Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 03.09.2008, 21:38:40   #31 (permalink)
Gummibärchen
Benutzerbild von Brom

Reg: 13.01.2007
Beiträge: 656
Standard

Meinst du sowas wie bei Sparkasse & Co ?
Nunja erstens müsste man sich diese Tans wieder merken (bzw. ausdrucken & mann kann diese auch herausfinden [Brutforce & Co])
2tens wäre das mit viel Programmierarbeiten verbunden und 3tens rechne mal 100 Tans + 300 000 User => Bezahlst du den Datenbankserver ?


Warum eigentlich der ganze Aufwand ?

Nimmt doch einfach ein sicheres Passwort, Herr Gott nochmal.

Brom
Will der Mensch die Eier eckig, geht’s den Hühnern aber dreckig.

Geändert von Brom (03.09.2008 um 21:46:59 Uhr)
Brom ist offline   Mit Zitat antworten
Alt 03.09.2008, 21:41:39   #32 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von jiw Beitrag anzeigen
Und warum dann nicht ein TAN-ähnliches Verfahren?

[...]
Ich hoffe nicht so abwegig...
Abwegig weniger, aber hat genau dasselbe Problem, wie jeder Code, den der User klamm übermitteln muss: Bruteforce möglich.

Stellt sich also wieder die Frage: Ignorier ich solche Attacken, dann hat irgendeiner mal eine richtige TAN und kann was anstellen, blockier ich sie, kann ein Angreifer durch mehrfache Falscheingabe dem User Ärger bereiten.

Und das geht mit jedem Code, also Passwort, TAN und was man sich auch sonst noch aus den Fingern saugt. Drum war mein - übertriebener - Vorschlag das einzig Logische: Ein Code, der nicht gefälscht werden kann, d.h. man Leute bruteforcen lassen kann, wie sie wollen, weil sie nie den richtigen Fingerabdruck finden.

Jetzt kannst du kontern und sagen, dann nehm ich halt einen Code, der so lang is, dass man ihn nicht bruteforcen kann. Meine Antwort: Dann mach dein Passwort halt 120stellig, wenn du dich sicherer fühlst.

Luke hat zwar Recht, dass ein 120stelliges Passwort praktisch auch nicht sicherer, als bereits ein 8stelliges Passwort ist, aber wem das hilft, der soll.

In der Realität ist es halt so, dass Accounts nicht "gehackt" werden, sondern sich einfach in den Account eingeloggt wird, weil das Passwort bekannt ist.
Um das zu verhindern, darf mein sein Passwort einfach nicht hergeben und das ganze Problem wäre gelöst.

Nochmal einen Satz zu den TANs: So wie User ihre Passwörter hergeben, so geben sie auch ihre TANs her.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 03.09.2008, 22:06:22   #33 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Abwegig weniger, aber hat genau dasselbe Problem, wie jeder Code, den der User klamm übermitteln muss: [...] So wie User ihre Passwörter hergeben, so geben sie auch ihre TANs her.
Hab es mal auf das Wesentliche gekürzt

Da hast Du natürlich recht.. wobei ein Vergleich (bzw. eiine zufallsauswahl / -Eingabe der TAN) sicher schneller machbar ist als nu ne aufwendige PW PW noch ne PW-Funktion wenn Du verstehst was ich meine... aber den User am Bildschirm kann man leider nicht ersetzen.. (vielleicht bei Web10.0?? )

Grüßle,

jiw
 
jiw ist offline   Mit Zitat antworten
Alt 03.09.2008, 22:22:14   #34 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Bruteforce ist doch nicht möglich.
3 falsche Login-Versuche und du wirst für 10(?) Minuten gesperrt.
Zitat:
Zitat von theHacker Beitrag anzeigen
In der Realität ist es halt so, dass Accounts nicht "gehackt" werden, sondern sich einfach in den Account eingeloggt wird, weil das Passwort bekannt ist.
Dazu siehe:
Zitat:
Zitat von Mone Beitrag anzeigen
In der letzten Zeit gab es mehrere brute force-Angriffe auf klamm-Accounts. Es gibt zwar eine kurzzeitige Loginsperre, wenn das Passwort zu oft falsch eingegeben wurde. Dieser Mechanismus wurde aber umgangen, indem jeweils ein Account nur wenige Male "getestet" wurde, und danach eben der nächste. Um solche automatischen Loginversuche zu verhindern, wurde der Code (Captcha) beim Login geändert.
Diesmal betroffen:
P.S. von Biometrie halt ich nix, das ist auch leicht zu fälschen Davon kann doch glaube Schäuble inzwischen ein liedchen trällern...

Schön wäre bei dem, wenn man mal sieht welche IP, Mit welchem PW versucht hat sich bei seinem Account einzuloggen, so wie es bei Banken ist (Letzten Loginversuche)
Bububoomt ist offline Threadstarter   Mit Zitat antworten
Alt 03.09.2008, 22:46:15   #35 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Dazu siehe:
Ich kenne Mone's Aussage, aber ich kann auch rechnen. So viele klamm-Accounts haben wir nicht, dass man systematisch alle Kombinationen ausprobieren kann. Und selbst wenn: die beste Abwehr gegen Bruteforce sind lange Passwörter.
Wenn das 5stellige in 4 Minuten geknackt is, das 6stellige in 6 Stunden und das 8stellige in 4 Wochen, dann is mein Passwort eben 32stellig und damit steigt die benötigte Zeit zum Erfolg auf 1026 Jahre (Werte erfunden, aber einigermaßen an der Realität).

Wieder mal mein Punkt: Die geforderte Sicherheit kann jederzeit vom User hergestellt werden. Tut nur keiner
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Davon kann doch glaube Schäuble inzwischen ein liedchen trällern...
Oh oh, Politik, davon versteh ich eh nix.
Zitat:
Zitat von Bububoomt Beitrag anzeigen
Schön wäre bei dem, wenn man mal sieht welche IP, Mit welchem PW versucht hat sich bei seinem Account einzuloggen, so wie es bei Banken ist (Letzten Loginversuche)
Das würde ich vielleicht sogar noch für sinnvoll erachten. Die IP weniger, weil die nix bringt, aber das PW, damit man sieht, ob systematisch einer probiert oder sich einer einfach nur in der KID vertippt hat.
Ob das allerdings datenschutztechnisch machbar ist, bleibt die Frage.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 03.09.2008, 22:49:36   #36 (permalink)
abgemeldet

Reg: 01.05.2006
Beiträge: 33.004
Standard

Eingaben sichtbar zu machen halte ich nicht für optimal. Dann müsste ich nach jedem Zahlendreher mein Passwort ändern - oder alternativ jeder würde dann versuchen das Passwort selbst irgendwo einzugeben.

Die "Schutzwarnung" hat man eh, wenn dort steht, dass das PW falsch eingegeben wurde in der letzten Zeit. Passwort ändern und gut ist

BruteForce ist ein Ansatz der bei Klamm nur sehr bedingt zum Einsatz kommen kann und jeder von uns kennt die Berechnungen für die Angriffszeit mit Passwörtern/Sekunden/Datensatz. Je mehr umso länger umso unwahrscheinlicher ist ein BF Angriff der erfolgreich ist.
 
Benutzer-2472 ist offline   Mit Zitat antworten
Alt 03.09.2008, 23:05:30   #37 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Wo sollte es datenschutztechnisch Probleme geben, wenn in meinem Account mir angezeigt wird, was mit meinem Account passiert?
IP-Adresse würde ich nicht als personenbezogenes Datum ansehen, da du ja nur durch nen Staatsanwalt an den "Inhaber" kommen würdest.

Zitat:
Wieder mal mein Punkt: Die geforderte Sicherheit kann jederzeit vom User hergestellt werden. Tut nur keiner
Lukas könnte dafür sorgen, das die gefordrte Sicherheit eingehalten wird, indem er z.b. nur >8stellige PWs akzeptiert

>BrutforceSchutz verbessern ( der Trick, der genutzt wurde, sollte ihm ja nun bekannt sein).

@Cybo
nun das "bedingt zum Einsatz" ist schainbar aber nicht so bedingt wie gedacht...
Bububoomt ist offline Threadstarter   Mit Zitat antworten
Alt 03.09.2008, 23:21:51   #38 (permalink)
Erfahrener Benutzer

ID: 118459
Lose-Remote

Reg: 20.04.2006
Beiträge: 4.530
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
>BrutforceSchutz verbessern ( der Trick, der genutzt wurde, sollte ihm ja nun bekannt sein).
Man könnte, um das ganze etwas zu erschweren, noch die IP bei mehreren Fehlversurchen für eine bestimmte Zeit sperren und nicht nur den User. WÜrde bei Botnetzten aber auch nichts bringen.

Will aber jetzt auch nicht mehr dazu sagen, den das Problem sitzt eigentlich immer noch vorm Bildschirm. Wenn einer per Bruteforce über diese Methode an die Daten kommt, dann is das Passowort unsicher gewesen. Und man kann die User ja leider nicht dazu bewegen, diese sicherer zu machen und nicht überall zu verwenden (gehört nicht zum Bruteforcen, aber allgemein gesagt).
flaschenkind ist offline   Mit Zitat antworten
Alt 03.09.2008, 23:53:43   #39 (permalink)
abgemeldet

Reg: 01.05.2006
Beiträge: 33.004
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Wo sollte es datenschutztechnisch Probleme geben, wenn in meinem Account mir angezeigt wird, was mit meinem Account passiert?

Lukas könnte dafür sorgen, das die gefordrte Sicherheit eingehalten wird, indem er z.b. nur >8stellige PWs akzeptiert

>BrutforceSchutz verbessern ( der Trick, der genutzt wurde, sollte ihm ja nun bekannt sein).

@Cybo
nun das "bedingt zum Einsatz" ist schainbar aber nicht so bedingt wie gedacht...
Ich rede nicht von der IP, sondern vom eingegebenen Passwort. Zumal, was möchtest du mit einer IP, sie bringt dir nichts

Eine maximal Anzahl für Passwörter ist was sinniges, ABER das ist heute schon locker möglich, der User müsste nur mal ein längeres PW wählen - zwingt ihn keiner ein kurzes zu nehmen

Der Schutz ist doch schon recht gut, nach 3 Eingaben wird gesperrt. Die Wahrscheinlichkeit für ein langes PW einen erfolgreichen BF Angriff durchzuziehen ist auf 1 Jahr gesehen fast 0 und dann ändert man das Passwort *g*

Schau mal wie viel % der Accounts wirklich mit BF geöffnet wurden von den angemeldeten und wie viele einfach ihr Passwort durch die Gegend verteilen. Ausnahme bleiben natürlich die user, die immer noch nicht wissen, dass man kurze reale Wörter eben nie verwenden sollte.
 
Benutzer-2472 ist offline   Mit Zitat antworten
Alt 04.09.2008, 07:24:38   #40 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Es gab ein BruteForce "light", indem halt immer 3x getestet wurde, dann der nächste Account und nach 10min wieder der erste ... das Entscheidende dabei war, dass das automatisch geschah, weil das alte Login-Captcha zu einfach war. Deshalb hab ich reCAPTCHA eingebaut und seitdem sind diese Attacken gestoppt. (aber das wollen die User ja nicht sehen, sondern meckern direkt wieder über reCAPTCHA ... und gerade DIE User, die betroffen waren!!! -.- )
 
klamm ist offline   Mit Zitat antworten
Alt 04.09.2008, 08:37:30   #41 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
Lukas könnte dafür sorgen, das die gefordrte Sicherheit eingehalten wird, indem er z.b. nur >8stellige PWs akzeptiert
Was glaubst du, was da abgeht?
"Hilfe! klamm nimmt mein Passwort nicht mehr", "Ich kann mir keine so langen Passwords merken", "Ich habe ueberall *** als Passwort. Bei klamm geht das nicht mehr, weil es zu kurz is", ...

Das Geschrei is gross...
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 04.09.2008, 19:34:54   #42 (permalink)
ohne Vertrauen
Benutzerbild von Bububoomt

ID: 10361
Lose-Remote
Krank

Bububoomt eine Nachricht über ICQ schicken
Reg: 28.04.2006
Beiträge: 19.535
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Es gab ein BruteForce "light", indem halt immer 3x getestet wurde, dann der nächste Account und nach 10min wieder der erste ... das Entscheidende dabei war, dass das automatisch geschah, weil das alte Login-Captcha zu einfach war. Deshalb hab ich reCAPTCHA eingebaut und seitdem sind diese Attacken gestoppt. (aber das wollen die User ja nicht sehen, sondern meckern direkt wieder über reCAPTCHA ... und gerade DIE User, die betroffen waren!!! -.- )
10 min? die sperre kann man scheinbar verhindern und quasi einen account unbegrenzt ohne sperre Testen.

Zitat:
Zitat von theHacker Beitrag anzeigen
Was glaubst du, was da abgeht?
"Hilfe! klamm nimmt mein Passwort nicht mehr",
Wieso? Erfolgt doch erst wenn er sein pw ändern will, bzw, wenn er gesperrt wurde, bzw. bei einer neu anmeldung.
Somit gibts da kein geschrei, bzw. das geschrei gäbe es ja eh.

Zitat:
Zitat von theHacker Beitrag anzeigen
"Ich kann mir keine so langen Passwords merken"
Geht bei anderen seiten auch, gibt einige die ja ein längeres PW nur akzeptieren.

Zitat:
Zitat von theHacker Beitrag anzeigen
, "Ich habe ueberall *** als Passwort. Bei klamm geht das nicht mehr, weil es zu kurz is", ...
Das Geschrei is gross...
Das sollte ja eh unterbunden werden, somit egal
Bububoomt ist offline Threadstarter   Mit Zitat antworten
Alt 05.09.2008, 07:46:41   #43 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Zitat:
Zitat von Bububoomt Beitrag anzeigen
10 min? die sperre kann man scheinbar verhindern und quasi einen account unbegrenzt ohne sperre Testen.
Nein kann man nicht ... hast Du meins überhaupt gelesen?
 
klamm ist offline   Mit Zitat antworten
Alt 05.09.2008, 12:05:36   #44 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Nein kann man nicht ... hast Du meins überhaupt gelesen?

Was hälst Du eigentlich von einer optionalen persönlichen TAN-Liste?
würde das nicht die "Sicherheit" (z.m. das Sicherheitsgefühl) steigern?

- Automatisch erzeugt (wenn gewünscht), mit 5-7 Stellen (idealerweise im Userprofil)
- Eingabefeld im Login Bereich und/oder bei Lose-Transaktionen, wird nur überprüft, wenn im Userprofil Einstellung gesetzt ist "TAN-Liste vorhanden"

Natürlich wäre ein sicheres Passwort am Besten, es gibt aber halt User, die wollen den Mittelweg. Möglichst sicher aber bitte auch so einfach wie möglich

Standard wäre halt das diese Liste nicht aktiv ist, der User müsste sie im Profil aktivieren ( & ausdrucken).

Wenn der User Probleme hat (TAN-Liste vergessen / verbraucht / unlesbar) kann er mit einer Mailbestätigung an seine E-Mail-Adresse oder hier im Forum an die Admins nur die Option "TAN-Liste verwenden" zu deaktivieren (lassen) und der User kann sich dann wieder "normal" einloggen bzw. Lose transferieren.

Finde ich persönlich zu aufwendig, wäre aber für die Paranoiker (schreibt man das so?) eine zusätzliche Sicherheit.. und doch nicht so aufwändig zu implementieren...

Das sicherste und am schwersten zu merkende ist trotzdem ein (langes und kompliziertes) Passwort

jiw
 
jiw ist offline   Mit Zitat antworten
Alt 05.09.2008, 12:26:38   #45 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Was bringt eine TAN-Liste, wenn das KLAMM-Passwort "gehackt" ist?

Würde nur Sicherheit gegenüber der Weitergabe des Lose-Passwortes bringen, ähnlich wie der Vorschlag mit Auf-und Abbuch-Losepasswort.
 
klamm ist offline   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
loseremote? delicious Ich bin neu hier und habe eine Frage! 11 10.04.2007 07:38:42
ID und Loseremote im vB ntben Scripts & Software 6 28.01.2007 12:59:54
LoseRemote Medjan Ich bin neu hier und habe eine Frage! 8 24.12.2006 09:30:47
Loseremote? Greene Ich bin neu hier und habe eine Frage! 1 07.12.2006 22:21:39
[PHP] +Images + Attrib + Resize exportforce Programmierung 22 30.05.2006 11:41:23


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:13:13 Uhr.