Du bist nicht angemeldet. [Anmelden]
alle Beiträge 1 2 > alle
Optionen
Thema bewerten
"Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! - #2386812 - 24.01.2012, 13:47:29
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Heho Leudings :-]


viele kennen dies sicherlich auch, man wird mit E-Mails vollgebombt das man sein Passwort vergessen hat. Gerade Nickdiebe nutzen diese Funktion sehr gerne um zuschauen ob Sie es irgendwie packen an das Passwort oder an die E-Mailadresse heranzukommen.

Aufgrund dessen kam mir auch die Idee wie man dies eindeutig verhindern kann. Und zwar soll die Passwortabfrage für "Passwort vergessen?" nun wie folgt ablaufen:

Man klickt auf den Button "Passwort vergessen?" und dort wird dann der Chatnick eingetragen. Hier klickt man dann nun auf weiter und gelangt zu einem Fenster wo man seine verifiierte E-Mailadresse und die Handynummer für das Tan-System angegeben hat eintragen muss. Das System vergleicht dann die Daten und sagt welche Tan-Nummer man eingeben muss.

Erst nach Abschluss dieser Schritte bekommt man auf seine verifizierte E-Mailadresse ein neues Passwort zugeschickt. Aufgrund dieser Sicherheit könnte man nun auch für Admins und Ehrenmitglieder dieses Feature offenlegen, so das man sich dann wieder dass Passwort zuschicken lassen kann. Natürlich sollte hierbei dann dennoch eine Meldung in Form von E-Mail oder sonstiges erfolgen, damit die VA's bzw. die Ehrenkommission bescheid weiß. Denn somit kann man dann auch gleich etwaige Nickdiebstähle auf die Spur gehen.


Ich hoffe die Idee hat euch gefallen und nun bin ich auf eure Meinungen gespannt.
In diesem Sinne ein fröhliches mitdiskutieren. :-]
_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Sir Drako] - #2387118 - 24.01.2012, 21:16:48
Struppi 17
​Stammchatter

Registriert: 12.06.2004
Beiträge: 28
Ort: Salzgitter
Heho Marcel,

hast dir wohl mal wieder ein paar nette Gedanken machen können, im Großen und Ganzen finde ich deine Idee sehr gut. Und es würde nur Vorteile mit sich bringen, wenn man auf deinen Vorschlag zurück kommt. Bleibt aber nur zu hoffen, dass man deinen Vorschlag auch annimmt und er schnellst möglich auch umgesetzt wird. Aber wann kann man natürlich schlecht sagen, weil man schlecht sagen kann inwieweit man das bestehende Passwortsystem umschreiben muss/kann oder ob man für deine Idee sogar ein ganz neues System schreiben muss.

Lg

Chris

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Sir Drako] - #2387288 - 25.01.2012, 08:17:57
Bushido&Chakuza 2
Nicht registriert


Was wäre bei einer TAN - Sperre oder wenn ich das Handy verloren habe ???
Ich würde die Sache mit dem TAN System weglassen. Also man muss nur sein Knuddelsnick und die verifyzierte E-Mail Adresse angeben. Allerdings ist dies auf max. 3 mal täglich beschränkt :-)

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Sir Drako] - #2387672 - 25.01.2012, 19:44:22
Kev777
​Forumsengel

Registriert: 03.09.2010
Beiträge: 7.567
Ich weiß ja nicht was alles für hürden aktuell aufgestellt sind um sich ein passwort zuschicken zu lassen. aber ein captcha, so wie es bei der registrierung verlagt wird, würde zumindest die meißten bots auflaufen lassen =)
_________________________
Orwell war ein Optimist
________

„Würden die Menschen das Geldsystem verstehen, hätten wir eine Revolution noch vor morgen früh.“
- Henry Ford

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: ] - #2387691 - 25.01.2012, 20:01:02
Tigerli

Registriert: 06.09.2010
Beiträge: 275
Also ich finde die Idee super wenn man das mit dem Tan-System verbinden könnte :-)

Antwort auf: Bushido&Chakuza 2
Was wäre bei einer TAN - Sperre oder wenn ich das Handy verloren habe ???
Ich würde die Sache mit dem TAN System weglassen. Also man muss nur sein Knuddelsnick und die verifyzierte E-Mail Adresse angeben. Allerdings ist dies auf max. 3 mal täglich beschränkt :-)


Man sollte auf seine Sachen schon aufpassen immerhin haben diese auch ihren Wert.
Andernfalls könnte man es vieleicht auch so einstellen ob man diese Art von Sicherheit aus dieser Idee für seinen Nick aktivieren möchte? Oder ob man eben nur auf die Art durch von Bushido&Chakuza 2 durch angegeben der verifizierten Email aktivieren will?
_________________________
Gummibärchen, wehrt euch,
beißt zurück!

[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: ] - #2388133 - 26.01.2012, 14:45:39
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Antwort auf: Bushido&Chakuza 2
Was wäre bei einer TAN - Sperre oder wenn ich das Handy verloren habe ???
Ich würde die Sache mit dem TAN System weglassen. Also man muss nur sein Knuddelsnick und die verifyzierte E-Mail Adresse angeben. Allerdings ist dies auf max. 3 mal täglich beschränkt :-)


Dann fügt man halt im Edit-Bereich der Whois(2) noch ein was man noch dazu nutzen möchte. Also ob verifizierte E-Mail-Adresse oder Tan oder halt beides - so ansich ist das ja nicht unbedingt das Problem.
Das Problem ansich ist halt die Fakes mit ihren diversen Passwortklauversuchen und gegen diese geht man hiermit wunderbar entgegen. Denn wie will man dann an die Nicks mit Knuddels usw. kommen, wenn man nicht an die Tan-Nummern usw. kommt? - Richtig, gar nicht.

Klaro ist diese Idee etwas tan-lastig, aber immerhin bietet dies so mehr Schutz. Vorallem kann man mit dem oben beschriebenen System nicht mehr einfach auf "Passwort vergessen?" klicken und so an Nicks rankommen.
_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature! [Re: Kev777] - #2389056 - 27.01.2012, 16:42:29
WoB BoY 24
​Tomorrowland!

Registriert: 25.04.2007
Beiträge: 9.743
Ort: Wolfsburg
Antwort auf: Kev777
Ich weiß ja nicht was alles für hürden aktuell aufgestellt sind um sich ein passwort zuschicken zu lassen. aber ein captcha, so wie es bei der registrierung verlagt wird, würde zumindest die meißten bots auflaufen lassen =)

Auch nicht mehr. Mittlerweile ist es anhand von Datenbanken mit Captchas möglich, dass auch Bots Captchas lösen können. Wobei ich gar nicht mal glaube dass wirklich Bots das Passwort zurücksetzen lassen.


Ich denke es würde schon mal einen Vorteil bringen Nick und Email zu verlangen, denn aktuell ist die Email ja nicht einsehbar, für niemanden. ;-)
_________________________
Yesterday is history, tomorrow is mystery, but today is a gift - that's why we call it the present!

[zum Seitenanfang]  
Tanabfrage bei Passwortzusendung - #2511587 - 15.10.2012, 14:23:28
CX7

Registriert: 08.04.2003
Beiträge: 25
Durch die Tan-Abfragen im Chat wurde der Diebstahl von Smileys und Knuddels stark eingeschränkt, vorrausgesetzt bei jedem Tausch oder bei jeder Kn-Übertragung findet eine Tanabfrage statt.
Da es durch das Tan-Verfahrung oft zu Problemen gekommen ist, (am häufigsten: keine sms erhalten) wurde die Option von vielen deaktiviert oder nur auf sehr wichtige Aktionen wie der Tausch von sehr seltenen Smileys beschränkt.

Die wichtigste Abfrage wurde aber bis jetzt außer Acht gelassen.

Nicks werden nur in den seltesten Fällen gestohlen, in dem das Knuddels-Passwort herrausgefunden wird. So schlau ist mittlerweile Jeder kein einfaches oder offensichtliches Passwort zu wählen bzw das in irgendeiner Form im Chat preiszugeben. ( Durch den Passwort-Test werden ja auch Unerfahrene nachdrücklich darauf hingewiesen.. )

Der Diebstahl erfolgt meist über die Email-Adresse die in Knuddels eingetragen ist, auf die ein neues Passwort versendet wird. Auch wenn man diese privat schalten kann, gibt es immer Möglichkeiten, wie z.B. Suche auf Facebook, Msn, Skype, Informationen von Freunden usw.

Bei Emailkonten können durch die beantworteten Sicherheitsfragen (die logischerweise meist einfacher zu beantworten sind als Passwörter, z.B. Name des ersten Haustieres, Lieblingsfilm etc. ,die auch viele schon vergessen haben weil die Emailkonto erstellung länger her ist ) viel einfacher die Passwörter herausgefunden werden.

Mir selbst und auch schon etlichen Anderen ist genau das passiert. Meiner Meinung nach ist das die größte Sicherheitslücke und der häufigste Grund der Diebstähle.

Lösung:

Eine Tan-Abfrage bei der Passwort-Zusendung, ohne eingeloggt zu sein.

Dadurch hat kein Fremder mehr die Möglichkeit sich einfach ein neues Passwort zuzuschicken.

Damit sich keiner einen Scherz erlauben kann um die Tans zu "sperren" durch Wiederholte Fehlversuche, könnte man die Maximale Anzahl der Versuche bei der Passwort-Zusendung auf 1 beschränken und keine neue Möglichkeit für diesen Tag gewähren.


Bearbeitet von Jag (15.10.2012, 15:44:32)
Bearbeitungsgrund: Betreff angepasst.

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: CX7] - #2511609 - 15.10.2012, 15:34:19
doubtfully
​Ice Ice Baby

Registriert: 09.10.2010
Beiträge: 895
Ort: Trier
Hallo CX7, :-)

vielen Dank für deinen Vorschlag, ich würde diesen in jedem Fall befürworten.
Deine Idee wurde notiert und an die Chatleitung weitergegeben.
Ich freue mich auf weitere Meinungen.

Liebe Grüße Vany (-:
(Ideen-Team)
_________________________
Höflichkeit ist die Blüte der Menschlichkeit.
Wer nicht höflich genug, ist auch nicht menschlich genug.

J. Joubert

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: doubtfully] - #2511614 - 15.10.2012, 15:47:02
cooler Albaner 007

Registriert: 06.12.2006
Beiträge: 4.849
Huhu,

ich finde diese Idee ebenfalls befürwortend.
Was macht man nur, wenn man keinen Zugriff auf die Handynummer hat? BeiWenn keinen Zugriff auf die E-Mail Adresse mehr hat, kann man es immernoch irgendwie schaffen, den Zugriff zu erlangen (z. B. durch PW-Rccksetzung der E-Mail).
Die TAN-Eingabe sollte man auch bei 3 Eingabeversuchen einschränken.

Bei manchen Portalen gibt es ja bereits so eine Möglichkeit, dass man sich sein Passwort auf sein Handy zurückschickt. Und darauf hat meist der Handybesitze r en alleinigen Zugriff.

Fazit: Jop! *haben will*! :-D


Bearbeitet von cooler Albaner 007 (15.10.2012, 15:48:49)

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: cooler Albaner 007] - #2511622 - 15.10.2012, 16:29:35
CX7

Registriert: 08.04.2003
Beiträge: 25
Gut, wenn keine Tan-liste mehr vorhanden ist (warum auch immer..) und die Handynummer geändert wurde, wodurch keine neue Tanliste zugeschickt werden kann.. gibt es nur die Möglichkeit eine neue Handynummer zu verifizieren. (Mit 1 Woche Wartezeit)
Das passiert aber denke ich nur in Ausnahmefällen.
Wichtig ist auszuschließen dass irgendwas geklaut wird.

[zum Seitenanfang]  
Re: Größte Sicherheitslücke auf Knuddels.de [Re: CX7] - #2511637 - 15.10.2012, 17:14:08
djchrisnet
​Verified Prototype Hater

Registriert: 27.05.2006
Beiträge: 903
Ort: Elmshorn
In dem Zusammenhang könnte man auch in Erwägung ziehen, das Passwort zusenden deaktivieren zu können (vll ab Stammi) so wie es bisher ab Ehrenz standardmässig ist.

Das "Feature" wird nunmal mehrheitlich zum Nickdiebstahl verwendet wodurch es eher zu einem Einfallstor wird

Des weiteren geht meistens mit einem Nickklau eine IP-Änderung einher.
Hier könnte man den Login von einer bisher Accountfremden IP durch eine Tan-Abfrage einschränken.
vll auch nur dann, wenn ein neues Passwort zugesendet wurde
_________________________
» AppEntwickler
» Prototype Hater



[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2511645 - 15.10.2012, 17:45:25
Xion 82
Not F​ast! ​- Not​ Furi​ous!​

Registriert: 09.08.2007
Beiträge: 1.376
Ort: Bremen


Die Idee is sehr gut. Befürworte ich ebenso!


hab da noch ein anliegen zum Thema Nickdiebstahl

Auf einer anderen Community wurde vor 2 monaten nen PIN Code eingeführt.

Diesen Pin Code muss man beim Login nach der Passworteingabe eingeben.

Die Sysadmins haben es so gehalten das man diesen nur via Maus eingeben kann, falls man einen Trojaner auffen PC hat. Somit is die Gefahr auch sehr stark eingegrenzt das jemand sich zugang zum Nick/Account macht.

So siehts bei uns aus: [img]http://www10.pic-upload.de/15.10.12/e98whciw2c3w.png[/img]

Geändert werden kann dieser Nur durch Systemadmins. Diese haben natürlich ebenso keinen Einblick auf diesen PIN Code die können den nur zurücksetzen.


Wäre das hier nicht auch eine Alternative?
Wenn wa schon bei der Sicherheit sind :)
_________________________

"Habt Ihr auch das Verlangen, sobald man einen Hang hinunter schaut,
dort auch hinunter zuspringen? - Ich habe es nicht!" :-D



[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Xion 82] - #2511678 - 15.10.2012, 18:41:11
Dreamboy-1996 <3
​#WirSindKeineBots

Registriert: 15.06.2010
Beiträge: 4.024
Die Idee von CX7 finde ich schon super, die von Xion 82 gefällt mir auch. Allerdings dann bitte nicht bei jedem Login, sondern eben nur bei der Passwortzusendung über die E-Mail-Funktion, Passwortänderung und E-Mail-Änderung. Optionell noch, wenn man bestimmte Smileys noch durch das PIN-System schützen möchte. Diese sollten im /edit konfigurierbar sein.

Im Allgemeinen bekommt eine solche Verbesserung der Nicksicherheit eine eindeutige Zustimmung.
_________________________
if ($ahnung == 'keine' ) { use ( FAQ ) && ( Google | | Suche ) }
if ($antwort == 0 ) { post ( Frage ) }

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Dreamboy-1996 <3] - #2511812 - 16.10.2012, 00:30:00
Ramsiiick

Registriert: 21.11.2008
Beiträge: 657
Hallo.
Die Idee, dass man "offline" eine TAN-Nummer anfordern kann, somit man sich das Passwort zusenden lassen kann, finde ich bei dem ersten Gedanken eigentlich gut. Wenn man dies jedoch gründlich überlegt und sich in dieser Rolle versetzt, kommen da meiner Meinung nach auch schon einige Nachteile mit sich:

  • Die Umsetzung ist ein Wenig "kompliziert"
  • Beim Missbrauch / Scherz erschreckt sich der User, wer dort die Anfrage gestellt hat
  • User könnte man mitten in der Nacht bewusst stören (durch so eine Scherzanfrage)
  • Tan-System müsste zu diesem Zeitpunkt zu 100% funktionieren
  • Das Handy müsste greifbar sein
  • Wenn die SMS verzögert ankommt, was mal öfters der Fall ist, dauert es mindestens doppelt so lange, als sonst
  • ...


Ich finde, allein schon wegen dem Grund, dass man den User "ärgern" möchte und mal mitten in der Nacht so eine "Scherz-SMS" schicken könnte dadurch, ist diese Vorstellung an sich eigentlich unpraktisch. Vielleicht kann man die Zurücksetzung erweitern. Zum Beispiel durch eine alternativ Email, Sicherheitsfrage (auch wenn gerade diese Methode in Frage gestellt wird...), selbst definierte Frage - die man nur selbst beantworten kann.

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Ramsiiick] - #2511814 - 16.10.2012, 00:39:55
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Ich weiß ja nicht ob einige mal wieder geschlafen haben, aber solch einen Vorschlag gibt es schon - siehe >> "Passwort vergessen?"-Funktion mit neuem Sicherheitsfeature!

_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Sir Drako] - #2511847 - 16.10.2012, 09:20:02
cooler Albaner 007

Registriert: 06.12.2006
Beiträge: 4.849

Man kann einen User nicht in der Nacht damit stören. Es wird ja keine neue TAN verschickt, sondern man muss die N. TAN aus der TAN-Liste eingeben, die man ja schon vorher bekam.
So erschreckt man sich sogar noch weniger, da man den Versuch gar nicht mitkriegt, wenn jemand versucht, das Passwort zurückzusetzen.
Bei einer E-Mail-Rücksetzung kriegt man sowas schon eher mit.

In dem Fall ist das Nichtmitkriegen einer Passwortrücksetzung nicht negativ, da man ja die TAN aus der TAN-Liste benötigt, um das Passwort wirklich zurückzusetzen.

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: cooler Albaner 007] - #2512018 - 16.10.2012, 20:28:45
Dreamboy-1996 <3
​#WirSindKeineBots

Registriert: 15.06.2010
Beiträge: 4.024
Man kann sehr wohl in der Nacht gestört werden. Hat man auf seiner Liste bereits alle TAN-Nummern aufgebraucht, wird bei erneuter Benötigung einer TAN die SMS erst verschickt. Aber wer sein Handy mit Ton an mit ins Bett nimmt, ist selbst Schuld. Man kann ja auch so mal von irgend jemandem angeschrieben werden :-)

Allerdings fällt ein solcher Versuch bei Personen wie mir schon auf, da ich mir genau aufschreibe, welche TAN-Nummern ich von der aktuellen Liste schon verwendet habe und welche nicht. Fehlen dann plötzlich die ein oder andere, müsste ich mir schon Gedanken machen.

Allerdings bekommt diese Idee von mir eine klare Zustimmung, wie ich bereits erwähnt habe.
_________________________
if ($ahnung == 'keine' ) { use ( FAQ ) && ( Google | | Suche ) }
if ($antwort == 0 ) { post ( Frage ) }

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Dreamboy-1996 <3] - #2512126 - 17.10.2012, 06:55:26
CX7

Registriert: 08.04.2003
Beiträge: 25
eine andere/weitere Idee wäre noch:

Tanabfrage beim Login. (Als Zusätzliche Option im Tan edit)

Die Tanabfrage beschränkt sich dann nur auf einen Login, solange die IP-Adresse unverändert bleibt.

Sollte es zum Diebstahl des Nicks kommen, können keine Smileys/Knuddels/Codes gestohlen werden und
es sind keine weiteren Tanabfragen notwendig, die gerade bei Leuten die viel tauschen auf Dauer sehr nervig sind.

Außerdem wird dadurch die Privatsphäre (z.B. durch /m old oder /m sent) geschützt, sowie Freunde durch
Vertrauensmissbrauch. (z.B. das Fragen nach Knuddels/Smileys von nichtsahnenden Freunden aus der /F)

Ich denke, die Tan-Einstellung würden sehr viele nutzen, sogar Leute die sonst keine Tan verwenden,
weil solange man am eigenen PC bleibt nur einmal die Tan eingeben und geschützt ist.

Und Nickdiebe würden schnell das Interesse verlieren, weil dann gar nichts mehr möglich ist.

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2512147 - 17.10.2012, 10:34:58
cooler Albaner 007

Registriert: 06.12.2006
Beiträge: 4.849

Also die 2. Idee find ich nicht gut. Tut mir Leid, aber ich habe keine Lust, jeden Tag eine TAN einzugeben, nur damit ich chatten kann. O.o
Schließlich muss ich die Liste unter meinen vielen SMS ja auch erstmal suchen. Soviel Mehraufwand will ich nicht betreiben. Wenn ich nicht will, dass mein Nick geklaut wird, dann passe ich anderweilig auf.
Die 1. Idee befürworte ich allerdings. Es kann ja mal wirklich sein, dass ich nicht aufgepasst habe. Und dann bin ich immernoch sicher. :-)

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: cooler Albaner 007] - #2512806 - 19.10.2012, 10:02:25
CX7

Registriert: 08.04.2003
Beiträge: 25
brauchst du ja auch gar nicht, solange du dich nicht an einem anderen PC einloggst.
Reicht ja vollkommen aus wenn die IP-Abfrage nur auf die ersten 8-10 Zahlen angewendet wird,
die sich nie ändern soweit ich weiß.

Außerdem steckt hinter der Idee nur eine weitere Option im Tan Edit, die besonders Chattern zugute kommt,
die öfters Smileys tauschen und nicht andauernd Tans eingeben wollen.

Die Option wäre also nicht nur sehr sicher, was Smileydiebstahl, Privatsphäre und Vertrauensmissbrauch
angeht sondern auch noch komfortabel.


[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2512948 - 19.10.2012, 18:43:08
Misterious

Registriert: 02.12.2011
Beiträge: 4.634
Ort: RLP
Antwort auf: CX7
Tanabfrage beim Login. (Als Zusätzliche Option im Tan edit)

Die Tanabfrage beschränkt sich dann nur auf einen Login, solange die IP-Adresse unverändert bleibt.



Beispielsituation (kommt öfters vor): Du bist bei einem Freund, und loggst dich dort das erste mal an diesem Tag in Knuddels.de ein und dein Tan wird abgefragt. Der Browser der Person ist so eingestellt, dass er Passwoerter beim ersten Mal eingeben direkt speichert (manche übersehen das/wissen das nicht, o. Äh.). Du fährst nach Hause und dein Passwort ist dort noch abgesichert - die Person loggt sich ein und stellt Unsinn mit dem Nick an, während du noch auf der Fahrt bist. Was machen, hm?


[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Misterious] - #2513106 - 20.10.2012, 06:09:55
CX7

Registriert: 08.04.2003
Beiträge: 25
Antwort auf: Misterious
Antwort auf: CX7
Tanabfrage beim Login. (Als Zusätzliche Option im Tan edit)

Die Tanabfrage beschränkt sich dann nur auf einen Login, solange die IP-Adresse unverändert bleibt.



Beispielsituation (kommt öfters vor): Du bist bei einem Freund, und loggst dich dort das erste mal an diesem Tag in Knuddels.de ein und dein Tan wird abgefragt. Der Browser der Person ist so eingestellt, dass er Passwoerter beim ersten Mal eingeben direkt speichert (manche übersehen das/wissen das nicht, o. Äh.). Du fährst nach Hause und dein Passwort ist dort noch abgesichert - die Person loggt sich ein und stellt Unsinn mit dem Nick an, während du noch auf der Fahrt bist. Was machen, hm?



Erklär mal bitte in welchem Zusammenhang dein Beispiel mit der Tanabfrage beim Login steht.
Das gleiche kann auch ohne Tanabfrage passieren, wenn du so extrem leichtsinnig bist und dich bei einem vertrauenswürdigen "Freund" einloggst, der dann Schaden auf deinem Nick anrichtet.
Dein beschriebenes "Problem", tritt maximal in 1 von 10.000 Fällen ein

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2513214 - 20.10.2012, 15:38:27
Misterious

Registriert: 02.12.2011
Beiträge: 4.634
Ort: RLP
Antwort auf: CX7
Antwort auf: Misterious
Antwort auf: CX7
Tanabfrage beim Login. (Als Zusätzliche Option im Tan edit)

Die Tanabfrage beschränkt sich dann nur auf einen Login, solange die IP-Adresse unverändert bleibt.



Beispielsituation (kommt öfters vor): Du bist bei einem Freund, und loggst dich dort das erste mal an diesem Tag in Knuddels.de ein und dein Tan wird abgefragt. Der Browser der Person ist so eingestellt, dass er Passwoerter beim ersten Mal eingeben direkt speichert (manche übersehen das/wissen das nicht, o. Äh.). Du fährst nach Hause und dein Passwort ist dort noch abgesichert - die Person loggt sich ein und stellt Unsinn mit dem Nick an, während du noch auf der Fahrt bist. Was machen, hm?



Erklär mal bitte in welchem Zusammenhang dein Beispiel mit der Tanabfrage beim Login steht.
Das gleiche kann auch ohne Tanabfrage passieren, wenn du so extrem leichtsinnig bist und dich bei einem vertrauenswürdigen "Freund" einloggst, der dann Schaden auf deinem Nick anrichtet.
Dein beschriebenes "Problem", tritt maximal in 1 von 10.000 Fällen ein


Die Tanabfrage macht einfach keinen Sinn, wenn die Person so "blöd" ist, und ihr Passwort auf einem anderen Computer speichert. Die IP wechselt ja nicht, solange die Person sich nicht woanders eingeloggt hat und die Tanabfrage ist an der Stelle des IP-Wechsels sinnlos.

In Knuddels sind übrigens mindestens 500.000 User - rechne mal hoch, sind schon 500 Fälle in denen das passiert. :-O

[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Misterious] - #2513393 - 21.10.2012, 02:58:35
CX7

Registriert: 08.04.2003
Beiträge: 25
Antwort auf: Misterious

Die Tanabfrage macht einfach keinen Sinn, wenn die Person so "blöd" ist, und ihr Passwort auf einem anderen Computer speichert. Die IP wechselt ja nicht, solange die Person sich nicht woanders eingeloggt hat und die Tanabfrage ist an der Stelle des IP-Wechsels sinnlos.

In Knuddels sind übrigens mindestens 500.000 User - rechne mal hoch, sind schon 500 Fälle in denen das passiert. :-O


Und wegen diesen Ausnahmefällen von Dummheit ist deiner meinung nach meine Idee mit der Tanabfrage schlecht?

Du beschreibst da wie schon gesagt ein "Problem" anhand einer Beispielsituation, das auch ohne die Tanabfrage besteht. Durch die Tanabfrage vor dem Login wäre der Unterschied sogar positiv für dein Beispiel. Sobald derjenige sich wieder auf seinem eigenen PC einloggt und die Tan eingibt, kann sich auf dem fremden PC nicht mehr eingeloggt werden.

Und zu deiner halben Million User.. Es sind zwar mehrere 10.000de aktiv oder halbaktiv, aber nur ein kleiner Teil davon gibt Geld für Smileys oder Codes aus und hätte durch die Tanabfrage eine erhöhte Sicherheit, falls diese von dem User gewünscht wird.

Wäre schön noch Meinungen dazu von anderen zu lesen.


[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: CX7] - #2513394 - 21.10.2012, 03:05:00
Sir Drako
» AFD​FCH -​ seit​ 1965​!​

Registriert: 08.07.2003
Beiträge: 5.191
Ort: Anon!
Du vergisst nur eins bei deinem Vorschlag zwecks der Tan-Abfrage beim einloggen - nicht jeder hat dies aktiviert. Denn nicht jeder möchte dies aktivieren. Sei es weil man die Nummer nicht eintragen mag oder aber auch weil es einem schlicht nicht interessiert.

Von daher wäre eine Tan-Abfrage bei der PW-Neusetzung viel besser als wenn man es noch beim einloggen dazu nimmt. Sogesehen müsste man dann alle 2 Tage ca. eine neue Tan verschickt werden und dies würde irgendwann den Rahmen der gesamten Sms'en sprengen.
_________________________
···[-»[> M.f.G. Sir Drako :-] <]«-]···




[zum Seitenanfang]  
Re: Tanabfrage bei Passwortzusendung [Re: Sir Drako] - #2513488 - 21.10.2012, 16:17:58
CX7

Registriert: 08.04.2003
Beiträge: 25
Antwort auf: Sir Drako
Du vergisst nur eins bei deinem Vorschlag zwecks der Tan-Abfrage beim einloggen - nicht jeder hat dies aktiviert. Denn nicht jeder möchte dies aktivieren. Sei es weil man die Nummer nicht eintragen mag oder aber auch weil es einem schlicht nicht interessiert.

Von daher wäre eine Tan-Abfrage bei der PW-Neusetzung viel besser als wenn man es noch beim einloggen dazu nimmt.


Genau so wäre es ja auch gedacht, dass nur die Leute die mehr Sicherheit haben möchten, diese Option nutzen können!

Die Tan-Abfrage bei der PW-Neusetzung wäre ja auch nicht schlecht, aber dann könnte sich jemand den scherz erlauben und mitten in der Nacht das PW Neusetzen lassen und das könnte sehr nervig werden.
Durch die Tan-Abfrage beim Login hat niemand die Möglichkeit dazu.

Antwort auf: Sir Drako
Sogesehen müsste man dann alle 2 Tage ca. eine neue Tan verschickt werden und dies würde irgendwann den Rahmen der gesamten Sms'en sprengen.


Wie kommst du auf alle 2 Tage? Und was wäre daran soviel? Die meisten bleiben doch am eigenen PC.

Im Gegenteil: Es würden weniger Tan-SMS verschickt werden, weil z.B. User die viel mit Smileys tauschen nicht andaurend Tans eingeben müssen.

[zum Seitenanfang]  
alle Beiträge 1 2 > alle