Fortschritte im Kampf gegen Nickdiebstahl und Betrug

Liebe Knuddelsfreunde,


mit dem gestrigen Update haben wir wesentliche Verbesserungen eingeführt, um Nickdiebstahl und Betrug auf Knuddels zu vermeiden:


1. Öffnung des TAN-System
Das TAN-System hat sich bewährt, den virtuellen Besitz unserer User effektiv gegen Angriffe zu schützen. Deshalb haben wir es geöffnet, so dass jetzt jeder das TAN-System aktivieren kann, der mindestens einen Knuddel besitzt (vorher nur mit Smiley). Mit dem Erhalt des ersten Knuddels wird man auf das TAN-System aufmerksam gemacht. Ab 100 Knuddels macht das System nochmals auf sich aufmerksam und wirbt für die großen Vorteile bei der Nick-Sicherheit.

2. Einsicht der letzten Logins
In der eigenen Whois sowie der eigenen QuickWhois gibt es jetzt einen Button "Logins". Mit diesem Button kann man einsehen, wann sich der eigene Nick das letzte Mal eingeloggt hat. Bei dem Verdacht auf Nickdiebstahl vollzieht man mit dieser Methode schnell nach, ob sich ein Fremder Zugang zum eigenen Nick verschafft hat.

3. Überarbeitete Version des Passwort-Tests
Kolloid und Inni haben sich hingesetzt und den Passwort-Test überarbeitet und auf den aktuellen Stand gebracht. Der Test klärt jetzt ausführlich über alle Formen möglicher Angriffe auf. Außerdem öffnet sich der Passwort-Test früher. Sobald ein Nick mindestens fünf Knuddels besitzt oder einen tauschbaren Smiley besitzt, beginnt der Test. Damit ist sichergestellt, dass Besitzer wertvoller Nicks rechtzeitig erfahren, wie sie ihren Nick effektiv schützen können.

4. System-Nachrichten eindeutig von User-Nachrichten unterscheidbar
Mit dem neuen Layout der /m-Ansicht sind jetzt System-Nachrichten (z.B. von James oder dem Notrufsystem) klar von User-Nachrichten unterscheidbar. Damit verbessern wir die Unterscheidung zwischen Fake-Nachrichten und echten System-Nachrichten.


Diese Verbesserungen finden im Rahmen unserer Initiative zur Nachhaltigen Verbesserung der Qualität statt. Damit ist der Anfang gemacht, es liegt aber noch ein riesiger Berg an Arbeit von uns.


Euer Holgi

P.S. Ich habe im Forum die Threads mit Verbesserungsvorschlägen zu den Änderungen entdeckt und habe dort viele, gute Ideen gefunden. Auf diese Ideen komme ich nächste Woche zurück, die besten davon setzen wir zeitnah um.

So sicher wie ihr euch seit,ist auch euer Tan system nicht.
Des öfteren kam es dennoch vor,obwohl Tan aktiviert war,das man uns die knuddels und die smileys bzw auch den Nick geklaut hatte.
Statt da was zu unternehmen,macht man lieber neuen mist rein,was garkein Mensch braucht.
Dieses Hi oder /m im Profil,was soll der Quatsch? Das braucht keiner.


Denkt mal drüber nach

Wer es nicht sinnvoller zu dem Logindatum auch die Login-IP anzuzeigen?
So könnte man einfach sehen ob jemand Fremdes mit dem Nick eingeloggt war.

Ich weiß zwar nicht was du hast aber das Tan System ist so gut wie ziemlich sicher außer wenn du nicht weißt wie du damit umzugehen hast
Wenn deine Knuddels trotz Tan weg waren dann hast du dort wohl was falsch eingestellt denn du kannst einstellen ab welcher Anzahl an Knuddels sich Tan melden sollte. Und dein Nick hat eher wenig mit Tan zu tun denn dein Nick ist nicht durch Tan gesichert sondern nur die Smileys und Knuddels.
Und beurteile nicht über alle wer was braucht denn du sprichst nur deine Meinung aus und nicht die von allen anderen.

Ps. Seit - seid.



Jap ich würde es auch sinnvoll finden wenn wenigstens einige Zahlen sichtbar wären also die ersten 3 zumindest.

Hallo, Knuddels!!

Ich hatte einen Nick vor 2 Jahren, der wurde perma gesperrt und ja der wurde geklaut von irgend einem und ja es wird nur meine IP-Adresse angezeigt!!

Der was mein damaligen Nick geklaut hat Soll damals einen nick angeboten haben aber ich war das nicht!!


Kein Admin hier in Knuddels glaubt mir das weil nur Meine IP-Adresse angezeigt wird!

Sorry das ich das hier rein schreibe! Nur ich wusste nicht wo anderes rein!

also mein damaliger Nick hieß furby10!!

und es were echt Sehr nett von euch Noch mal nachzuschauen!

Ich war das nicht !!!!!!!!!!!

LG Thomas A.

dafür sind admins da

Hallo,


die fortgeschrittenen Maßnahmen im Bezug auf Diebstahl des Nicknames sind sehr gut gewählt. Nur kann ich imho nicht feststellen, dass sich etwas am Passwort-Test geändert haben soll. Vermutlich wurde der Passwort-Test um viele wichtige Fragen und Antworten erweitert. Ich werde das später einmal in Angriff nehmen und den Passwort-Test auf seine Neuerungen testen.

Besonders die Mitglieder des Anti-Phishing-Team freuen sich über diese Änderungen – vielen Dank!


zu Reiner44:

Inwiefern wurden denn trotz Aktivierung des TAN-Systems die Knuddels geklaut? Es ist schon wichtig, dass du das genauer beschreibst, denn dann kann sich die Chatleitung um den sog. Fehler direkt kümmern. Ich wüsste nicht, dass es einen derartigen Fehler gibt, welcher die Sicherheit im Bezug auf das TAN-System hindert.

Mir käme gerade nur Eines in den Sinn: jener User hat sich nicht ausreichend mit den Einstellungen des TAN-Systems befasst, damit das TAN-System auch an entsprechenden Stellen greift. Hat ein User bspw. 50 Knuddels, so sollte das TAN-System auf 1-5 gestellt werden – nur so kann gewährleistet werden, dass maximal 45 Knuddels gesichert werden. Verschenkt ein aber User gar keine Knuddels, reicht es auch, die Anzahl der Knuddels auf 0 zu stellen.


zu Kollegah da KING of Rap:

Wenn man die IP-Adresse (was es sowieso nicht geben wird) anzeigen lassen würde und der eigene Nickname geklaut werden würde, so hätte derjenige, welcher den Nickname geklaut hat, unrechtmäßigen Zugriff auf deine eigene IP-Adresse – und genau das birgt Gefahren! Sollte es aber dennoch derartige Einsichten geben, so sollte die Loginlist um einen Parameter erweitert werden – die sog. IP-Adresse darf dann nur durch Eingabe einer TAN-Nummer möglich sein.

Ja und? Admins schreiben einen auch nicht sofort an wenn man IP Abweichung hat und zudem ist die eigene IP wohl kein Geheimnis.

Nunja, wenn man einen Trojaner o.ä. auf dem PC hat sehen die Hacker die IP sowieso...
Zudem reichen ja auch Teile der IP aus um zu überprüfen ob nur man selber eigelogt war...

html > Bei Schüler VZ geht das doch auch dass man die IP der letzen 5 Tage sehen kann Die Idee dass man die IP Nur mit einer Tan sehen kann finde ich wiederrum nicht schlecht

Hogi > Die neuen UPdats finde ich wirklich sehr sinnvoll

Huhu,

Daumen hoch - ich finde diese Maßnahmen angebracht und super. Danke! Das hat die Chatleitung gut gemacht.
Nun habt ihr mal Zeit für Bugs.

Ich finde, dass dies ein richtiger Schritt war in die Richtung Sicherheit, dennoch sollten aber die Fehler im Chat behoben werden, bevor weitere Funktion zur Community hinzugefügt werden.

- writeless.

Es werden keine vollständigen IP-Adressen mehr angezeigt. Daher kann man das, was gezeigt wird, auch dem User selbst zeigen, solange es sich dabei um die eigenen Werte handelt.

Eine sehr gute Neuerung, vor allem für User ohne tauschbaren Smiley. Sehr gut durchdacht und ein dickes Lob an die CL:-)
Bezüglich der eigenen IP sichtbar wäre dies sicher nicht verkehrt, aber nur mit TAN-Aufforderung, denn wie bereits erwähnt wurde, wenn der Nick geklaut wurde sieht man die IP und das muss nicht sein (klar, stimmt auch bei Trojaner und so), trotzdem sollte eine, zumindest kleine, Absicherung vorhanden sein, wenn der User sich mal nicht sicher ist, ob er zu dem und dem Zeitpunkt wirklich on war (war eben schon der Fall - "komisch, ich war da doch gar nicht on"). So kann der User selbst überprüfen, ob die IP die gleiche ist, ohne gleich einen Admin belästigen zu müssen kannst Du bitte mal IP-Abgleich machen, ich bin mir nicht sicher, ob ich on war (trägt zur Belustigung sicherlich bei, aber unnötige Arbeit für die Admins^^).
Also IP-Freigabe ja, aber nur mit TAN.

Das weiß ich auch. Ich wollte nur jetzt keine große Welle machen – interne Funktionen und Einsichten gehen anderen Usern ja immerhin nichts an. Mir ging es nur darum, falls es im Bezug auf die IPs Änderungen geben sollte, dass es nur in Verbindung mit einer TAN-Nummer geschehen darf.

Seh ich genau so.
Ich finde es auch wenig hilfreich nur die Zeit zu sehen...
Keiner merkt sich genau wann er sich die letzten Tage eingeloggt hat.
Und wie es in der Login List selber steht:

Wenn jemand gucken will ob etwas auf einen Nick zu holen ist geht das meistens sehr schnell und wird dann warscheinlich nicht angezeigt, wenn der Nickbesitzer kurz vorher selber eingeloggt war.

In diesem Punkt muss ich dir Recht geben, ich habe es mir auch schon durch den Kopf gehen lassen was das bringen sollte, dann alles was da gezeigt wird ist ja immerhin nicht geheim. Wenn ein IP-Hash teilweise angezeigt werden könnte, wäre es doch sinnvoller als einfahc nur Logindatum und Zeit anzuzeigen, bringt ja immerhin gar nicht, vorallem dann nicht, wenn einige Logs ja gar nicht angezeigt werden.

Ich frage mich auch gerade, was es bringt die Zeiten anzusehen? Wäre auch für wenigstens eine Teilweise anzeige der IP, sonst ist es irgendwie sinnfrei. Allein schon, wenn ich nur einen LogIn pro Tag angezeigt bekomme.

Aber trotz aller Kritik, der erste Schritt in eine schon lange und zurecht geforderte Richtung!

Hallo,

ohne die Anzeige der IP-Adresse macht diese Funktion eigentlich wenig Sinn, zumal ja nicht mal jeder Login einzelnd angezeigt wird und man so wohl kaum nur an den Zeiten erkennen wird, ob ein anderer mit dem Nicknamen online war - es sei denn man merkt sich genau, wann man zuletzt eingeloggt war.

Übrigens ist es üblich, das neben Loginzeiten auch die IP-Adressen angezeigt werden (z. B. VZ-Netzwerke). Ein Risiko geht m.M.n. davon auch nicht aus - aber man könnte die IP ja durchaus um den letzten Block kürzen.


Gute Grüße,
RigoSH

Risiko wäre in dem Fall wenn sich ein ein Dritter Zugang zum Nick verschafft und die IP Adresse hat.

Abhilfe schafft ein IP-Hash

Wo ist da die Gefahr. Der Hacker hat dann eine Alte IP, damit kann der auch nichts anfangen. Ein IP-Hash bringt ein normalen User nichts, wie soll er da Abweichung genau analysieren?
Wichtig wäre glaube ich eher ein Popup bei Abweichungen um /16r Bereich innerhalb kurzer Zeit.

Nicht jeder hat immer eine andere IP, demnach wäre da das Risiko.
Nicht umsonst können Admins keine IPs mehr sehen.

Warum sollte ein User den IP-Hash nicht analysieren können?

Der IP-Hash ordnet der IP-Adresse des Posters einen Hashcode zu

und wenn sich nun jemand mit einer vollkommen anderen IP einloggt,
wird der Hashcode wohl anders sein

Genau das hab ich mir bei den Logindaten auch gedacht, wieso man nicht die eigene IP mitangezeigt bekommt.
Aber ansonsten finde ich es sehr gut das Knuddels schritt für Schritt die Neuerungen einführt die sich die Userschaft schon eine weile gewünscht hat.
Gut ding, brauch eben weile.
Weiter so.

Weil es genug Webseiten gibt wo man sich seine eigene IP ansehen kann. (www.wieistmeineip.de ist zum Beispiel eine) - Desweiteren kann man dann, wenn ein Nickdieb damit unterwegs war, die IP des anderen sehen. - einen netten Gruß an den Datenschutz.

Admins können keine IP's mehr sehen, weil diese IP's Adressen von anderen Usern rausgegeben haben, damit deren Internetleitung zugespammt werden kann um ein Vorteil beim Tagesfinale zu haben.
Die IP selber eines Users stellt erstmal für die Sicherheit eines Nutzers keine Gefahr da. Da muss die IP erstens noch aktuell sein und zweitens sollte jeder PC ausreichend geschützt sein, wenn nicht ist es die Schuld des Nutzers. Denn der PC-Nutzer hat rein rechtlich schon die Pflicht seine Internetleitung und somit auch seinen PC aureichend zu schützen. Eine kostenlose Firewall + Antivirenprogramm reicht aus.
Ausserdem braucht ein Hacker wohl kaum die aktuelle IP-Adresse mehr, wenn er bereits im Account ist. Da er wohl auch Zugriff auf E-Mail oder anderen Konten bereits hat und dort entsprechend mehr Schaden anrichten können.


Hashes würden den Nutzer zur Verwirrung führen, machen in sofern auch wenig Sinn. Da man diese sehr leicht entschlüsseln kann, wenn man die Gegenpaare hat. Würde es nicht statische Gegenpaare geben, wäre das Hashen eher willkürlich und hier hört dann die Analysefähigkeit für den normalen Nutzer auf.



Eine IP selber ist noch keine personen bezogene Information und somit Datenschutztechnisch nicht relevant. Ausserdem liegt hier die Interesse des Nickinhabers höher, als die des Hackers, somit sehe ich hier Gründe für Bedenken.

Hallo zusammen,

wir müssen zwischen den Personen die sich auskennen und denen die sich nicht auskennen unterscheiden.
Der größte Teil der Nutzer wird nicht wissen dass sein Provider evtl. mehrere IP-Ranges besitzt. Selbst von Admins (die die IPs eines Freundes/Freundin sehen konnten) gab es schon panische Meldungen, weil angeblich jemand mit dem Nick online war und sie eine fremde IP gefunden haben. Es stellte sich nach einigen Diskussionen und Grübeleien, wann man das letzte Mal online war, dann heraus, dass es nur eine ungewohnte IP des Providers war, die bisher einfach nicht auftauchte, oder bisher nicht bemerkt wurde.

Wir gehen davon aus, dass die Sichtbarkeit der IP-Adressen zu sehr vielen Falschmeldungen und zu mehr Panikmache führen wird. Man darf Knuddels nicht mit einem VZ-Netzwerk vergleichen, bei dem der Anreiz einen Nick zu klauen wesentlich geringer ist und auch weniger Personen vermuten, dass der Account fremdgenutzt werden könnte.

Mit einem IP-Hash die IP für den Nickeigentümer zu verschlüsseln wäre nicht hilfreich, da dieser sie nicht mit seiner IP zu Hause vergleichen könnte.

Dicht beieinander liegende Logins (mit selber IP) werden zusamen gefasst, d.h. wenn sich jemand fremdes mit dem Nick und einer abweichenden IP um 21.42h einloggt und man weiss, dass man nach 20h nicht mehr am PC war, dann ist die Sache klar und man kann es erkennen.

Die Angabe der IP-Adresse hilft einem auch nicht weiter, wenn man nicht nachvollziehen kann, welche IP man z.B. vor X Tagen hatte, welche IP Freunde oder das Internetcafé haben, bei denen man online war, o.ä.
Das wird für einen sehr aktiven Stammi alles klar sein, so wie er auch weiss dass man keine unbekannten Links anklickt oder wie man sein Passwort schützt. Unsicher ist es vor allem für die User, die sich eben nicht so gut auskennen.


Der Passworttest ist nicht komplett neu, sondern wurde an verschiedenen Stellen überarbeitet.
Es gibt bei einem Themenbereich komplett neue Fragen, in anderen Bereichen sind einzelne neue Fragen dazu gekommen und die bestehenden Fragen wurden (teilweise) von der Fragestellung her verändert.
Ziel war es, dass man mit dem Passworttest nicht nur rein Wissen abfragt (und ihn auch mit Durchklicken bestehen kann), sondern dass es z.B. bei den Antwortmöglichkeiten bereits Erklärungen gibt, damit neue User die Gründe und richtigen Lösungen immer wieder lesen und sie verinnerlichen. Es geht ja nicht nur darum was man nicht macht, sondern auch dass man lernt warum man dies nicht macht, um sich bei ähnlichen Situationen daran zu erinnern.

Erstmal geht es nicht darum seine eigene IP heraus zu finden sondern zu überprüfen ob jemand Fremdes mit dem Nick eingeloggt war.
Dann zum Thema Datenschutz wurden schon einige Lösungsvorschläge genannt:
IP-Hash
Teile der IP ausblednen (wie bei Admins)
TAN eingebe vor dem Einsehen der IP's

Wäre trotzdem nicht eine Warnmeldung sinnvoll wäre, wenn innerhalb von 6 Stunden eine extreme IP-Abweichung stattfand. Evtl auch eine E-Mail an den Besitzer mit den Logindaten und den entsprechenden IP's. Nun kann es aber immernoch zu Falschmeldungen kommen, aber die Warnmeldung kann dann auch entsprechend vorsichtig formuliert sein.


Natürlich wichtig dieses System an/ausschaltbar zu machen :)

Eine Warnung sollte es nur wegen IP Wechsel nicht geben.
Irgendwie ist das langsam etwas paranoid, hier so extrem auf die einfachen Logins abzugehen.

Wenn schon eine Meldung kommen soll, dann höchstens, wenn ein Login fehlgeschlagen ist, weil die Daten falsch waren.
Ich kenne diese Meldung von nem Emailprovider. Da steht normal lesbar, wann man sich zuletzt eingelogt hat. Wenn man seine Daten falsch eingegeben hatte, kommt ne deutliche Meldung dazu, das man aufmerksam wird. Mit IP. Das reicht völlig, finde ich.

Warum hier die IP versteckt wird, ist mir übrigens auch nicht klar. Nur weil ein Teil mit ner IP adresse nicht unbedingt was anfangen kann, muss man die Leute doch nicht so bemuttern. Als wäre das was gefährliches, seine IP zu sehen und zu lernen, was das ist. Aus der IP wird hier andauernd ein Staatsgeheimnis gemacht (wohlgemerkt gegenüber dem Benutzer der IP), als würde man bei Kenntnis seiner eigenen IP einer Gefahr ausgesetzt sein.
Es sollte nicht schwer sein, einen kleinen, erklärenden Text zu IP's zu verfassen, was sie sind und wie man erkennt, ob sie zu einem selbst gehört, oder definitiv zu einem anderen Provider usw... (Providerkennung könnte im Log auch mit angehängt werden, ist kein Akt.)

Nicht bei einer IP-Abweichung. Bei einer starken IP-Abweichung. Zum. Beispiel Login aus einem anderem Land (sind meist dann Proxyserver) oder bei anderem Internetprovider (meist erkennbar an den ersten beiden Zahlen /16 oder per reverse suche).
Nicht dass hier das Missverständnis führt. Und auch nur dann eine Meldung wenn das innerhalb von 6 Stunden passiert.


Hier im Forum wird man übrig. auch automatisch ausgeloggt wenn man innerhalb kürzester Zeit die IP-Wechselt (trotz. autom. Login)

(Hab mir den Rest schon nicht mehr durchgelesen, also verzeiht wen folgendes schon geschrieben steht:)

Laut Beschreibung werden kurze hintereinander folgende Logins zu einem zusammengefügt. Wäre es hier, bei einer Ip Abweichung (Welches bei einem Nickdiebstahl gibt und bei einem Nickdiebstahl die Zeit zwischen den Logins maximal eine Sekunde ist (Es sei den der Dieb wartet bis der Nickbesitzer mal offline ist)) die Logins aufzusplitten und die Abweichende Ip irgendwie zu kennzeichnen?

Dangerous Bison spricht:

Also was mich betrifft bin ich dafür das man gegen die Nicknamen betrug oder geklaute nicks tuhen sollen zum beispiel diesen namen wo ich gerade schreibe man hat sich in mein namen gehäckt und bitte drum entlich was zu tun also nicht nur für mich sondern über jeden den man auch betrogen hat dessen Nicknamen. ich denke sie verstehen und würde mich freuen entlich was dagegen zu tun. Am besten es Strafrecht zu verfolgen was des klauen von Nicknamen betrifft. Ich jedenfalls finde es eine unverschämtheit das viele User gehäckt werden und Wertvolle Knuddels die man Verdient Hat oder gesammmelt hat einfach durchs häcken wieder verliert. Ich bitte euch tut was gegen und gebt mir bescheid unter /m oder falls mit diesem namen nicht erreichbar dann unter den Nicknamen CM Punker.

PS: Ich habe Probleme mit der Rechtschreibung und bitte solche Komentare zu unterlassen!

Vielen Dank und freundlichen gruß: Dangerous Bison (Kevin)

So ich wollte dazu auch mal etwas Schreiben . und Zwar auch zu dem Login-Button . Er ist eigentloch total sinnlos und man kann gar nicht sehen ob ein NIck geklaut wurde oder nicht , wenn ich einmal am Tag on gehe speichert er mein datum und meine uhrzeit , weird aber mein Nick geklaut und jemand geht damit on speichert er es ja nicht, so kann man dann auch nciht ob jemand mein nick gestohlen hat oder nicht , aber wuerde man das alles speichern waere es eine endlos reihe. also finde ich total sinnlos.

Und zum Posteingang das finde ich auch total Schrecklich !!!.
Wie es vorher war find ich viel besser.
Weil es reicht wenn man einmal auf F4 drueckt und das sich der EIngang dann oeffnet und nicht wenn man dauernt
auf F4 drueckt das er sich jedesmal oeffnet das nervt !.
Und es reicht auch einmal das alle Nachrichten Sich oeffnen , weil zum beispiel , hat mat 4 Ungelesene Nachrichten,
und man liest nur eine und jedesmal werden die anderen Nachrichten angezeigt wenn man Online kommt oder ja dann F4 dureckt oder sonst etwas , dass ist ganz schoen nicht gut.
Und ich kenne auch schon welche die sich drueber beschwert haben .

Wenn man das aendern koennte waere das ja sehr Gut . Weil ich glaube
das finden bestimmt so einige Doof ^^.


Liebe Grueße Aylin

Hab euch ja richtig mühe gegeben mit den Systemnachrichten, ich bezweifel aber das die Maßnahme fruchtet... Gibt einfach zuviele Leute die nicht anständig lesen.

Roiber.

Nachdem wir dann gemeckert haben, bringen wir nun produktive Lösungsvorschläge, oder wie war das?

Ich finde die IP-Speicherung in den Login-Listen nicht gerade sinnvoll. Wozu auch? Wir sind bisher ganz gut ohne klargekommen und Kolloid hat Recht. Wann wird bie uns schonmal ein Nick geklaut? Das ist wirklich so selten, dass man darüber nicht nachdenken muss, zumal man schon selber wissen müsste, weil wir ja alle groß sind, wie man mit seinem Passwort umzugehen hat. Ansonsten findet man auch nochmal in der /h AGB Punkt 1.2 Hinweise zum Passwort.

Es ich hier wesentlich spannender finde, ist ein /m, wenn die IP wirklich stark von der letzten IP abweicht, aber ich will auch nicht immer eine /m kriegen, wenn ich mal mit dem iPhone online bin, weil ich da eine komplett andere IP habe. Bei sowas sollte man da noch unterscheiden. Eine kleine Warn-/m ist auch wirklich nicht störend. In meinem Fall ist es allerdings so, dass ich immer eine komplett andere IP kriege, wenn ich meinen Router neustarte. Nicht mal der Stamm bleibt dort gleich. Da ich sicher nicht nicht die einzige Person bin, der dieses, mehr oder weniger, Problem hat, wäre der Umkehrschluss, dass ich bei jedem Routerneustart (normalerweise einmal am Tag) eine /m kriegen würde, mit dem Inhalt, dass meine IP stark von der bisherigen abweicht. Die Leute, die einen UMTS-Stick nutzen werden dasselbe Problem haben.

Es wurde hier auch eine Speicherung von fehlgeschlagenen Logins vorgeschlagen. Hier frage ich mich: Wozu? Mir doch egal, ob wer meinen Nick eingegeben hat und dazu ein falsches Passwort. Solange er sich nicht einloggen konnte, ist der Weltfrieden doch beständig. Zumal ich als Anbieter von sowas, anderen keine fremden IPs anzeigen würde, das finde ich schon ein bisschen Datenschutzfeindlich, auch wenn das sicher irgendwo auf 100seitigen AGB festgehalten ist.

Wenn man hier wirklich noch was kleines für die Nicksicherheit machen will, weil hier ja jeder irgendwie selber überprüfen will ob jemand mit dem eigenen Nick online war, die IPs sich dafür aber nicht anbieten, dann könnte man darüber nachdenken, dass Logins nur zusammengefügt werden, wenn die IP auch gleich ist. Sollte es eine andere IP geben, dann wird diese auch in einem seperaten Login-Zeitpunkt dargestellt. Man sollte dann selber wissen, ob man sich zu der gepspeicherten Login-Zeit eingeloggt hat, oder nicht. Entschuldigt, wenn das bisher schon so ist, ich habe das noch nicht getestet, weil mich meine letzten Logins eher weniger interessieren.

Was denn ist doch so, Knuddels kann da machen was Sie wollen, die Leute werden sich auch weiterhin veräppeln lassen. Das ist aber nicht das Problem von Knuddels sondern dem User. Hierbei handelt es sich auch um eine Feststellung und keine Meckerei. Wo wir wieder beim richtigen lesen wären

Roiber.

hmm also eine vollständige ip anzeige via tan wäre ok finde ich.

die user die nur von zu hause aus ins netz gehen, werden sicherlich permanent die gleiche zahlen fast sehen (änderungen sind meistens nur die letzten 3 stellen) zur not noch eine weitere ausweich-ip die jeder anbieter gibt.

die dann noch bei freunden reingehen etc darf es nicht wundern...

für leute mit umts, bringts rein gar nix, da umts ip-sharing ohne ende ist, sprich alle die mit handy oder umts sticks ins netz gehen, haben von dem kram absolut nichts.

wirklich viel bringen würde das zwar nicht, dies einzufügen, aber würde dem einen oder anderen mehr sicherheit geben.

Ich bin nach wie vor für die Sichtbarkeit der IP, jedoch mit der Einschränkung des TAN-Systems.
Bevor jedoch großartig über zusätzliche Sichtbarkeiten gesprochen wird, sollte man die Login-Mitteilungen erst einmal fehlerfrei machen, denn wenn diese nicht stimmen nützen einem auch die IP nichts.
Laut meinem Login-Fenster war ich am 03.07. und am 05.07. online, am 04.07 jedoch nicht...*grübel* Ich schreib mir jetzt nicht jede Login-Zeit auf, aber ich weiß sicher, dass ich gestern online war, mehrfach sogar und komischerweise taucht bei mir der 04.07. nicht auf. Kann sich das jemand erklären?

Ich halte die Änderungen für sehr positiv - ein guter Schritt in die richtige Richtung. Allerdings setzt das Ganze meines Erachtens zu spät an, denn das TAN-System und die anderen Schutzmaßnahmen greifen erst nach dem Login - es wird also nicht verhindert, dass sich jemand mit einem auf welche Art auch immer gestohlenen Nick einloggt, auch wenn die Güter auf dem Nick geschützt sind. Der Passworttest bietet in dieser Hinsicht zwar einen gewissen Schutz, aber eine großflächige und tiefgreifende Aufklärung über Phishingmethoden und -inhalte findet weiterhin nicht statt - auch wenn die /help Passwortsicherheit sehr ausführlich ist, wird sie wohl kaum jemand lesen. An dieser Stelle sollte man das Ganze eventuell noch ein wenig ausweiten.
Außerdem kann man dem Problem natürlich auch mit einem geänderten Login-System begegnen, bei dem nicht mehr der Nick, sondern die Person zählt. Jeder User könnte beispielsweise eine eindeutige ID erhalten und mit dieser ID dann seine Nicks verknüpfen - dabei wäre dann einerseits ein Passwort für die ID und ein Passwort für den Nick nötig. Ein erster Login könnte dann über die ID erfolgen und um dann mit dem Nick online zu gehen, muss erst noch dessen Passwort eingeben werden. Jede weitere Authentisierung innerhalb des Chats, beispielsweise um Profileinträge zu ändern, kann dann weiterhin über das Passwort des Nicks passieren. Mit einer solchen "doppelten" Sicherung erschwert man den Nickdiebstahl enorm, da die ID nur für den Login verwendet würde und selbst wenn man das Passwort der ID besitzt, kann man sich immer noch nicht einloggen.


Gruß

Hallöschen,

ich finde den Schritt in Richtung Schutz gegen Nickdiebstahl und Betrug sehr gut.
Endlich können User ab einem Knuddel das TAN-system nutzen und dank des
neuen Briefkastens auch Systemnachrichten besser erkennen.

Aber nun sollte man sich langsam an die ganzen Fehlerbehebungen setzten, damit es
endlich weniger Bugs gibt

Der Nick alleine dient nicht als Angriffspunkt. Meist sind doch Trojaner und Phishingseiten schuld. Und hier hilft eine Umstellung auf ein einen Loginaccount nichts. Im Gegenteil: Hier würden alle Nicks von einem betroffen sein.

Hallo,
ich glaube, dass das mit der ID schon was bringen würde. Gibt ein User seine ID auf einer Fakeseite ein, so wundert er sich, dass seine Nicks nicht angezeigt werden. Somit hätten die Besitzer nur das Passwort der ID, aber nicht das Passwort der einzelnen Nicks. Man müsste nur vorraussetzten, dass die Passwörter unbedingt unterschiedlich sein müssen.

Für ein Programmierer einer solchen Phishingseite ist ein leichtes zur Laufzeit dann die Nicknamen auszulesen nach PW eingabe. Kein Argument

mann könnte die IP anzeigen nur halt so wie es gemacht ist mit der Handy nummer

Huhu,

bezweifle gerade, dass dieser Vorschlag Sinn machen würde. Dann könnte man genauso gut eine verschlüsselte IP bzw. einen verschlüsselten Code anzeigen, oder? - dann weiß man ja, wenn die IP anders ist.

Hallo

ich finde diese Maßnahmen, gegen diebstahl ja nur anzeigen würden dass er geklaut wurde, wie wäre es wenn eine IP Abweichung vorhanden ist eine Tan eingeben werden muss, oder zumindest per e-mail bestätigt werden muss. Der Nebeneffekt ist dass der Nick gar nicht missbraucht oder beklaut werden kann.

Da ich ständig von woanders online gehe würd mich das ziemlich nerven.. :D

Dann macht man das eben so, dass dies nur freiwillig aktiviert wird. ich meine wer die Hinweise beachtet von /h passwortsicherheit, usw, ist der Nick auch so sicher

Naja, wenn Du aus irgendwelchen Gründen auch immer einen Virus, Trojaner etc. hast, nützt es auch nichts, wenn du /h passwortsicherheit beachtest...

Wäre aber ne recht gute Idee. Hab ich in Facebopok auch so eingestellt. Sprich das sollte mal Holgi irgendwie berückktsichtigen

Um nick Diebstal zu verhindern könnte man Mit java Die Mac addresse auslesen und wenn knuddels Die Mac nicht kennt schickt der dem user ein Mac-Tan zu bzw eine generierten Code. Den er zum login eingeben muss. Dabei sollte vieleicht drauf geachtet werden das immer nur Neue Rechner ein Tan dann an die E-Mail geschieben wird.

Dies sollte Mit java eingelich möglich sein.

Ist zwar für den user erst mal umständlich jedoch Sicher.

So macht es zumbeispiel "Steam".

Genau, einfacher wärs doch, den Nutzern zu verbieten,
von woanders aus online zu gehen, und - besser noch -
zu verbieten, mehrere PCs oder Notebooks zu besitzen
oder neue Geräte zu kaufen.
Im Ernst:
Um Nickdiebstahl zu verhindern sollen die
User ihre Passwörter vernüftig wählen,
ihr PCs absichern und nicht jeden Mist im Internet
zu öffnen. So wäre der ganze Aufwand mit
TAN-System und so weiter doch garnicht nötig.

Nickdiebstahl ist nun mal eigene Blödheit (ist mir auch einmal passiert aber bei mir war es ein gezieltes ausspähen), solange User unvorsichtig sind und undbedacht irgendwelche Links öffnen, sich über Mssenger Keylogger andrehen lassen wird sich das auch nicht abstellen lassen. Die User müssen einfach vorsichtiger mit ihren Daten werden.

Roiber.

Da stimme ich meine Vorposter zu.

Alleine die Lüge das man sein PW hin und wieder ändern sollte zeigt mir das ich es richtig mache indem ich mein PW schon seit Jahren benutze

Man brauch nur ein Ultimatives PW und gut ist... Keine AHnung ob Leute versucht haben mich hier zu knacken, aber sowas gibt es eben überall und damit muss man Leben - Nur ich nicht

Ein gutes Passwort allein' gewaehrt noch lange keine 100% Sicherheit. Nicht das User das noch glauben und leichtsinnig mit Daten umgehen, die sie von Anderen bekommen und einfach oeffnen etc.

Das ist keine Lüge sondern ein nettgemeinter Rat um ggf. Programmen vorzubeugen die jegliche PW Kombinationen
durchgehen, wenn man dann 10 Jahre sein PW nicht ändert, könnte auch das "beste" PW in der Zeit geknackt werden.

Da bringt das Ändern des Passwortes wenig, außer man trifft dann zufällig eine kombination die
der Brute Forcer schon durch hat.

Ich hab übrigens bewusst keine Namen genannt, aber wenn du dein Passwort z.B. alle 3 Monate änderst, bringt das schon was um so häufiger, desto besser.

Was für Namen?

Von bösen Programmen, die meist eh keine Chance haben ein Passwort zu knacken, weil nur eine begrenze Anzahl an fehlerhaften Passwörtern zulässig sind. Es war im konkreten Fall aber auch ohne Nachfrage ersichtlich was gemeint ist.

Deine Annahme, dass auch das "beste" Passwort in 10Jahren geknackt werden kann, ist komplett falsch.
Es gab im Internet mal eine Seite auf der man es Testen lassen konnte, wielange es brauchen würde um das Passwort durch Bruteforce heraus zu bekommen.(Meine Passwörter brauchen in der regel mehr als eine Lebenszeit)

Es ist logisch und jeder sollte es wissen.
Wenn man Passwörter nimmt wie
Pferd, Hund, 27.03.1991(GB Daten z.b) oder sinnlose Sätze wie
iloveyou.

Kann es nur schief gehen.

Meine Passwörter selbst bestehen aus so etwas

;_xL0"VV3!;_

Viele Keylogger sind nicht dazu in der Lage Sonderzeichen zu erkennen.

Zudem bin ich definitiv gegen die korrekte IP-Anzeige für Admins.
Da es im laufe meiner Knuddels zeit oft genug zu Missbrauch bestimmter Admins und vorzug einiger Chatter gekommen ist.
Würden mir auf der Stelle 2Möglichkeiten einfallen um einem Chatter anhand der IP Schaden zu zu fügen.

Wenn Ihr etwas an der Situation ändern wollt
kann ich euch nur ans herzlegen
>badword filter <
Was Ihr draus macht, ist euer Bier..

Man sollte nur drauf achten genug verschiedene Buchstaben, Zahlen & Zeichen zu nutzen ...
Wenn man sein liebstes Passwort nimmt und einfach an einer beliebigen Stelle ein - reinmacht und dann noch 1-2 Zahlen hinzufuegt, sollt das liebste Passwort auch erstmal sicher sein ...

Man muss ja nicht jedesmal ein komplett neues Passwort nehmen - man brauch nur mal das Sonderzeichen an eine andere Stelle bauen oder die Zahlen aendern ...

Mit der Aktion fahr ich nu seit mehreren Jahren sicher und hab kein Problem mehr mit Nickklau :)
( Das mit IP-Anzeige im 'Login'-Bereich waer doof ;) Lasst das weiterhin die Admin's ueberpruefen ;) )

Zu Beginn meiner Knuddels-Zeit wurde mein Nick oefter als 1x geklaut und mich hat keine direkte Schuld getroffen - hab nur ein zu 'einfaches' Passwort gehabt ...

Wenn einem dann noch Car, AK, Shy, Kissing, +1er abhanden kommen, isses umso aergerlicher und man kuemmert sich um ein gutes Passwort ...
( damals hatten die noch einen gewissen Wert - nicht so wie am heutigen Tag :x )

Durch die ganzen Aktionen mit Tan & Co. ist der Chat um einiges sicherer geworden und ich find es gut, dass die Betreiber & Scripter von Knuddels so viel Arbeit auf sich nehmen um uns das Chatten so angenehm & sicher zu machen wie es nur moeglich ist.

Ich begruesse immer solch neue Sachen die unserer Sicherheit dienen ;)

Zum 2ten Beitrag hier - das mit dem Hi & /m im Profil find ich auch nicht sonderlich toll - aber Knuddels ist & bleibt ein Flirt-Chat und wenn jemand nicht die Befehle kennt ( /p - /m ) und durch Zufall auf das Profil kommt ( tada, Rechtsklick ) dann steht das da alles und der Neuling hats einfacher zu anderen Leuten Kontakt aufnehmen zu koennen ...

Mag es doof aussehen wenn's da im Profil steht - aber fuer Neulinge ist's eine große Hilfe :)

So, nu hab ich alles doppelt gemoppelt geschrieben und es sollt klar sein was ich damit mein :)

Danke @ Knuddels fuer die vielen Neuerungen die ihr moeglich macht :)

Naja ich finde Knuddels kann hier soviele Vorkehrungen treffen wie sie wollen, solange es Leute gibt die aus Gier ohne nachzudenken handeln werden die Nickdiebe auch erfolgreich sein. Das Problem sind ja nicht die unsicheren Passwörter sondern das unüberlegte Handeln der User.

Hier werden ja die wenigsten Nicks gehackt, die Nicks werden über Keylogger geklaut und damit ist vollkommen egal was du für ein PW nutzt. Es wird gespeichert und der Dieb bekommt es frei Haus ;) ...

LG

Roiber.

Da koennte man dann auch wieder diverse Sachen einbauen die einem sowas verbieten ... nur sind das vermutlich Sachen die viel zu aufwaendig waeren und zu viel Arbeit kosten :x

Bei jedem Login, wie bei z.B. WoW (kenn ich vom Mitbewohner der's immer machen muss ) solch einen 'Key' eingeben um sich einloggen zu koennen ( den Key bekommt man als sms auf's Handy )
sowas koennte man bei einem Nick anbieten der z.B. ab 50 Knuddels oder ab 5 Geschenken aufwaerts hat.
Dann eine Funktion um sowas zu aktivieren/deaktivieren.

Ich spiel jetzt einfach mal mit dem Gedanken der reinen Sicherheit und was man machen koennte - nicht was ich selber gut finde ...

Ein sogenanntes Captcha einfuegen - viele werden z.B. beim 'Bruten' keine Lust haben bei jedem Versuch ein Schluesselwort eingeben zu muessen und geben da nach 2-3 Passwoertern auf ...

Gegen die 'Leichtsinnigkeit' der User kann man letztendlich nicht sonderlich viel machen, ausser immer wieder Warnhinweise im Chat ... vielleicht mal nicht immer nur Abo-Werbung im Chat sondern auch mal nen allgemeiner Hinweis auf Nickklau, Keylogger usw. ... aktuelle Virensoftware, Firewall etc.

Die meisten User, welche auf solch Sachen reinfallen, wissen von solchen Programmen rein garnichts. Jene kommen mit 1.000 Minuten irgendwo in einen Channel - sehen eine tolle, farbueberlagerte, Meldung und klicken rauf / kopieren den Link / weil's da 1000 Knuddels zu gewinnen gibt. Sowas ist sehr verlockend und wird meistens direkt ausgenutzt ...
Da beruf ich mich wieder auf ein anderes Thema ... eine Funktion einzubauen die Links automatisch mit *** verschleiert ... die CM's dann die Aufgabe haben solch Links zu kontrollieren und ggf. freigeben zu koennen - da wurd dann aber der Kommentar geschrieben, dass die CM's dann 1. zu viel Macht haetten - 2. zu viel Arbeit - 3. solch Sachen abusen koennten ...

Sind viele, gute, Ideen die da im Umlauf sind - welche letztendlich umgesetzt werden, liegt allein bei der Chatleitung / den Scriptern und wir koennen da nur kleine Anregungen zu geben :)

In diesem Sinne ;)

machbar ist sicher noch so einiges um den dieben das leben schwer zu machen doch zu welchem aufwand und zu welchem preis?
ein mehr an sicherheit verursacht auch kosten die durchaus nicht unbedeutend sein könnten.
ich weis nicht ob man das einem chatbetreiber eines kostenlosen chats zumuten kann noch mehr in die sicherheit zu investieren die chatnutzer selber in der hand hätten.
irgendwann ist ein punkt erreicht wo der chatnutzer auch selber nachdenken muss.

ich wäre aber dafür das man durchaus mehr sicherheitsoptionen anbietet allerdings durchaus kostenpflichtig und jeder dann freiwillig entscheiden kann ob er diese nutzen möchte.
das wäre noch eine marktlücke die man durchaus schliessen könnte.
wer viel geld ausgibt um smileys zu besitzen der sollte auch noch geld haben um seinen besitz zu schützen das ist im reallife auch nicht anders.

Dem kann ich nicht ganz zustimmen - ich bin der Meinung, man sollte bei den Smiley-Preisen auch schon ein bisschen Sicherheit umsonst dazu bekommen ...
Klar, der Chatter selber sollte auch mit dem Kopf denken und nicht mit der linken Maustaste ;) ... dennoch sollte von der Seite der Chatbetreiber eine Moeglichkeit bereitgestellt werden um das Klauen von virtuellen Guetern zu unterbinden.
Diese Smileys, welche man kauft, zahlt man jedes Mal neu ... man bezahlt eine Menge an Geld - diese Sicherheit einbauen kostet dann einmalig Geld und Zeit ... danach laeuft das Meiste von allein (abgesehen von zwischendurch Bug's fixen) ...

sowas kann mal wieder nur von dir kommen - der Dieb handelt anscheinend auch ohne nachzudenken
und jeder User ist in jedem Falle auch generell immer selbst Schuld, aha


einer Meinung.. ob nu verschlüsselt oder durch gekürzte Blöcke


mal zum gehackten Fall:
Der Einfachheit halber für Normuser würde ich statdessen mal vorschlagen die letzten 10 Channel statt Ip Logs aufzulisten,
sprich "wo" man sich "wann" aufgehalten hat.
Das wäre Datenschutzrechtlich absolut unbedenklich und praktisch äusserst nützlich,
hätte einige angenehme Nebeneffekte, alles aufzulisten erspar ich mir.
Das damit kein Dieb ausfindig gemacht werden kann ist klar, der User kann aber in gewisser Weise selbst schnell nachvollziehen ob er wirklich gehackt wurde und der Administration zur Beweissicherung wenigstens entgegenkommen.

Was denkt ihr darüber?