Loseremote Fenster resize, Losepasswort

[theHacker]

Lukas könnte dafür sorgen, das die gefordrte Sicherheit eingehalten wird, indem er z.b. nur >8stellige PWs akzeptiert

Was glaubst du, was da abgeht?
"Hilfe! klamm nimmt mein Passwort nicht mehr", "Ich kann mir keine so langen Passwords merken", "Ich habe ueberall *** als Passwort. Bei klamm geht das nicht mehr, weil es zu kurz is", ...

Das Geschrei is gross...

 

[Bububoomt]

Es gab ein BruteForce "light", indem halt immer 3x getestet wurde, dann der nächste Account und nach 10min wieder der erste ... das Entscheidende dabei war, dass das automatisch geschah, weil das alte Login-Captcha zu einfach war. Deshalb hab ich reCAPTCHA eingebaut und seitdem sind diese Attacken gestoppt. (aber das wollen die User ja nicht sehen, sondern meckern direkt wieder über reCAPTCHA ... und gerade DIE User, die betroffen waren!!! -.- )

10 min? die sperre kann man scheinbar verhindern und quasi einen account unbegrenzt ohne sperre Testen.

Was glaubst du, was da abgeht?
"Hilfe! klamm nimmt mein Passwort nicht mehr",

Wieso? Erfolgt doch erst wenn er sein pw ändern will, bzw, wenn er gesperrt wurde, bzw. bei einer neu anmeldung.
Somit gibts da kein geschrei, bzw. das geschrei gäbe es ja eh.

"Ich kann mir keine so langen Passwords merken"

Geht bei anderen seiten auch, gibt einige die ja ein längeres PW nur akzeptieren.

, "Ich habe ueberall *** als Passwort. Bei klamm geht das nicht mehr, weil es zu kurz is", ...
Das Geschrei is gross...

Das sollte ja eh unterbunden werden, somit egal

 

[klamm]

10 min? die sperre kann man scheinbar verhindern und quasi einen account unbegrenzt ohne sperre Testen.

Nein kann man nicht ... hast Du meins überhaupt gelesen?

 

[Djdjrjf8e]

Nein kann man nicht ... hast Du meins überhaupt gelesen?

Was hälst Du eigentlich von einer optionalen persönlichen TAN-Liste?
würde das nicht die "Sicherheit" (z.m. das Sicherheitsgefühl) steigern?

- Automatisch erzeugt (wenn gewünscht), mit 5-7 Stellen (idealerweise im Userprofil)
- Eingabefeld im Login Bereich und/oder bei Lose-Transaktionen, wird nur überprüft, wenn im Userprofil Einstellung gesetzt ist "TAN-Liste vorhanden"

Natürlich wäre ein sicheres Passwort am Besten, es gibt aber halt User, die wollen den Mittelweg. Möglichst sicher aber bitte auch so einfach wie möglich

Standard wäre halt das diese Liste nicht aktiv ist, der User müsste sie im Profil aktivieren ( & ausdrucken).

Wenn der User Probleme hat (TAN-Liste vergessen / verbraucht / unlesbar) kann er mit einer Mailbestätigung an seine E-Mail-Adresse oder hier im Forum an die Admins nur die Option "TAN-Liste verwenden" zu deaktivieren (lassen) und der User kann sich dann wieder "normal" einloggen bzw. Lose transferieren.

Finde ich persönlich zu aufwendig, wäre aber für die Paranoiker (schreibt man das so?) eine zusätzliche Sicherheit.. und doch nicht so aufwändig zu implementieren...

Das sicherste und am schwersten zu merkende ist trotzdem ein (langes und kompliziertes) Passwort

jiw

 

[klamm]

Was bringt eine TAN-Liste, wenn das KLAMM-Passwort "gehackt" ist?

Würde nur Sicherheit gegenüber der Weitergabe des Lose-Passwortes bringen, ähnlich wie der Vorschlag mit Auf-und Abbuch-Losepasswort.

 

[Djdjrjf8e]

Was bringt eine TAN-Liste, wenn das KLAMM-Passwort "gehackt" ist?

Würde nur Sicherheit gegenüber der Weitergabe des Lose-Passwortes bringen, ähnlich wie der Vorschlag mit Auf-und Abbuch-Losepasswort.

Und wie soll sich derjenige einloggen, bei der Option "auch KLAMM-Login mit TAN" ?

Da bringt dann auch ein gehacktes gephishtes ausgespähtes PW nichts.

Deshalb "und/oder" beim Vorschlag.. halt Login und/oder Losetransaktionen

erweitere Sicherheit:

[ ] KLAMM.de-Login
[ ] Lose-Transaktionen --> [ ] mit TAN-Liste [TANs anlegen/erneuern]

PS: Wenn nur die Lose-Transaktionen abgesichert werden sollen, mussten dann auch die sicherheitsrelevanten (Email-Adresse, PW-Änderungen) Einstellungen mit der TAN-Liste abgesichert werden, da bei gehacktem KLAMM-PW die Einstellungen verändert werden könnten und das wollen wir ja auf jeden Fall vermeiden.

Gruß,

jiw

 

[Bububoomt]

Nein kann man nicht ... hast Du meins überhaupt gelesen?

vorweg: ist der Sicherheitshinweis, bzgl. xx Falscheingaben, neu?
(if(neu) echo "sehr schön, hat das hier bischen was gebracht")

Habe ich gelesen! Dlaubst mir nicht?
Hast du logs bzgl Falscheingaben? Dann Prüf mal meine ID, ich habe zwischen 19:40-20:00 Uhr, ca. 10-20 Fehleingaben (habs nicht genau gezählt) gemacht ohne in die Sperre zu geraten. Wären mehr gewesen, mußte nur zwischendurch mein neues PW suchen um mich wieder einzuloggen

if(!dukommstdrauf && willstwissenwie){
send PN or ICQ-Massage
}

 

[klamm]

vorweg: ist der Sicherheitshinweis, bzgl. xx Falscheingaben, neu?

nein gabs schon immer

Hast du logs bzgl Falsch eingaben? Dann Prüf mal meine ID, ich habe zwischen 19:40-20:00 Uhr, ca. 10-20 Fehleingaben

Fehleingaben des klamm-Passwortes führen zu der Sperre. Fehleingaben von captcha etc nicht. Wenn du gesperrt bist für 10min, kannst du wähend dieser Zeit erneut Fehleingaben produzieren, die auch mitgezählt werden. Allerdings kommst du nicht rein - auch wenn das PW innerhalb der Sperre richtig gewesen sein sollte (du erfährst auch nicht ob es richtig war während der Sperre). So ist es möglich 1000 Fehleingaben zu produzieren innerhlab von 1 Stunde - und schützt trotzdem gegen BruteForce. Oder hab ich was übersehen? Ich schau mal wieso Du nicht in die Sperre kamst.

Automatisierte login-bots können also nichts ausrichten.
Wir reden hier ja von bruteforce und 1000nden versuchen und mehr, nicht von 5x "ich probier ma 123456 .."

Edit: Ich hatte nen Bug ... test ma jetzt auf die gleiche Weise, ob Du das immer noch umgehen kannst dass er Dich sperrt.

 

[Bububoomt]

scheint behoben zu sein, hat diesmal nicht geklappt wie vorhin.

Die meldung mit der 10 min sperre kommt beim 4.ten versuch, ist das so richtig? oder sollte es nicht schon nach der 3. Fehleingabe erscheinen?

So, haben wir es nen stück zumindest sicherer gemacht Vielleicht machst dir aber ja einfach durch den Thread hier mal gedanken. Du kennst ja dein baby besser und vielleicht fällt dir was ein, wie man die Sicherheit verbessern kann. Denn schießlich ist auch das wichtig, nciht nur der Content!

 

[klamm]

der fehler war dass ich bei insert INTO das INTO vergessen hatte