Du bist nicht angemeldet. [Anmelden]
Seite 1 von 2 1 2 > alle
Optionen
Thema bewerten
"Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! - #2386812 - 24.01.2012, 13:47:29
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Heho Leudings :-]


viele kennen dies sicherlich auch, man wird mit E-Mails vollgebombt das man sein Passwort vergessen hat. Gerade Nickdiebe nutzen diese Funktion sehr gerne um zuschauen ob Sie es irgendwie packen an das Passwort oder an die E-Mailadresse heranzukommen.

Aufgrund dessen kam mir auch die Idee wie man dies eindeutig verhindern kann. Und zwar soll die Passwortabfrage für "Passwort vergessen?" nun wie folgt ablaufen:

Man klickt auf den Button "Passwort vergessen?" und dort wird dann der Chatnick eingetragen. Hier klickt man dann nun auf weiter und gelangt zu einem Fenster wo man seine verifiierte E-Mailadresse und die Handynummer für das Tan-System angegeben hat eintragen muss. Das System vergleicht dann die Daten und sagt welche Tan-Nummer man eingeben muss.

Erst nach Abschluss dieser Schritte bekommt man auf seine verifizierte E-Mailadresse ein neues Passwort zugeschickt. Aufgrund dieser Sicherheit könnte man nun auch für Admins und Ehrenmitglieder dieses Feature offenlegen, so das man sich dann wieder dass Passwort zuschicken lassen kann. Natürlich sollte hierbei dann dennoch eine Meldung in Form von E-Mail oder sonstiges erfolgen, damit die VA's bzw. die Ehrenkommission bescheid weiß. Denn somit kann man dann auch gleich etwaige Nickdiebstähle auf die Spur gehen.


Ich hoffe die Idee hat euch gefallen und nun bin ich auf eure Meinungen gespannt.
In diesem Sinne ein fröhliches mitdiskutieren. :-]
_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Sir Drako] - #2387118 - 24.01.2012, 21:16:48
Struppi 17
​Stammchatter

Registriert: 12.06.2004
Beiträge: 28
Ort: Salzgitter
Heho Marcel,

hast dir wohl mal wieder ein paar nette Gedanken machen können, im Großen und Ganzen finde ich deine Idee sehr gut. Und es würde nur Vorteile mit sich bringen, wenn man auf deinen Vorschlag zurück kommt. Bleibt aber nur zu hoffen, dass man deinen Vorschlag auch annimmt und er schnellst möglich auch umgesetzt wird. Aber wann kann man natürlich schlecht sagen, weil man schlecht sagen kann inwieweit man das bestehende Passwortsystem umschreiben muss/kann oder ob man für deine Idee sogar ein ganz neues System schreiben muss.

Lg

Chris

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Sir Drako] - #2387288 - 25.01.2012, 08:17:57
Bushido&Chakuza 2
Nicht registriert


Was wäre bei einer TAN - Sperre oder wenn ich das Handy verloren habe ???
Ich würde die Sache mit dem TAN System weglassen. Also man muss nur sein Knuddelsnick und die verifyzierte E-Mail Adresse angeben. Allerdings ist dies auf max. 3 mal täglich beschränkt :-)

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Sir Drako] - #2387672 - 25.01.2012, 19:44:22
Kev777
​Forumsengel

Registriert: 03.09.2010
Beiträge: 7.567
Ich weiß ja nicht was alles für hürden aktuell aufgestellt sind um sich ein passwort zuschicken zu lassen. aber ein captcha, so wie es bei der registrierung verlagt wird, würde zumindest die meißten bots auflaufen lassen =)
_________________________
Orwell war ein Optimist
________

„Würden die Menschen das Geldsystem verstehen, hätten wir eine Revolution noch vor morgen früh.“
- Henry Ford

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: ] - #2387691 - 25.01.2012, 20:01:02
Tigerli

Registriert: 06.09.2010
Beiträge: 275
Also ich finde die Idee super wenn man das mit dem Tan-System verbinden könnte :-)

Antwort auf: Bushido&Chakuza 2
Was wäre bei einer TAN - Sperre oder wenn ich das Handy verloren habe ???
Ich würde die Sache mit dem TAN System weglassen. Also man muss nur sein Knuddelsnick und die verifyzierte E-Mail Adresse angeben. Allerdings ist dies auf max. 3 mal täglich beschränkt :-)


Man sollte auf seine Sachen schon aufpassen immerhin haben diese auch ihren Wert.
Andernfalls könnte man es vieleicht auch so einstellen ob man diese Art von Sicherheit aus dieser Idee für seinen Nick aktivieren möchte? Oder ob man eben nur auf die Art durch von Bushido&Chakuza 2 durch angegeben der verifizierten Email aktivieren will?
_________________________
Gummibärchen, wehrt euch,
beißt zurück!

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: ] - #2388133 - 26.01.2012, 14:45:39
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Antwort auf: Bushido&Chakuza 2
Was wäre bei einer TAN - Sperre oder wenn ich das Handy verloren habe ???
Ich würde die Sache mit dem TAN System weglassen. Also man muss nur sein Knuddelsnick und die verifyzierte E-Mail Adresse angeben. Allerdings ist dies auf max. 3 mal täglich beschränkt :-)


Dann fügt man halt im Edit-Bereich der Whois(2) noch ein was man noch dazu nutzen möchte. Also ob verifizierte E-Mail-Adresse oder Tan oder halt beides - so ansich ist das ja nicht unbedingt das Problem.
Das Problem ansich ist halt die Fakes mit ihren diversen Passwortklauversuchen und gegen diese geht man hiermit wunderbar entgegen. Denn wie will man dann an die Nicks mit Knuddels usw. kommen, wenn man nicht an die Tan-Nummern usw. kommt? - Richtig, gar nicht.

Klaro ist diese Idee etwas tan-lastig, aber immerhin bietet dies so mehr Schutz. Vorallem kann man mit dem oben beschriebenen System nicht mehr einfach auf "Passwort vergessen?" klicken und so an Nicks rankommen.
_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Kev777] - #2389056 - 27.01.2012, 16:42:29
WoB BoY 24
​Tomorrowland!

Registriert: 25.04.2007
Beiträge: 9.743
Ort: Wolfsburg
Antwort auf: Kev777
Ich weiß ja nicht was alles für hürden aktuell aufgestellt sind um sich ein passwort zuschicken zu lassen. aber ein captcha, so wie es bei der registrierung verlagt wird, würde zumindest die meißten bots auflaufen lassen =)

Auch nicht mehr. Mittlerweile ist es anhand von Datenbanken mit Captchas möglich, dass auch Bots Captchas lösen können. Wobei ich gar nicht mal glaube dass wirklich Bots das Passwort zurücksetzen lassen.


Ich denke es würde schon mal einen Vorteil bringen Nick und Email zu verlangen, denn aktuell ist die Email ja nicht einsehbar, für niemanden. ;-)
_________________________
Yesterday is history, tomorrow is mystery, but today is a gift - that's why we call it the present!

[zum Seitenanfang]  
Tanabfrage bei Passwortzusendung - #2511587 - 15.10.2012, 14:23:28
CX7

Registriert: 08.04.2003
Beiträge: 25
Durch die Tan-Abfragen im Chat wurde der Diebstahl von Smileys und Knuddels stark eingeschränkt, vorrausgesetzt bei jedem Tausch oder bei jeder Kn-Übertragung findet eine Tanabfrage statt.
Da es durch das Tan-Verfahrung oft zu Problemen gekommen ist, (am häufigsten: keine sms erhalten) wurde die Option von vielen deaktiviert oder nur auf sehr wichtige Aktionen wie der Tausch von sehr seltenen Smileys beschränkt.

Die wichtigste Abfrage wurde aber bis jetzt außer Acht gelassen.

Nicks werden nur in den seltesten Fällen gestohlen, in dem das Knuddels-Passwort herrausgefunden wird. So schlau ist mittlerweile Jeder kein einfaches oder offensichtliches Passwort zu wählen bzw das in irgendeiner Form im Chat preiszugeben. ( Durch den Passwort-Test werden ja auch Unerfahrene nachdrücklich darauf hingewiesen.. )

Der Diebstahl erfolgt meist über die Email-Adresse die in Knuddels eingetragen ist, auf die ein neues Passwort versendet wird. Auch wenn man diese privat schalten kann, gibt es immer Möglichkeiten, wie z.B. Suche auf Facebook, Msn, Skype, Informationen von Freunden usw.

Bei Emailkonten können durch die beantworteten Sicherheitsfragen (die logischerweise meist einfacher zu beantworten sind als Passwörter, z.B. Name des ersten Haustieres, Lieblingsfilm etc. ,die auch viele schon vergessen haben weil die Emailkonto erstellung länger her ist ) viel einfacher die Passwörter herausgefunden werden.

Mir selbst und auch schon etlichen Anderen ist genau das passiert. Meiner Meinung nach ist das die größte Sicherheitslücke und der häufigste Grund der Diebstähle.

Lösung:

Eine Tan-Abfrage bei der Passwort-Zusendung, ohne eingeloggt zu sein.

Dadurch hat kein Fremder mehr die Möglichkeit sich einfach ein neues Passwort zuzuschicken.

Damit sich keiner einen Scherz erlauben kann um die Tans zu "sperren" durch Wiederholte Fehlversuche, könnte man die Maximale Anzahl der Versuche bei der Passwort-Zusendung auf 1 beschränken und keine neue Möglichkeit für diesen Tag gewähren.


Bearbeitet von Jag (15.10.2012, 15:44:32)
Bearbeitungsgrund: Betreff angepasst.

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: CX7] - #2511609 - 15.10.2012, 15:34:19
doubtfully
​Ice Ice Baby

Registriert: 09.10.2010
Beiträge: 895
Ort: Trier
Hallo CX7, :-)

vielen Dank für deinen Vorschlag, ich würde diesen in jedem Fall befürworten.
Deine Idee wurde notiert und an die Chatleitung weitergegeben.
Ich freue mich auf weitere Meinungen.

Liebe Grüße Vany (-:
(Ideen-Team)
_________________________
Höflichkeit ist die Blüte der Menschlichkeit.
Wer nicht höflich genug, ist auch nicht menschlich genug.

J. Joubert

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: doubtfully] - #2511614 - 15.10.2012, 15:47:02
cooler Albaner 007

Registriert: 06.12.2006
Beiträge: 4.849
Huhu,

ich finde diese Idee ebenfalls befürwortend.
Was macht man nur, wenn man keinen Zugriff auf die Handynummer hat? BeiWenn keinen Zugriff auf die E-Mail Adresse mehr hat, kann man es immernoch irgendwie schaffen, den Zugriff zu erlangen (z. B. durch PW-Rccksetzung der E-Mail).
Die TAN-Eingabe sollte man auch bei 3 Eingabeversuchen einschränken.

Bei manchen Portalen gibt es ja bereits so eine Möglichkeit, dass man sich sein Passwort auf sein Handy zurückschickt. Und darauf hat meist der Handybesitze r en alleinigen Zugriff.

Fazit: Jop! *haben will*! :-D


Bearbeitet von cooler Albaner 007 (15.10.2012, 15:48:49)

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: cooler Albaner 007] - #2511622 - 15.10.2012, 16:29:35
CX7

Registriert: 08.04.2003
Beiträge: 25
Gut, wenn keine Tan-liste mehr vorhanden ist (warum auch immer..) und die Handynummer geändert wurde, wodurch keine neue Tanliste zugeschickt werden kann.. gibt es nur die Möglichkeit eine neue Handynummer zu verifizieren. (Mit 1 Woche Wartezeit)
Das passiert aber denke ich nur in Ausnahmefällen.
Wichtig ist auszuschließen dass irgendwas geklaut wird.

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: CX7] - #2511637 - 15.10.2012, 17:14:08
djchrisnet
​Verified Prototype Hater

Registriert: 27.05.2006
Beiträge: 903
Ort: Elmshorn
In dem Zusammenhang könnte man auch in Erwägung ziehen, das Passwort zusenden deaktivieren zu können (vll ab Stammi) so wie es bisher ab Ehrenz standardmässig ist.

Das "Feature" wird nunmal mehrheitlich zum Nickdiebstahl verwendet wodurch es eher zu einem Einfallstor wird

Des weiteren geht meistens mit einem Nickklau eine IP-Änderung einher.
Hier könnte man den Login von einer bisher Accountfremden IP durch eine Tan-Abfrage einschränken.
vll auch nur dann, wenn ein neues Passwort zugesendet wurde
_________________________
» AppEntwickler
» Prototype Hater



[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2511645 - 15.10.2012, 17:45:25
Xion 82
Not F​ast! ​- Not​ Furi​ous!​

Registriert: 09.08.2007
Beiträge: 1.376
Ort: Bremen


Die Idee is sehr gut. Befürworte ich ebenso!


hab da noch ein anliegen zum Thema Nickdiebstahl

Auf einer anderen Community wurde vor 2 monaten nen PIN Code eingeführt.

Diesen Pin Code muss man beim Login nach der Passworteingabe eingeben.

Die Sysadmins haben es so gehalten das man diesen nur via Maus eingeben kann, falls man einen Trojaner auffen PC hat. Somit is die Gefahr auch sehr stark eingegrenzt das jemand sich zugang zum Nick/Account macht.

So siehts bei uns aus: [img]http://www10.pic-upload.de/15.10.12/e98whciw2c3w.png[/img]

Geändert werden kann dieser Nur durch Systemadmins. Diese haben natürlich ebenso keinen Einblick auf diesen PIN Code die können den nur zurücksetzen.


Wäre das hier nicht auch eine Alternative?
Wenn wa schon bei der Sicherheit sind :)
_________________________

"Habt Ihr auch das Verlangen, sobald man einen Hang hinunter schaut,
dort auch hinunter zuspringen? - Ich habe es nicht!" :-D



[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Xion 82] - #2511678 - 15.10.2012, 18:41:11
Dreamboy-1996 <3
​#WirSindKeineBots

Registriert: 15.06.2010
Beiträge: 4.024
Die Idee von CX7 finde ich schon super, die von Xion 82 gefällt mir auch. Allerdings dann bitte nicht bei jedem Login, sondern eben nur bei der Passwortzusendung über die E-Mail-Funktion, Passwortänderung und E-Mail-Änderung. Optionell noch, wenn man bestimmte Smileys noch durch das PIN-System schützen möchte. Diese sollten im /edit konfigurierbar sein.

Im Allgemeinen bekommt eine solche Verbesserung der Nicksicherheit eine eindeutige Zustimmung.
_________________________
if ($ahnung == 'keine' ) { use ( FAQ ) && ( Google | | Suche ) }
if ($antwort == 0 ) { post ( Frage ) }

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Dreamboy-1996 <3] - #2511812 - 16.10.2012, 00:30:00
Ramsiiick

Registriert: 21.11.2008
Beiträge: 657
Hallo.
Die Idee, dass man "offline" eine TAN-Nummer anfordern kann, somit man sich das Passwort zusenden lassen kann, finde ich bei dem ersten Gedanken eigentlich gut. Wenn man dies jedoch gründlich überlegt und sich in dieser Rolle versetzt, kommen da meiner Meinung nach auch schon einige Nachteile mit sich:

  • Die Umsetzung ist ein Wenig "kompliziert"
  • Beim Missbrauch / Scherz erschreckt sich der User, wer dort die Anfrage gestellt hat
  • User könnte man mitten in der Nacht bewusst stören (durch so eine Scherzanfrage)
  • Tan-System müsste zu diesem Zeitpunkt zu 100% funktionieren
  • Das Handy müsste greifbar sein
  • Wenn die SMS verzögert ankommt, was mal öfters der Fall ist, dauert es mindestens doppelt so lange, als sonst
  • ...


Ich finde, allein schon wegen dem Grund, dass man den User "ärgern" möchte und mal mitten in der Nacht so eine "Scherz-SMS" schicken könnte dadurch, ist diese Vorstellung an sich eigentlich unpraktisch. Vielleicht kann man die Zurücksetzung erweitern. Zum Beispiel durch eine alternativ Email, Sicherheitsfrage (auch wenn gerade diese Methode in Frage gestellt wird...), selbst definierte Frage - die man nur selbst beantworten kann.

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Ramsiiick] - #2511814 - 16.10.2012, 00:39:55
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Ich weiß ja nicht ob einige mal wieder geschlafen haben, aber solch einen Vorschlag gibt es schon - siehe >> "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature!

_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Sir Drako] - #2511847 - 16.10.2012, 09:20:02
cooler Albaner 007

Registriert: 06.12.2006
Beiträge: 4.849

Man kann einen User nicht in der Nacht damit stören. Es wird ja keine neue TAN verschickt, sondern man muss die N. TAN aus der TAN-Liste eingeben, die man ja schon vorher bekam.
So erschreckt man sich sogar noch weniger, da man den Versuch gar nicht mitkriegt, wenn jemand versucht, das Passwort zurückzusetzen.
Bei einer E-Mail-Rücksetzung kriegt man sowas schon eher mit.

In dem Fall ist das Nichtmitkriegen einer Passwortrücksetzung nicht negativ, da man ja die TAN aus der TAN-Liste benötigt, um das Passwort wirklich zurückzusetzen.

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: cooler Albaner 007] - #2512018 - 16.10.2012, 20:28:45
Dreamboy-1996 <3
​#WirSindKeineBots

Registriert: 15.06.2010
Beiträge: 4.024
Man kann sehr wohl in der Nacht gestört werden. Hat man auf seiner Liste bereits alle TAN-Nummern aufgebraucht, wird bei erneuter Benötigung einer TAN die SMS erst verschickt. Aber wer sein Handy mit Ton an mit ins Bett nimmt, ist selbst Schuld. Man kann ja auch so mal von irgend jemandem angeschrieben werden :-)

Allerdings fällt ein solcher Versuch bei Personen wie mir schon auf, da ich mir genau aufschreibe, welche TAN-Nummern ich von der aktuellen Liste schon verwendet habe und welche nicht. Fehlen dann plötzlich die ein oder andere, müsste ich mir schon Gedanken machen.

Allerdings bekommt diese Idee von mir eine klare Zustimmung, wie ich bereits erwähnt habe.
_________________________
if ($ahnung == 'keine' ) { use ( FAQ ) && ( Google | | Suche ) }
if ($antwort == 0 ) { post ( Frage ) }

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Dreamboy-1996 <3] - #2512126 - 17.10.2012, 06:55:26
CX7

Registriert: 08.04.2003
Beiträge: 25
eine andere/weitere Idee wäre noch:

Tanabfrage beim Login. (Als Zusätzliche Option im Tan edit)

Die Tanabfrage beschränkt sich dann nur auf einen Login, solange die IP-Adresse unverändert bleibt.

Sollte es zum Diebstahl des Nicks kommen, können keine Smileys/Knuddels/Codes gestohlen werden und
es sind keine weiteren Tanabfragen notwendig, die gerade bei Leuten die viel tauschen auf Dauer sehr nervig sind.

Außerdem wird dadurch die Privatsphäre (z.B. durch /m old oder /m sent) geschützt, sowie Freunde durch
Vertrauensmissbrauch. (z.B. das Fragen nach Knuddels/Smileys von nichtsahnenden Freunden aus der /F)

Ich denke, die Tan-Einstellung würden sehr viele nutzen, sogar Leute die sonst keine Tan verwenden,
weil solange man am eigenen PC bleibt nur einmal die Tan eingeben und geschützt ist.

Und Nickdiebe würden schnell das Interesse verlieren, weil dann gar nichts mehr möglich ist.

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2512147 - 17.10.2012, 10:34:58
cooler Albaner 007

Registriert: 06.12.2006
Beiträge: 4.849

Also die 2. Idee find ich nicht gut. Tut mir Leid, aber ich habe keine Lust, jeden Tag eine TAN einzugeben, nur damit ich chatten kann. O.o
Schließlich muss ich die Liste unter meinen vielen SMS ja auch erstmal suchen. Soviel Mehraufwand will ich nicht betreiben. Wenn ich nicht will, dass mein Nick geklaut wird, dann passe ich anderweilig auf.
Die 1. Idee befürworte ich allerdings. Es kann ja mal wirklich sein, dass ich nicht aufgepasst habe. Und dann bin ich immernoch sicher. :-)

[zum Seitenanfang]  
Seite 1 von 2 1 2 > alle