Fortschritte im Kampf gegen Nickdiebstahl und Betrug

Liebe Knuddelsfreunde,


mit dem gestrigen Update haben wir wesentliche Verbesserungen eingeführt, um Nickdiebstahl und Betrug auf Knuddels zu vermeiden:


1. Öffnung des TAN-System
Das TAN-System hat sich bewährt, den virtuellen Besitz unserer User effektiv gegen Angriffe zu schützen. Deshalb haben wir es geöffnet, so dass jetzt jeder das TAN-System aktivieren kann, der mindestens einen Knuddel besitzt (vorher nur mit Smiley). Mit dem Erhalt des ersten Knuddels wird man auf das TAN-System aufmerksam gemacht. Ab 100 Knuddels macht das System nochmals auf sich aufmerksam und wirbt für die großen Vorteile bei der Nick-Sicherheit.

2. Einsicht der letzten Logins
In der eigenen Whois sowie der eigenen QuickWhois gibt es jetzt einen Button "Logins". Mit diesem Button kann man einsehen, wann sich der eigene Nick das letzte Mal eingeloggt hat. Bei dem Verdacht auf Nickdiebstahl vollzieht man mit dieser Methode schnell nach, ob sich ein Fremder Zugang zum eigenen Nick verschafft hat.

3. Überarbeitete Version des Passwort-Tests
Kolloid und Inni haben sich hingesetzt und den Passwort-Test überarbeitet und auf den aktuellen Stand gebracht. Der Test klärt jetzt ausführlich über alle Formen möglicher Angriffe auf. Außerdem öffnet sich der Passwort-Test früher. Sobald ein Nick mindestens fünf Knuddels besitzt oder einen tauschbaren Smiley besitzt, beginnt der Test. Damit ist sichergestellt, dass Besitzer wertvoller Nicks rechtzeitig erfahren, wie sie ihren Nick effektiv schützen können.

4. System-Nachrichten eindeutig von User-Nachrichten unterscheidbar
Mit dem neuen Layout der /m-Ansicht sind jetzt System-Nachrichten (z.B. von James oder dem Notrufsystem) klar von User-Nachrichten unterscheidbar. Damit verbessern wir die Unterscheidung zwischen Fake-Nachrichten und echten System-Nachrichten.


Diese Verbesserungen finden im Rahmen unserer Initiative zur Nachhaltigen Verbesserung der Qualität statt. Damit ist der Anfang gemacht, es liegt aber noch ein riesiger Berg an Arbeit von uns.


Euer Holgi

P.S. Ich habe im Forum die Threads mit Verbesserungsvorschlägen zu den Änderungen entdeckt und habe dort viele, gute Ideen gefunden. Auf diese Ideen komme ich nächste Woche zurück, die besten davon setzen wir zeitnah um.

So sicher wie ihr euch seit,ist auch euer Tan system nicht.
Des öfteren kam es dennoch vor,obwohl Tan aktiviert war,das man uns die knuddels und die smileys bzw auch den Nick geklaut hatte.
Statt da was zu unternehmen,macht man lieber neuen mist rein,was garkein Mensch braucht.
Dieses Hi oder /m im Profil,was soll der Quatsch? Das braucht keiner.


Denkt mal drüber nach

Wer es nicht sinnvoller zu dem Logindatum auch die Login-IP anzuzeigen?
So könnte man einfach sehen ob jemand Fremdes mit dem Nick eingeloggt war.

Ich weiß zwar nicht was du hast aber das Tan System ist so gut wie ziemlich sicher außer wenn du nicht weißt wie du damit umzugehen hast
Wenn deine Knuddels trotz Tan weg waren dann hast du dort wohl was falsch eingestellt denn du kannst einstellen ab welcher Anzahl an Knuddels sich Tan melden sollte. Und dein Nick hat eher wenig mit Tan zu tun denn dein Nick ist nicht durch Tan gesichert sondern nur die Smileys und Knuddels.
Und beurteile nicht über alle wer was braucht denn du sprichst nur deine Meinung aus und nicht die von allen anderen.

Ps. Seit - seid.



Jap ich würde es auch sinnvoll finden wenn wenigstens einige Zahlen sichtbar wären also die ersten 3 zumindest.

Hallo, Knuddels!!

Ich hatte einen Nick vor 2 Jahren, der wurde perma gesperrt und ja der wurde geklaut von irgend einem und ja es wird nur meine IP-Adresse angezeigt!!

Der was mein damaligen Nick geklaut hat Soll damals einen nick angeboten haben aber ich war das nicht!!


Kein Admin hier in Knuddels glaubt mir das weil nur Meine IP-Adresse angezeigt wird!

Sorry das ich das hier rein schreibe! Nur ich wusste nicht wo anderes rein!

also mein damaliger Nick hieß furby10!!

und es were echt Sehr nett von euch Noch mal nachzuschauen!

Ich war das nicht !!!!!!!!!!!

LG Thomas A.

dafür sind admins da

Hallo,


die fortgeschrittenen Maßnahmen im Bezug auf Diebstahl des Nicknames sind sehr gut gewählt. Nur kann ich imho nicht feststellen, dass sich etwas am Passwort-Test geändert haben soll. Vermutlich wurde der Passwort-Test um viele wichtige Fragen und Antworten erweitert. Ich werde das später einmal in Angriff nehmen und den Passwort-Test auf seine Neuerungen testen.

Besonders die Mitglieder des Anti-Phishing-Team freuen sich über diese Änderungen – vielen Dank!


zu Reiner44:

Inwiefern wurden denn trotz Aktivierung des TAN-Systems die Knuddels geklaut? Es ist schon wichtig, dass du das genauer beschreibst, denn dann kann sich die Chatleitung um den sog. Fehler direkt kümmern. Ich wüsste nicht, dass es einen derartigen Fehler gibt, welcher die Sicherheit im Bezug auf das TAN-System hindert.

Mir käme gerade nur Eines in den Sinn: jener User hat sich nicht ausreichend mit den Einstellungen des TAN-Systems befasst, damit das TAN-System auch an entsprechenden Stellen greift. Hat ein User bspw. 50 Knuddels, so sollte das TAN-System auf 1-5 gestellt werden – nur so kann gewährleistet werden, dass maximal 45 Knuddels gesichert werden. Verschenkt ein aber User gar keine Knuddels, reicht es auch, die Anzahl der Knuddels auf 0 zu stellen.


zu Kollegah da KING of Rap:

Wenn man die IP-Adresse (was es sowieso nicht geben wird) anzeigen lassen würde und der eigene Nickname geklaut werden würde, so hätte derjenige, welcher den Nickname geklaut hat, unrechtmäßigen Zugriff auf deine eigene IP-Adresse – und genau das birgt Gefahren! Sollte es aber dennoch derartige Einsichten geben, so sollte die Loginlist um einen Parameter erweitert werden – die sog. IP-Adresse darf dann nur durch Eingabe einer TAN-Nummer möglich sein.

Ja und? Admins schreiben einen auch nicht sofort an wenn man IP Abweichung hat und zudem ist die eigene IP wohl kein Geheimnis.

Nunja, wenn man einen Trojaner o.ä. auf dem PC hat sehen die Hacker die IP sowieso...
Zudem reichen ja auch Teile der IP aus um zu überprüfen ob nur man selber eigelogt war...

html > Bei Schüler VZ geht das doch auch dass man die IP der letzen 5 Tage sehen kann Die Idee dass man die IP Nur mit einer Tan sehen kann finde ich wiederrum nicht schlecht

Hogi > Die neuen UPdats finde ich wirklich sehr sinnvoll

Huhu,

Daumen hoch - ich finde diese Maßnahmen angebracht und super. Danke! Das hat die Chatleitung gut gemacht.
Nun habt ihr mal Zeit für Bugs.

Ich finde, dass dies ein richtiger Schritt war in die Richtung Sicherheit, dennoch sollten aber die Fehler im Chat behoben werden, bevor weitere Funktion zur Community hinzugefügt werden.

- writeless.

Es werden keine vollständigen IP-Adressen mehr angezeigt. Daher kann man das, was gezeigt wird, auch dem User selbst zeigen, solange es sich dabei um die eigenen Werte handelt.

Eine sehr gute Neuerung, vor allem für User ohne tauschbaren Smiley. Sehr gut durchdacht und ein dickes Lob an die CL:-)
Bezüglich der eigenen IP sichtbar wäre dies sicher nicht verkehrt, aber nur mit TAN-Aufforderung, denn wie bereits erwähnt wurde, wenn der Nick geklaut wurde sieht man die IP und das muss nicht sein (klar, stimmt auch bei Trojaner und so), trotzdem sollte eine, zumindest kleine, Absicherung vorhanden sein, wenn der User sich mal nicht sicher ist, ob er zu dem und dem Zeitpunkt wirklich on war (war eben schon der Fall - "komisch, ich war da doch gar nicht on"). So kann der User selbst überprüfen, ob die IP die gleiche ist, ohne gleich einen Admin belästigen zu müssen kannst Du bitte mal IP-Abgleich machen, ich bin mir nicht sicher, ob ich on war (trägt zur Belustigung sicherlich bei, aber unnötige Arbeit für die Admins^^).
Also IP-Freigabe ja, aber nur mit TAN.

Das weiß ich auch. Ich wollte nur jetzt keine große Welle machen – interne Funktionen und Einsichten gehen anderen Usern ja immerhin nichts an. Mir ging es nur darum, falls es im Bezug auf die IPs Änderungen geben sollte, dass es nur in Verbindung mit einer TAN-Nummer geschehen darf.

Seh ich genau so.
Ich finde es auch wenig hilfreich nur die Zeit zu sehen...
Keiner merkt sich genau wann er sich die letzten Tage eingeloggt hat.
Und wie es in der Login List selber steht:

Wenn jemand gucken will ob etwas auf einen Nick zu holen ist geht das meistens sehr schnell und wird dann warscheinlich nicht angezeigt, wenn der Nickbesitzer kurz vorher selber eingeloggt war.

In diesem Punkt muss ich dir Recht geben, ich habe es mir auch schon durch den Kopf gehen lassen was das bringen sollte, dann alles was da gezeigt wird ist ja immerhin nicht geheim. Wenn ein IP-Hash teilweise angezeigt werden könnte, wäre es doch sinnvoller als einfahc nur Logindatum und Zeit anzuzeigen, bringt ja immerhin gar nicht, vorallem dann nicht, wenn einige Logs ja gar nicht angezeigt werden.

Ich frage mich auch gerade, was es bringt die Zeiten anzusehen? Wäre auch für wenigstens eine Teilweise anzeige der IP, sonst ist es irgendwie sinnfrei. Allein schon, wenn ich nur einen LogIn pro Tag angezeigt bekomme.

Aber trotz aller Kritik, der erste Schritt in eine schon lange und zurecht geforderte Richtung!

Hallo,

ohne die Anzeige der IP-Adresse macht diese Funktion eigentlich wenig Sinn, zumal ja nicht mal jeder Login einzelnd angezeigt wird und man so wohl kaum nur an den Zeiten erkennen wird, ob ein anderer mit dem Nicknamen online war - es sei denn man merkt sich genau, wann man zuletzt eingeloggt war.

Übrigens ist es üblich, das neben Loginzeiten auch die IP-Adressen angezeigt werden (z. B. VZ-Netzwerke). Ein Risiko geht m.M.n. davon auch nicht aus - aber man könnte die IP ja durchaus um den letzten Block kürzen.


Gute Grüße,
RigoSH

Risiko wäre in dem Fall wenn sich ein ein Dritter Zugang zum Nick verschafft und die IP Adresse hat.

Abhilfe schafft ein IP-Hash