Erweiterung des Passwortschutzes - Nickklaus verhinderung

Hi Leute,
ich mache mir schon die ganze Zeit gedanken darüber, wie man es anstellen könnte, Nickklau mehr einzugrenzen und zu verhindern.
Eine einfach realisierbare Methode wäre doch wohl, ein zweites "Passwort" oder "pin" einzuführen.

Der Weg des Pins

• 
  
• Registration
  Selbe Registration, nur eine zweite Funktion wird mit eingebaut, ein vier Zahlen Code, der sogenannte Pin muss vom User eingestellt werden!
  
  
• Login
  Bleibt alles, so wie es ist
  
  
• Chatfunktion
  Wird insoweit auch nicht verändert, nur der User kann sein Passwort und seinen Pin NICHT im Chat weitergeben.
  
  
• Funktion Passwort vergessen
  Hier wird einiges geändert, falls man sein Passwort vergessen hat, und nun ein neues Anfordern möchte, muss als verifikation die PIN eingegeben werden.
  
  
• Funktion Passwort ändern
  Eigentlich gleiches Prinzip wie beim Vergessen, der User muss wieder als verifikation seine PIN eingeben, um sein Passwort zu ändern!
  
  
• Funktion E-Mail Adresse ändern
  Genau das gleiche Spiel, wie beim Passwort, die neue E-Mail-Adresse kann erst aktiviert werden, wenn der PIN korrekt eingegeben wurde

Was wird damit erreicht?

• Niemand kann einfach mehr, wenn er das Passwort des E-Mail-Accounts das Chat-Passwort verändern, ohne die Persönliche Pin zu kennen!
• Auch falls der User selbst seine E-Mail-Adresse ändern sollte, muss um ein neues Passwort zu setzen wiederrum die Pin eingesetzt werden!
• Falls durch Zufall dein Passwort erraten wurde, kann der User deinen Account zwar nutzen, aber nicht komplett übernehmen, da die Pin fehlt!(Hierzu später noch eine kleine Ergänzung)
• Dieser Pin-Code ist quasi der PUK-Code deines Handys, sowas wie ein "Masterpasswort", das an sich aber ohne das eigentliche Passwort wertlos ist
• Die Pin kann NIEMALS geändert werden!

Nachteile?!

• Falls die Pin vergessen wurde, ist der Account so gut wie hin.
• Admins können Pin nicht einsehen/verändern, dadurch hat ein User nachteile, falls er wirklich einmal sein Passwort und/oder die Pin vergessen hat

Kleiner Nachtrag zum "Passwort geknackt!"
Die Idee ist wohl ganz simpel, da jeder Computer bzw sein Router oder Modem eine IP-Adresse besitzt, kann man damit ja einige Statistiken aufstellen bzw sogar Betrüger oder Passwort-Klauer überführen.
James(oder ein sonstiges Script) ermittelt aus den letzten 5-10 IP-Adressen, mit denen du dich in deinen Nick eingeoggt hast, eine Tabelle, die so aussehen kann

• User: mmmaaasssiii
• IP1 : 79.199.*.*
• IP2 : 84.167.*.*

Nun wird, falls sich dieser Nick von einer anderen IP einloggt eine E-Mail an die im Nick eingetragene E-Mail Adresse gesendet, dass ein "Ausserstatistlicher-Login" stattgefunden hat, natürlich mit kleiner Erklärung für die Leute, die sich in dieser Materie nicht auskennen.
Falls man sich selbst z.B. bei Verwandten oder Freunden eingeloggt hat, kann man diese E-Mail ignorieren, ansonsten sein Passwort verändern oder sonstige Vorkehrungen treffen....
-Ausserdem kann diese Ip-Erkennung auf eine weitere Stelle erweitert werden, was aber dann wohl eine riesen Liste an IP's gäbe..

Nachteile

• Bruder, Schwester, Eltern, Verwandte etc. können, falls sie am selben Internet-Anschluss hängen unbemerkt mit dem Account online gehen, dasselbe gilt für User, die in deiner Gegend wohnen und die selben IP-Ranges zugeteilt bekommen, wie du!(Kommt aber wohl in den wenigsten Fällen vor)
• Funktioniert wirklich nur, wenn der User sich auch darum kümmert, und nicht einfach nur die Mail wieder löscht.
• Braucht wiederrum System-Ressourcen.
• Kann auf dauer ziemlich nerven, falls man desöfteren andere IP's bekommt.(Was aber in der Regel nicht passiert, da zu 99,9% die ersten beiden Stellen immer gleich bleiben!

Man wird es nie schaffen, ein total sicheres und unknackbares System zum abwehren von PW-Stealing zu schaffen, aber dies hier scheint mir doch ein guter Schritt in die richtige Richtung!


So, nun habe ich es geschafft innerhalb einer Stunde alles miteinzubringen, was ich mir so vorgestellt hab(hoffe ich doch mal :) )
Ich bin offen für eure Kritik, und wenns alle toll finden, bin ich auch glücklich :)

[color:"blue"].
.
Kursiv-Funktion korregiert - indy[/color]

Das bring absoulut gar nix weil dann Fakesieten so aufgebaut werden das man dort auch die geheimzahl eingeben muss!! also das bring überhaupt nix

Naja, die Idee einen Nick besser zu schützen kann bestimmt jeder gut gebrauchen... Wer es allerdings schafft, das Passwort von einem User zu klauen, der käme auch an die PIN-Nummer dran... Wäre doch dann das selbe Prinzip, wie es jetzt auch ist, nur dass man auf Fakeseiten zusätzlich zum Passwort auch die PIN eingeben muss zwinker

LG

Naja aber die User werden doch schon bemerken, dass diese "pin" noch eine Instanz höher ist, als das ganze Passwort gehabe.
das wird täglich gebraucht - beim einloggen.
Und okay, selbst schuld wenn du dein Passwort weitergibst, aber ich sehe trotzdem eine Veränderung mit der Pin kommen, die jedem chatter eigentlich klar macht, dass die NUR dazu benutzt wird, um die E-mail oder das PW zu ändern und für sonst nichts.
Das ist heute wohl beim PW nicht mehr so...

Meine Meinung dazu, auf weitere negative/positive Kritik freue ich mich
Gruß

Hallo

Ich habe diesen Vorschlag mal freigeschaltet, obwohl ich von der Umsetzung persönlich auch nicht sonderlich überzeugt bin. Die Meinung der anderen Forumuser ist mir trotzdem wichtig.

Ich sehe einige Nachteile in dieser Idee:
[*]Eine 4-stellige PIN ist leichter zu knacken als ein Passwort
[*]Die PIN wird ja laut deinem Vorschlag nur selten gebraucht. Folge könnte sein, dass diese vergessen wird und im Ernstfall kommt dann niemand mehr an den Nick
[*]Neue Fakeseiten würden darauf abzielen die PIN zu klauen

Die bisherige Email-Verifizierung ist ganz gut, das System hat vielleicht noch ein paar Tücken, aber im Großen und Ganzen muss meines Erachtens kein neues System her.

Hi

Die Idee an sich ist gut, und es ist auch schön dass du dir so viele Gedanken gemacht hast. Allerdings muss ich im wesentlichen meinen Vorpostern zustimmen, denn es würde den Nickdieben sicherlich möglich sein Seiten zu programmiere die einem (wenn auch einigen weniger vielleicht) User suggerieren, er wäre auf einer seriösen Seite und es wäre kein Problem sein Passwort und die PIN einzugeben. Außerdem wäre der PIN, wenn er wirklich nur vierstellig wäre, sehr schnell mit einem Programm zu knacken, wenn man dort nicht eine Sicherheitssperre einbaut. Und wenn der Nick mal abhanden gekommen ist, dann hätte der Nickdieb ja immernoch den PIN, denn dieser ist ja nicht zu ändern, also könnte er damit den Nick dann leichter erneut klauen.

Ich kann nur immer wieder an die Vernunft und die Intelligenz der User appellieren, dass diese sich doch bitte Informieren wie man sich vor Trojanern schützen kann und wie man nicht mehr auf Fakeseiten reinfällt, allgemein wie man sein Passwort schützt. Dazu stehen diverse Hilfen im Chat direkt zur Verfügung. Desweiteren steht unser Team jedem User jederzeit für Fragen und dergleichen zur Verfügung.

Gruß Toby, Anti-Phishing-Team

Naja ich denke bzw. würde sogar drauf wetten, dass die geklauten Nicks über "phishing-seiten" zurückgehen würden...
Natürlich kann man nie verhindern, dass ein User sein PW oder seinen "pin" dann weitergibt, aber dann das erraten vom "passwort" fällt ja dann eigentlich weg.
er hat zwar dein pw kanns aber nicht ändern und durch die "zusatzfunktion" mit dem ip-schutz biste dann wohl noch ein stück mehr auf der sicheren seite. Und dann sollte man halt eine sperre setzen, wie beim PW auch.
Falsche PIN dreimal wird eine Mail geschickt, oder passiert sonstwas...
Also wie gesagt, es war halt allgemein eine verbesserung, eindämmen wird mans nie können!