Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Like Tree1Likes
  • 1 geposted von Mone

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 03.12.2012, 10:57:54   #1 (permalink)
Der Erlöser
Benutzerbild von tobias1985

ID: 37913
Lose-Remote

tobias1985 eine Nachricht über ICQ schicken
Reg: 24.04.2006
Beiträge: 4.752
Idee Losepasswort abschaffen

Hi,
da sowas immer häufiger vorkommt:
Suche Leute die auch durch RichardR geschädigt wurden durch Hacking und Losediebstahl

Und die Leute nur schwer erziehbar sind, das Einweg-Losepasswort zu verwenden, wenn es das Standardlosepasswort noch gibt, möchte ich vorschlagen, das Standard-Losepasswort abzuschaffen und nur noch das Einweg-Losepasswort zuzulassen.

Ein weiterer Vorschlag:
Im Einweg-Losepasswort-Popup einen Button hinzufügen, mit dem man das generierte Einweg-Losepasswort wieder ungültig machen kann.
Dann kann man das Einweg-Losepasswort verwenden, klickt danach auf den Button und hat das 10-Minuten-Zeitfenster geschlossen. (ich weiß, geht wohl auch mit neu generieren. Da man aber das Popup ja schon auf hat, könnte man mit schließen des Popups das Passwort ja automatisch wieder löschen)

Gruß
Tobias
- Nett sein kostet nichts und tut jedem gut -
- besser spät als gar nicht -
- Signatur ohne Werbung -
- Unberechtigte Kritik nehme ich zur Kenntnis, berechtigte Kritik zu Herzen. Es bleibt die Kunst, berechtigte und unberechtigte Kritik zu unterscheiden. -
tobias1985 ist offline   Mit Zitat antworten
Alt 03.12.2012, 12:54:35   #2 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.550
Standard

Zitat:
Zitat von tobias1985 Beitrag anzeigen
Und die Leute nur schwer erziehbar sind, das Einweg-Losepasswort zu verwenden, wenn es das Standardlosepasswort noch gibt
Nein, das Problem ist ein anderes. Es gibt zu viele User, die nur ein Passwort haben und das für die Emailadresse, für klamm und noch X andere Seiten verwenden. Also loggt sich der "Hacker" in die Email ein und sitzt dort quasi an der Quelle. Jedes geänderte Passwort kann er sich einfach zuschicken lassen.

Zum Vorschlag an sich: ich benutze gern mein Losepasswort. Ich könnte nicht nachvollziehen, warum ich jedesmal, wenn ich irgendwo Lose einzahlen will, auf klamm gehen muss. Nur weil es User gibt, die ein einziges Passwort für ausreichend halten, möchte ich nicht zu irgendwas gezwungen werden.
GoldSaver gefällt das.
.
Mone ist offline   Mit Zitat antworten
Alt 03.12.2012, 13:30:22   #3 (permalink)
Der Erlöser
Benutzerbild von tobias1985

ID: 37913
Lose-Remote

tobias1985 eine Nachricht über ICQ schicken
Reg: 24.04.2006
Beiträge: 4.752
Standard

Zitat:
Zitat von Mone Beitrag anzeigen
Nein, das Problem ist ein anderes. Es gibt zu viele User, die nur ein Passwort haben udn das für die Emailadresse, für klamm und noch X andere Seiten verwenden. Also loggt sich der "Hacker" in die Email ein und sitzt dort quasi an der Quelle. Jedes geänderte Passwort kann es er sich einfach zuschicken lassen.
100% Sicherheit kann man den Usern leider nicht aufzwingen. Da hast du schon recht.

Zitat:
Zitat von Mone Beitrag anzeigen
Zum Vorschlag an sich: ich benutze gern mein Losepasswort. Ich könnte nicht nachvollziehen, warum ich jedesmal, wenn ich irgendwo Lose einzahlen will, auf klamm gehen muss. Nur weil es User gibt, die ein einziges Passwort für ausreichend halten, möchte ich nicht zu irgendwas gezwungen werden.
Kann dich verstehen. Hatte es auch gerne genutzt. Aber es reicht 1 Seite aus, die dein Losepasswort loggt. Und schon kann derjenige jederzeit dein Konto leer räumen. Da bringt es dir dann auch nichts, dass du das Passwort nirgendwo sonst verwendest. Da es dein Losepasswort ist, verwendest du es auf zig Loseseiten.

Im Prinzip ist das Einweglosepasswort mit dem TAN-Verfahren gleichzusetzen. Oder willst du bei deiner Bank auch mit einem einzigen Passwort alles machen können? Ohne TANs?
- Nett sein kostet nichts und tut jedem gut -
- besser spät als gar nicht -
- Signatur ohne Werbung -
- Unberechtigte Kritik nehme ich zur Kenntnis, berechtigte Kritik zu Herzen. Es bleibt die Kunst, berechtigte und unberechtigte Kritik zu unterscheiden. -
tobias1985 ist offline Threadstarter   Mit Zitat antworten
Alt 03.12.2012, 13:58:54   #4 (permalink)
MØþ€®@¶øℜ
Benutzerbild von Totte

ID: 67388
Lose-Remote

Reg: 20.04.2006
Beiträge: 56.980
Standard

Das Problem ist definitiv nicht das LPW. Bei den meisten Accounts werden die Klamm-PW gehackt. Aber sie sind nicht wirklich gehackt, sondern einfach bekannt, weil mehrfach verwendet. Und wer das Klamm-PW hat, kann sich natürlich auch in den Tresor begeben sowie sich ein LPW setzen. Das geht hier schon soweit, das die Forumaccounts fremdgenutzt werden oder auch der EF-Tresor geleert. Wie geht das? Geht nur, wenn man das PW kennt! Keiner, auch kein Mod oder Admin, kann diese PW auslesen. Selbst ein Zuschicken ist da nicht möglich.
Man kann sie nur selbst neu setzen (außer EF-Tresor, da geht gar nichts...)
Nur dazu muss man im Account sein oder die Mail abfragen können.
Es ist schon zur Sicherheit so eingerichtet, das das LPW nicht mit dem Klamm-PW übereinstimmen kann, sonst wäre es noch schlimmer.
Täglich haben wir hier mehrere Fälle von: Ich habe das PW überall gleich..
oder: Ich habe 2 PW (muss ja, LPW und das normale dürfen nicht gleich sein) für alles.
Und komischerweise sind es auch oft dieselben User. Nicht selten werden sie mehrfach "gehackt", ändern (angeblich) die PW und stehen aber eine Woche später wieder auf der Matte....
Da werden Daten auf seltsamen Seiten eingegeben, ohne nachzudenken oder zu hinterfragen. Da braucht man nur schreiben: Es stehen 2 MRD zur Auszahlung, bitte dort melden, und schon gehts los, ....
Man braucht einfach nur als Lose-PW was eintragen, was keiner kennt.
Z.B.:
Zitat:
Isä]Xyß?>|sG³z_9DSj~-9bMax²
Und dann dieses nirgendwo verwenden, nur noch das Einwegpasswort. Oder eben nur dort verwenden, wo man sich sicher ist (so sicher, wie es geht, nichts ist 100%).
Aber solange die User nicht den "Hauptschlüssel", das Klamm-PW, verschlossen halten, kann man machen, was man will...
Weitere Sicherheit wäre, sich Mailadressen hier anzulegen, die keiner kennt. Nur hier verwendet.
Wenn sie nicht bekannt sind, kann der Faker auch kein PW abfragen....
Ich bin fast ausschließlich in der Modsprechstunde erreichbar
The only easy day was yesterday
Totte ist offline   Mit Zitat antworten
Alt 03.12.2012, 14:15:55   #5 (permalink)
Erfahrener Benutzer

ID: 399455
Lose-Remote

Reg: 11.06.2010
Beiträge: 4.618
Standard

Ich kann da Mone nur zustimmen.
Ich verwende zwar auch ab und zu dasselbe Passwort für irgendwelche Seiten, aber nur für "unwichtige" Sachen.
Für so etwas wie das Lose-Passwort verwende ich auf jeder Seite ein anderes Passwort und eines, was auch wesentlich länger ist und sicherer ist.
Und nur weil einige User etwas unvorsichtig mit ihren Passwörtern umgehen, will ich nicht gezwungen werden, mir jedesmal ein neues Passwort zu generieren.

LG,
GoldSaver
NEU 6 Mio. Lose sofort + dauerhaft Lose + Bonus + Gewinn-Rally!
Suche Punkte von Reise-und-Urlaubsziele, News-und-Nachrichten, CinemaXXL
GoldSaver ist offline   Mit Zitat antworten
Alt 03.12.2012, 17:25:49   #6 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Mone Beitrag anzeigen
Nein, das Problem ist ein anderes. Es gibt zu viele User, die nur ein Passwort haben und das für die Emailadresse, für klamm und noch X andere Seiten verwenden. Also loggt sich der "Hacker" in die Email ein und sitzt dort quasi an der Quelle. Jedes geänderte Passwort kann er sich einfach zuschicken lassen.
FACK!

www.keepass.info
Passwort-Verwaltungsprogramm? - oder: Wie mache ich meinen Account sicherer?
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 03.12.2012, 23:47:19   #7 (permalink)
Moderator
Benutzerbild von Arusiek

ID: 36574
Lose-Remote

Reg: 05.05.2006
Beiträge: 6.381
Standard

Und nichtmal das bringt was, wenn der Mail-Anbieter eine Recovery-Funktion mit "Geheimfrage" verwendet, deren Antwort du auf der NP oder in (a)sozialen Netzwerken publizierst...

Ich behaupte einfach mal, wenn ich meinen weiteren Bekanntenkreis durchgehe, komme ich bei über der Hälfte in den Mail-Acc. Ohne großen Aufwand oder irgenwas, was mit "hacken" zu tun hätte.

Gruß Aru
You're wondering now, what to do, now you know this is the end
You're wondering how, you will pay, for the way you misbehaved
Curtain has fallen, now you're on your own
I won't return, forever you will wait

Arusiek ist offline   Mit Zitat antworten
Alt 04.12.2012, 00:03:29   #8 (permalink)
Administratorin
Benutzerbild von Mone

ID: 969
Lose-Remote

Reg: 20.04.2006
Beiträge: 26.550
Standard

Das geht noch anders. Ich habe in den letzten Tagen von mindestens 2 Fällen gehört, in denen eine einfache Anfrage beim Webhoster oder Seitenbetreiber "ich habe meine Emailzugangsdaten vergessen, bitte mal die Emailadresse ändern" ausreichte. Und dann wurde anstandslos geändert. Neue Emailadresse war irgendwas@dawox.net.
.
Mone ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Losepasswort abschaffen Genius74 Verbesserungsvorschläge 7 31.10.2012 20:24:22
Renommee abschaffen M3Y3R Verbesserungsvorschläge 91 16.11.2006 23:12:24
Inaktivenlöschung abschaffen? Ragazzo Paid4 - News & Infos 89 03.11.2006 15:20:03
Aktivitätslose abschaffen... Fengar Verbesserungsvorschläge 1 11.07.2006 21:27:37


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:10:47 Uhr.