Chat aktivierung.

Moin.

Accountdiebstahl ist selten, aber nicht unmöglich.
Wenn man das Passwort von einem Account hat ist man vielleicht gegen Knuddel/Smileydiebstahl geschützt aufgrund des Tan-Systems aber schreiben, Profile editieren oder andere Fotos etc. hochladen ist mit dem Passwort dennoch möglich.

Um einen Accountdiebstahl komplett uninteressant zu machen hätte ich folgende Idee:

Einen Code den man nach Login eingeben muss um den Chat, die Editierung usw. freizuschalten.
Natürlich gibt es bestimmt einige denen das wieder voll auf den Keks gehen würde deshalb würde ich vorschlagen das man den Sicherheitscode in den Einstellungen selber einstellen kann, oder eben nicht.
Vielleicht ist es ja auch möglich die Einstellungen so zu gestalten, dass der Code nur erforderlich ist wenn sich jemand anderes oder man selber von einer anderen IP online geht.

Erstellen des Sicherheitscodes = Tan abfrage.
Ändern des Sicherheitscodes = Eingabe des aktuellen Sicherheitscode + Tan abfrage.

Es gibt ja Leute die Einstellungen im Tan-System vornehmen das man bei jedem Smileytausch etc eine Tan abfrage bekommt. Vielleicht könnte diese ja durch den Sicherheitscode ersetzt werden, sprich:
Man muss pro Sitzung einmalig eine Tan angeben ( inklusive Sicherheitscode ) und kann danach jedes mal den Sicherheitscode ohne Tan benutzten.
Loggt man sich aus und wieder ein muss man wieder eine Tan eingeben ( + Sicherheitscode ) und kann danach den Sicherheitscode verwenden.

Mal ein krasses Beispiel ( auch wenn man in dem Fall selber schuld hat )
derzeit:
Du bekommst besuch, vertraust der Person, gehst duschen, Kaffee kochen oder was auch immer und die Person tauscht deine Smileys auf den Account weil dein Handy leider daneben liegt und er die Tan eingeben kann.

neu:
Du bekommst besuch, vertraust der Person, gehst duschen bla bla und die Person versucht einen Smiley zu tauschen hat aber lediglich die Tan. Smileytausch schlägt fehl weil er deinen Sicherheitscode nicht kennt.


Freue mich über Erweiterungen, Anregungen und Kritik bezüglich der Idee.
Wie immer auch ein Beispielscreen zur Idee:

Hallöchen Sysadm!

Danke für deine hübsche Idee!

Ich denke, dies könnte eine weitere Variante sein, die man mit dem TAN System verknüpfen kann um in der heutigen Zeit vor ungewollten Fremden zu schützen. Wie du sagst kann man ja auch "verarscht" werden von Freunden oder Leuten, die sich gleichzeitig mit dir irgendwo aufhalten, während du im Chat online bist. Auch gegen Nickdiebstahl wäre es eine gute Idee.

Meine andere Frage wäre jedoch, ob es heutzutage noch sinnvoll bzw. notwendig ist in dem Umfang. Eventuell ist es hier wirklich nicht so viel Arbeit, wie es zu programmieren scheint - dann hätte man sicherlich nicht viel dagegen zu sagen. Aber wenn es hier eine größere Hürde darstellen sollte, dann denke ich, wird es eher am Nutzen scheitern.

Generell sehe ich dem positiv entgegen und freue mich auf eine Diskussion. :) Von meiner Seite wird es als angenommen intern auf unsere Liste notiert für eventuelle zukünftige Neuerungen!


Liebe Grüße
Smartl
(Ideen-Team)

Ich würde mir generell die Einbindung einer Zweifaktorauthentifizierung (z.B. Google Authenticator) in Knuddels. Dieser sorgt dafür, dass nach dem eigentlichen Login via Passwort noch ein Einmalpasswort benötigt wird, dass von der "Google Authenticator"-App (Android, iOS) erzeugt wird.

Damit würde die Accountsicherheit noch weiter gesteigert werden, eine Implementierung stellt auch einen geringen Aufwand dar.

Wenn, dann sollte eine 2-Faktor-Authentifikation immer optional bleiben und schon gar nicht mit anderen Diensten verknüpft werden.

Knuddels kann ja gerne 2FA einführen, aber bitte keine Nutzer dazu zwingen die jedes Mal nutzen zu müssen. Wäre ein anderer Dienst, bspw. Google zwischengeschaltet, wäre ich weg. Wenn, dann möchte ich mich mit einem Account einloggen können, nicht zwingend 2 brauchen um mich irgendwo anzumelden.

Finde ich Schwachsinn; Entschuldigung.

Wer an die Daten kommt, der kommt auch an die "PIN" des "persönlichen Passwortes".

Das ganze ist nur dazu da, um es "ein wenig" zu erschweren, nicht "sicherer" zu machen.

Was nützt das ganze, wenn trotz diesem Verfahren deine Freundin trotzdem das Passwort und dann noch den persönlichen PIN kennt? Macht es dann das ganze sicherer? Nein.

Phishing ist mittlerweile in der Community ein ausgelutschtes Thema. Wann gab es die letzte große Phishing-Welle?
Beide Seiten der Nutzer sind schlauer geworden. Die eine erkennt Phishing- und Notruffakes, damit kann man niemanden mehr ködern. Die andere Seite macht sich keine Mühe mehr mit Phishingseiten um an den Knuddels-Account zu kommen; Viel eher setzen diese sich mit Bots in den vielzähligen Flirt- und Erotik-Channels, und lassen sich ansprechen um dann das Gespräch zu anderen Platformen (kik, Skype, et cetera) zu ziehen - Dort haben die dann ihre tollen Bots laufen, die nach Gutscheinen und Kaufgeschäften spammen.

Das TAN System ist schon schlimm genug. Jedes mal sein Handy raus kramen wegen nem Smilie für 0,01 Cent den man verkauft. Dieses lässt sich aber immerhin deaktivieren. Einen weiteren Pin/Code für die Bearbeitung halte ich für übertrieben und verschwendete Ressourcen in der Entwicklung.

Lg

Die optionale Verknüpfung und Aktivierung der 2FA fände ich durchaus eine sinnvollere Alternative als die Abfrage einer persönlichen PIN. Wie bereits benannt, könnte man auch die persönliche PIN "knacken" und umgehen. Eine unabhängige 2FA ist wesentlich schwerer zu umgehen und benötigt Zugriff auf das jeweilige Handy oder die Recovery Codes.

Ich nutze die 2FA mittlerweile bei fast allen Diensten wo es angeboten wird. Ich würde aber auch hier die Abfrage auf den Login beschränken.

Wenn jemand seinen Nick unbeaufsichtigt eingeloggt lässt, dann ist das meiner Meinung nach die eigene Schuld wenn jemand dann die Smileys tauscht oder die Knuddel vertickt.