (im Browser) in die Einstellungen gehen und im Reiter Sicherheit alle Geräte löschen.

Dann der Reihe nach die Geräte wieder anmelden und dabei das alte Passwort verwenden. Geht mit Sicherheit nicht, es muss das neue genommen werden. Jetzt sind alle Geräte korrekt angemeldet.

Ok danke, dann bin ich beruhigt Mich hatte nur die Erklärung von ela stutzig gemacht.

(die aber durchaus korrekt war…)

@alle
Danke für Eure Hinweise

Eure Erklärungen mögen stimmen, trotzdem erwarte ich ein anderes Verhalten der Geräte, wenn ich von Dropbox zur Passwortänderung aufgefordert werde. Von Abmelden oder gar Löschen von Geräten in den Einstellungen stand in der Mitteilung keine Silbe.
Welchen Vorteil hat denn dieses rumgetoke im Gegensatz zu einer normalen Passwortabfrage?

Es ist korrekt:
- Wurde das Passwort entwendet und ein dritter hatte Zugang, dann können seine/ihre Apps ebenfalls ein Token bekommen haben und trotz Passwortänderung weiterhin zugreifen.

- Aber, wie hier bereits erklärt wurde, hast Du im Browser bei Dropbox eine Übersicht der Geräte, denen "Du" (oder der Hacker) Zugang gewährt hast. Einfach alle rauswerfen, die Du nicht kennst... Die Geräte die Du kennst kannst Du drin lassen... oder auch rauswerfen und neu anmelden wenn Du Dich damit besser fühlst

Ich habe dort einige alte Geräte gefunden (steht ja immer dabei wann der letzte Zugang war). Die habe ich bei der Gelegenheit mal aufgeräumt

Nö, ich erwarte genau das, wie es ist
Warum? Weil es sehr bequem ist. Ich kann den Zugang ändern ohne dass ALLE (von mir) angebundenen Lösungen brechen! Ich würde irre werden, wenn ich danach an zig Computer müsste um zig Anwendungen erneut Zugang zu erteilen!

Genau dafür gibt es ja das Token-System und genau dafür gibt es die Übersicht der zugelassenen Geräte/Apps.

Und ich bin ziemlich sicher, dass das in der Mail stand oder aber auf der Webseite gezeigt wurde, nachdem ich das Passwort geändert hatte! Ich musste jedenfalls nicht suchen und wurde da durch- oder hingeführt.

So, hier mal der Wortlaut der Dropbox-E-Mail nach meiner Passwort-Änderung:

Also was soll Dropbox tun um das noch genauer zu erklären?

Danke für die Erklärung. Die hätte ich mir allerdings wirklich von Dropbox gewünscht. Denn Dropbox schrieb mir genau das hier:

(Ausgangsnachricht)
Dann das hier:

und schließlich:

Auf der Webseite, von der ich keinen Screenshot habe, gab es auch keinen Hinweis.
Ich bezweifle übrigens, dass viele Dropbox-User die Liste der angemeldeten Geräte kennen oder wissen, dass sich die Einstellmöglichkeiten auf der Website von denen unterscheiden, die über die Mac-App erreichbar sind.
Ich finde diese Informationspolitik durch Dropbox absolut mangelhaft angesichts der Schwere des Zwischenfalls. Ohne diesen Thread würde ich meinen Dropbox-Account nach der Passwortänderung für sicher halten, obwohl ein Hacker weiterhin über das Token Zugang zu meinen Daten haben könnte.
Ich hielte eine Regelung über normale Passwortabfrage für wesentlich besser. Jedes Gerät würde bei der nächsten Benutzung dann einmalig das neue Passwort abfragen - fertig. Das würde bestimmt niemanden in den Wahnsinn treiben. Und nichts anderes geschieht nach Löschen der Geräteliste. So etwas dem DAU - wie z.B. mir - zu überlassen, ist fahrlässig.

Interessant.
Diese Nachricht habe ich 1. nicht bekommen, 2. würde ich sie so verstehen, dass zwar mein Passwort geändert wurde, aber die Verknüpfung der Geräte mit meinem Account prinzipiell weiterhin besteht (aber jetzt mit geändertem Passwort).
Dropbox müsste explizit darauf hinweisen, dass der Zugang der anderen Geräte weiterhin ohne Einschränkung möglich ist - statt dieses verschwurbelte Computerdeutsch aus dem Google-Übersetzer zu schicken.

Haben diese Token kein Ablaufdatum? 24h, z.B. Dann wären "alte" Geräte irgendwann automatisch "draußen". Wenn dem nicht so, fände ich das wirklich nicht so gut. Denn dann müsste man regelmäßig in diese Liste schauen.

Also du verstehst
Also viel klarer kann man es wirklich nicht ausdrücken. Ich hab die E-Mail mit dem selben Text übrigens auch nach dem Ändern des PWs bekommen. Das wird bei jedem so sein.

Die von dir zitierte Aussage ist zum Thema Passwort und Sicherheit so unklar, wie es nur sein kann. Da wird immer das Wort "verknüpft" verwendet. Das beziehe ich ausschließlich auf die Synchronisationsfunktion von Dropbox. Für mich bedeutet das Geschriebene: "Sie haben Ihr Passwort zurückgesetzt. Ihre Mobilgeräte und Computer werden aber weiterhin über Ihren Dropbox-Account miteinander synchronisiert - vorausgesetzt natürlich, Sie geben auf diesen Geräten das neue Passwort für Ihren Account ein." Der letzte Halbsatz ist natürlich meine eigene Schlussfolgerung, die aber aus der allgemein üblichen Funktion von Passwörtern folgt. Du kannst ja mal in deinem Umfeld fragen, wer nicht denkt, dass durch eine Passwortänderung der Zugang zu einem Account blockiert wird. Oder wer da weiß 1. was ein Token-System ist, und 2. welche Konsequenzen das hat.
Das Problem hier ist, wie gesagt, das vollkommen schwammige Wort "verknüpft", dass sich für mich eindeutig auf die Synch-Funktion bezieht, aber nach der Passwortänderung nicht, aber auch gar nicht, auf weiterhin kompromittierte Sicherheit hinweist.

Der nachfolgende Hinweis auf verlorene Geräte ist genauso wenig hilfreich: da ich kein Gerät verloren habe, schaue ich auch gar nicht in diese Liste, da für mich irrelevant.

Fazit: Dropbox benennt das Problem nicht (hinreichend) verständlich. Im Gegenteil trägt diese Formulierung tendenziell dazu bei, dass sich die User aufgrund des geänderten Passworts in falscher Sicherheit wiegen.
Und im Zweifelsfall würde ich das sogar für justitiabel halten - heißt: Dropbox könnte für Datendiebstähle/illegale Zugriffe nach der Passwortänderung haftbar gemacht werden.

Nach meinem gegenwärtigem Kenntnisstand kann ich das Tokensystem nur als Sicherheitsrisiko ansehen. Seinen Sinn begreife ich nicht (s. oben).

Wenn die Tickets kein Ablaufdatum besitzen, dann würde ich das auch so sehen. Denn AFAIK erhöht das Ticket-System die Sicherheit ein wenig, weil nicht dauernd mit dem richtigen Kennwort (automatisiert) hantiert werden muß.

Du solltest vielleicht einfach lernen wie Dropbox funktioniert. Wenn ich einen Dienst intensiv nutze, weiß ich auch was "verknüpft" heißt. Alleine die Energie dieses Threads hätte dir viel Erleuchtung gebracht. Aber jetzt weißt du ja Bescheid was verknüpft heißt und kannst dementsprechend reagieren. Kann übrigen auch nur jeden Raten seine Verknüpfungen öfters mal zu überprüfen. Betrifft auch nicht nur die Dropbox, andere machen das nämlich genauso.

Dieser Thread hat mir viel Erleuchtung gebracht.
Erleuchtung allerdings, die von Dropbox hätte kommen müssen.
Die Verantwortung auf den User abzuwälzen, so wie du es nahelegst, nachdem offenbar doch 1. Dropbox gehackt, 2. Dropbox immer wieder die Einfachheit seines Dienstes bewirbt (und jetzt soll der User auf einmal begreifen, wie ein Token-System funktioniert? und das auch noch, ohne dass Dropbox den Begriff überhaupt erwähnt oder anders erläutert, wie der Zugriff auf den Geräten geregelt ist? - das kann nicht dein Ernst sein!) und 3. nicht in der Lage ist allgemeinverständlich zu formulieren, dass die Passwortänderung allein keine Sicherheit schafft (was ist daran eigentlich so schwer???), würde ich übrigens für eine absolut fatale Strategie halten. Wenn Unternehmen anfangen, ihre Kunden für zu blöd zu erklären, ist das nur eines: Das Ende dieser Unternehmen.
Ich wüsste auch gerne, ob Dropbox das Wort "verknüpft" irgendwo in deinem Sinne definiert - ich konnte bei einer raschen Suche eben nichts finden, unter anderem auch nicht auf der Dropbox-Seite zur Sicherheit. Für mich gibt es ganz klar einen Unterschied zwischen "verknüpft sein" und "Zugriff haben".

Und in jedem Fall bleibt es miserable Kommunikation durch Dropbox.

Ein Token-System bringt gleich zwei Vorteile:
- Wenn du ein Gerät raus haben willst, kannst du nur dieses entfernen ohne alle anderen Systeme bearbeiten zu müssen. - Diese Bestrebungen sind nicht nur auf reine online-account beschränkt, auch mit den RFID-Schlüsseln z.B. wird darauf abgezielt bei Verlust eines Gerätes (heir Schlüssel) nur diesen zu deaktivieren, statt überall die Schlüssel/Passwörter ändern zu müssen.

- Ein Passwort, dass der Computer nicht kennt, kann nicht abhanden kommen. Egal wie gut verschlüsselt, irgendwann ist jeder Schlüssel zu knacken, immer wieder tauchen Sicherheitsprobleme auf, etc. - ist auf dem Computer nur dein Token statt dem Passwort gefährdet ein Angriff auf den einzelnen Computer nicht die Sicherheit deines Passworts, das du evtl. an mehreren Stellen bzw. für unterschiedliche Dienste verwendest.

Ohne dir nahe treten zu wollen, Rosember, das Problem liegt in deinem mangelnden Verständnis, welches mittels einfacher Recherche auf den Hilfeseiten von DB behoben werden kann. Ich wäre da etwas vorsichtig mit "justiziabel" und "miserable Kommunikation". Man kann DB sicher vorwerfen, dass seit 2012 ein bisschen viel Zeit vergangen ist, aber nicht, dass das Verfahren unklar beschrieben ist.

Das Verfahren ist übrigens auch bei Twitter so (MacOS, iOS, und diverse Twitter-Clients können autorisiert werden - welche Clients das sind kann man in den Twitter-Einstellungen seines Kontos sehen).
Und Flattr macht das auch.
Google ebenfalls (ich nutze z.B. einen RSS-Reader über ein Google-Konto)
Facebook auch
und und und...

Die Schwierigkeit liegt immer irgendwo zwischen "es soll alles noch viel einfacher werden" und "es soll jeder genau verstehen, was da wie und wo genau passiert"

Es wird nichts anderes übrig bleiben, als sich wenigstens ein wenig einzulesen in neue Techniken und sich selbst schlau zu machen, was da passiert (in der Schule wird so etwas nicht vermittelt - bisher) - oder eben damit zu leben, dass nichts 100%ig sicher ist.
Ist gar nicht böse gemeint. Als Softwareentwickler sitze ich selbst immer wieder in Besprechungen wo über solche Dinge diskutiert wird (nicht auf solchem Sicherheits-Niveau - aber die Herausforderung besteht schon bei vermeintlich einfachen Programmfunktionen...)

Schick mir doch mal einen Link, wo das Verfahren auf den Seiten von DB beschrieben ist. Ich habe eben nachgeschaut und NICHTS gefunden.

Außerdem bleibt der Hinweis von DB, man müsse das Passwort ändern irreführend, weil genau das ALLEIN an der kompromittierten Sicherheit überhaupt nichts ändert. Erst im Zusammenhang mit dem Sichten der Geräteliste ist gegebenenfalls etwas gewonnen. Wo findet sich der Hinweis darauf??? Und zwar in der Ausgangsmail.
Es ist schön für euch, dass ihr so viel von diesen Mechanismen versteht. Ihr dürftet allerdings eine verschwindende Minderheit sein.

Arne R.
Nun und den Schwachpunkt des Token-Systems erleben wir gerade, nämlich den gehackten Token-Server. Ein überaus attraktives Ziel für Hacker, weil mit einem einzigen Hack alle Accounts geklaut werden können. Ich bin mir sehr sicher, dass z.B. Apple genau weiß, warum sie nicht auf ein solches System zurückgreifen.

Eigentlich hätte es gereicht, wenn Dropbox alle Tokens nach dem Passwortwechsel deaktiviert hätte, so dass sich die betroffenen Nutzer (und nur die) auf ihren jeweiligen Geräten noch mal neu anmelden müssen. Aber das hätte wohl zu viele Nutzer aufgeschreckt.

Für Rosember: und

PS: Ich würde dir empfehlen, die zweistufige Überprüfung einzurichten. Damit bist du auf jeden Fall noch mehr gesichert. Ich habe sie auch seit einiger Zeit aktiviert.

Apple greift auch auf Token-basierte Authentifizierung zurück, nachzulesen hier:
https://support.apple.com/de-de/HT202303

Ein Token kannst du dir vorstellen wie ein einmalig generiertes Passwort für genau ein Gerät. Ist jetzt ein Gerät kompromittiert, dann ist dein Passwort noch lange nicht geklaut und du musst lediglich das eine Gerät deautorisieren.


Aber ja ist nicht wirklich transparent erklärt in den Emails die du da gepostet hast.

tranquility
Danke für die Links.
Der erste bestätigt übrigens, dass die Änderung des Passworts überhaupt keinen Effekt hat, wenn ein Hacker sich ein Token für meinen Account besorgt hat (denn die Passwortänderung wird automatisch an alle angemeldeten Geräte weitergegeben.

Also: Was soll dann das Gekasper mit der Passwortänderung?
Zweite Frage: Warum gibt es keinen gut sichtbaren Link zu diesen Infos auf der Eingangsseite von DB und warum steht das unter "Hilfe" (ich habe ja keine Probleme beim Benutzen von Dropbox)? Wie wäre es mit "Infos zur Funktionsweise"? - Als DAU weiß ich ja gar nicht, dass ich in Wahrheit trotz Passwortänderung ein Sicherheitsleck habe - dass sich noch dazu mit der Passwortänderung auch gar nicht beheben lässt.

(Die Zweitstufenauthentifizierung habe ich übrigens schon seit dem ersten Tag ihrer Existenz aktiviert.)

Wie gesagt: Dropbox führt seine User durch die Aufforderung in die Irre, durch die Passwortänderung ließe sich das System wieder sicher machen - was jedoch laut Link 1 schlicht und ergreifend falsch ist. Der Hinweis, dass streng genommen alle Geräte abgemeldet werden müssten fehlt.

Ganz im Ernst: Würdet ihr so etwas nicht auch Totalversagen beim Beheben der Sicherheitslücke nennen?

Nein, das ist kein "Totalversagen" Ich glaube Du steigerst Dich da gerade etwas hinein.
Diese Tokens sind eine tolle Sache. Hat jemand Deinen Token geklaut (also ein Gerät entwendet/angegriffen), kann er genau DAMIT zugreifen (und je nachdem was für das Token hinterlegt ist auch nicht unbedingt auf alles zugreifen)

Warum also das Passwort ändern? Na, damit der Bösewicht sich nicht auf der Webseite einloggt, DEINE ÜBRIGEN Geräte entkoppelt und dann das Passwort für sich ändert DANN bist Du nämlich erst richtig gekniffen.

Und: Wenn Du 2-Faktor aktiv hast, brauchst Du IMHO ohnehin nicht panisch werden. Sollte sich jemand einloggen um dann das Passwort für sich zu ändern, wird er das ohne 2. Faktor nicht können... wäre also nur ein Problem, wenn der Bösewicht neben den Daten auch Dein 2-Faktor-Gerät besitzt

Ergo:
- Ändere das Passwort - sicher ist sicher
- prüfe die Liste der Verknüpften Geräte/Anwendungen
Gut ist.

Falls Du Apps hast die mit anderen Diensten agieren, kannst Du ja am Wochenende mal dort online in Dein Konto schauen, ob Du dort ebenfalls so eine Liste verknüpfter Anwendungen findest und dann räumst Du da auch gleich mal auf Habe ich neulich erst wieder bei Twitter gemacht (da waren zig Apps drin die ich irgendwann mal getestet hatte)

Ich habe überhaupt keine Panik und mache mir um meinen eigenen Account nicht die geringsten Sorgen, nur um das nochmals klarzustellen.
Aber ich kenne VIELE Leute die Dropbox benutzen und erheblich weniger von diesen Dingen verstehen als ich. Denen suggeriert DB, die Probleme wären behoben, indem das PW zurückgesetzt wird. Das stimmt jedoch nur für den Browserzugriff (der eher die Ausnahme sein dürfte).
Das eigentliche Problem entspringt den Tokens. Und nach den gegenwärtigen Hinweisen von DB kommt so gut wie niemand auf den Gedanken, dass diese Lücke durch ein geändertes PW nicht geschlossen wird. Millionen DB-Nutzer denken, alles sei wieder gut, was es aber nicht ist. Und das alles nur, weil DB nicht (allgemeinverständlich) auf den Kern des Problems hinweist.

Das ist katastrophales Management dieser massiven Sicherheitslücke - und ich bleibe dabei, das ein Totalversagen zu nennen.
Und das wirklich ganz nüchterner Analyse dessen, was ich hier gelernt habe.

Aber die Tokens sind doch nicht geklaut worden. Die liegen doch auf den Endgeräten. Und solange das nicht geklaut wurde UND das PW geändert wurde ist doch alles in Butter.

Zusätzlich hat man Kontrolle darüber, welche Geräte wann Zugriff hatten und kann das reglementieren. Wenn ein bisher unbekanntes Gerät Zugriff hat, bekommt man AFAIK eine Mail.

PS: Ich habe zur Sicherheit auch noch meine DB-Mailadresse geändert. Man weiß ja nie ....

Richtig.

@tranquillity
Ja, es waren "nur" die Passwörter. Aber damit ist ein Fremder in der Lage ein eigenes Gerät mit DB zu verknüpfen. Dies behält auch dann einen gültigen Token, wenn du das Passwort zurück setzt. In so fern hat Rosember schon recht, hier können Nutzerdaten auch weiterhin in Gefahr sein.
Aber: Die Nutzer hätten schon stutzig werden müssen, als sie benachrichtigt wurden, dass ein bisher unbekanntes Gerät neu verbunden wurde. In so fern: alle die auf eine solche Mail korrekt reagieren, sind außer Gefahr. Und ehrlich gesagt, wer in dem Fall nicht reagiert, dem hilft auch keine noch so tolle Anleitung zu Token von DB.

Schon richtig, allerdings bekommt man ziemlich viele E-Mails von DB, wenn man mit seinen Geräten unterwegs ist. Allein mein MBA steht deshalb mindestens sechs Mal in der Liste. Das führt rasch dazu, dass man solche Meldungen nur noch wegklickt. Und mancher DAU mag das 2012 auch einfach ignoriert haben.

Ich begreife nicht, warum DB nicht einfach schreibt, man solle die Liste checken, alles Unbekannte rausschmeißen und erst dann das PW ändern. Das wäre doch mal eine zielführende Problemlösung.
Machen sie aber nicht...

Hast du ihnen das auch vermittelt?

Ah, jetzt habe ich aber verstanden, was Rosember meint.
Stimmt, das ist ein wichtiger Punkt. Wobei ich nicht verstehe, wieso Geräte mehrfach auftauchen, bei mir ist jedes nur einmal in der Liste.

Ein Gerät taucht vermutlich u.a. mehrfach auf, wenn man den Dropbox-Client neu installiert hat nachdem z.B. die Platte getauscht oder ein neues OS installiert wurde.
Könnte bei mir passen… Ein PC und ein Mac standen zwei/drei mal drin

Ansonsten ist diese Diskussion doch irgendwie ein bisschen… Ich weiß nicht, warum Rosemember nicht die Bestätigungsmail bekommen hat die andere bekommen haben…

Aber das nimmt dann langsam Argumentationsketten an wie:
- Woher soll ich das mit dem Token wissen?
+ musst Du nicht. Guck einfach in die Geräteliste
- Aber von so einer Liste weiß ich gar nichts?!
+ Du hast einen Account angelegt und niemals durch die Einstellungen geklickt was man so einstellen kann?
- Das müssen DIE mir doch erklären wenn ich mich anmelde… und wenn ich das Passwort ändern muss!
+ Hm. Da kam nach Psw-Änderung so eine E-Mail in der…
- Nein, die habe ich nicht bekommen und überhaupt gibt es noch viele andere die viel weniger wissen als ich…

und nu?
+ Ist die Mail vielleicht im Spam-Ordner gelandet?
- …Das müssen DIE gefälligst verhindern!

sorry, die Ergänzung ist jetzt frei erfunden - aber möglich, oder?

Ne Du - Die Sache mit den Zugriffsrechten für Geräte und Anwendungen ist ja nun genau die EINE Methode wie DB (und viele andere) funktionieren. DB macht am Ende im Grunde nix anderes. Wenn man sich mit solchen grundlegenden Dingen nicht befasst, niemals seine Einstellungen bei einem Anbieter durchliest und/oder in unregelmäßigen Abständen überprüft, WAS genau soll ein Anbieter dann noch tun?

Mein Tipp: Schreib dem DB-Support einen Hinweis, dass sie Ihren Textbaustein für die nächste Lücke anpassen und schreiben: "Ändern Sie Ihr Passwort und prüfen Sie die Liste der Geräte und Anwendungen denen Sie Zugriff gewährt haben" – Die werden die Anregung vielleicht aufnehmen und beim nächsten Mal ist alles besser

Und mein Tipp, dies bei anderen Accounts mal zu prüfen, war durchaus ernst gemeint! Nicht immer wird man über Lücken informiert – und es schadet eigentlich nie, wenn man sich mal mit den Funktionen seiner Konten auseinandersetzt.

Zum Überprüfen kann man die Seite https://haveibeenpwned.com/ (wurde von ct empfohlen). Bei mir war tatsächlich noch ein nicht mehr genutzter Adobe-Account betroffen

Es ist wirklich erstaunlich, wie viel Energie man darauf verwenden kann, dem ganzen Internet zu erklären, dass man wirklich auf keinen Fall ein kleines Verständnisproblem hat oder vielleicht etwas nicht gleich beim ersten Mal kapieren konnte.

Nee, nee, der Textbaustein wäre bereits bei dieser Lücke zu ersetzen, weil diese Lücke durch PW-Wechsel nämlich nicht vollständig geschlossen wurde (s.o.).
Ich begreife nicht, warum du nicht erkennen kannst, dass DB die Sicherheitslücke durch das Token-System überhaupt nicht erwähnt.

Jeder (seriöse) Softwareingenieur sollte doch hoch daran interessiert sein, dass der User alle Infos bekommt, die er benötigt, um die Lücke wieder zu schließen. Diese Info ist nicht, dass ein PW-Wechsel erforderlich ist, sondern dass die Liste gecheckt gehört und dann ein PW-Wechsel notwendig ist. Ansonsten bleibt die Lücke eventuell eine Lücke.
Wenn Apple sich etwas Vergleichbares leistet, geht hier wie wild die Post ab: "So hilft das keinem, was ist das für ein besch...nes Sicherheitsmanagement etc. pp."
Wieso wird hier DB jetzt in Schutz genommen?
Jeder DAU hat inzwischen einen DB-Account. Warum schreibt DB dann nicht, wie man die Lücke wirklich schließt?

Das ist alles, worum es mir geht und ging. Ich bin nicht betroffen. Ich möchte einfach nur bessere Software und ein vernünftiges Sicherheitsmanagement!
Zu der Liste übrigens: Ich war sehr frühzeitig bei DB. Aus jenen Tagen kann ich mich nicht an eine entsprechende Liste erinnern. Außerdem ist es für User extrem verwirrend, dass die lokale App und die Webseite unterschiedliche Einstellungen anbieten.

Und auch das noch einmal für alle: Ja, es stimmt, ich kannte das Token-System vor dieser Diskussion nicht. Ich benutze meine Rechner zum Arbeiten auf anderen Gebieten. Ich achte aber durchaus bewusst auf Infos zur Sicherheit. Meine Rechner kriegen alle Updates sofort nach Erscheinen, und wenn ich von Hacks höre, prüfe ich, ob ich betroffen bin und nehme gegebenenfalls Anpassungen vor - so wie jetzt bei DB.
Ich finde es allerdings ziemlich daneben von DB, wenn ich hier erfahre, dass die angegebene Methode zum Schließen der Lücke in bestimmten Fällen überhaupt nicht funktioniert. Und wenn mir jetzt Softwareingenieure schreiben, es sei meine Aufgabe, die Funktionsweise von DB zu durchdringen, dann kann ich nur sagen: Sorry, so funktioniert die Wirklichkeit nicht! Und das wird jedes Unternehmen schnell merken, das nicht ausschließlich mit Software-Ings Geschäfte macht.

arminhempel
Wie häufig, meinst du denn, muss ich noch wiederholen, dass ich in der Tat ein Verständnisproblem hatte (und zwar weil DB mir nicht hinreichend erklärt hat, wie es seinen Service betreibt)? Dein zweite Halbsatz trifft es doch genau: "oder etwas vielleicht nicht gleich beim ersten Mal kapieren konnte"!
Im übrigen - und das sage ich mal aus Sicht des Krisenmanagements - sollte jedes Unternehmen, auch DB, es als Chance auffassen, die eigenen Leistungen und Angebote zu verbessern, wenn es zu solchen Diskussionen oder Rückmeldungen wie hier kommt. Nur absolute Vollhonks machen sich über zu dumme User lustig (aber ich hoffe, das weißt du).