Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 20.05.2009, 09:48:24   #16 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von Blomberger Beitrag anzeigen
Wenn für jemanden mein 20-stelliges Passwort für meinen E-Mail-Account keine Hürde ist, dann knackt er ein fünfstelliges Passwort bzw. eine Sicherheitsabfrage auch noch eben...
Absolut richtig.
In der aktuellen TR gibts einen Bericht über eine Studie zu dem Thema: Wenn geheime Fragen nicht geheim sind

17% der Fragen können von völlig Fremden korrekt beantwortet werden. Das entspricht einem Passwort, das nur aus einer einzigen Zahl zwischen 1 und 6 besteht, die der Angreifer dann erwürfelt
 
DelphiKing ist offline   Mit Zitat antworten
Alt 20.05.2009, 11:13:13   #17 (permalink)
abgemeldet

Reg: 01.05.2006
Beiträge: 33.004
Standard

Zitat:
Zitat von raven Beitrag anzeigen
[...]
Priorität ist zwar, wie Cybo schon sagt, der Schutz des E-Mail-Accounts, aber trotzdem muss man es ja nicht zu einfach machen, in den klamm-Account zu gelangen. Ich schätze mal, der Threadersteller hat sich einfach auf irgendeinem unseriösen PC in seinen E-Mail-Account eingeloggt, und ist dabei in die Falle getreten - oder, wahrscheinlicher: hat einen verseuchten PC - oder, oder...
Der Zugang zu Klamm ist nicht "erleichtert". Du brauchst das Passwort. Sitze ich an einem konterminierten PC, dann ist es egal wie viele Passwörter ich eingebe, da ALLE abgefangen werden können. Brauche ich die Zusatzabfrage für XYZ, dann benutze ich es täglich, somit gibts ne hohe Chance das mitzuloggen. Nutze ich es "nur" für Mail oder Passwortwechsel stört es mich nicht weiter, da ich auf die Lose weiterhin Zugriff hab.

Das ist im Prinzip so, wie mit dem Losepasswort. Das Teil ist unsicher wie hulle, da JEDE Webseite das locker speichern kann. Die meisten werden es nicht tun, bei einigen weiß ich, dass das PW gespeichert wird!

Soviel zur Sicherheit am Morgen.
 
Benutzer-2472 ist offline   Mit Zitat antworten
Alt 20.05.2009, 11:20:39   #18 (permalink)
Erfahrener Benutzer
Benutzerbild von da_freak

ID: 233028
Lose-Remote

Reg: 22.06.2006
Beiträge: 738
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
17% der Fragen können von völlig Fremden korrekt beantwortet werden. Das entspricht einem Passwort, das nur aus einer einzigen Zahl zwischen 1 und 6 besteht, die der Angreifer dann erwürfelt
Hier vergleichst du aber grade Äpfel mit Birnen.
Laut deiner Ausführung erhält der Angreifer mit einer Wahrscheinlichkeit von 0,17 eine Geheimfrage, die er mit einer Wahrscheinlichkeit von 1 beantworten. Kann. Wie leicht die restlichen 83% der Fragen beantwortet werden können ist offen.
Ich hoffe es ist klar geworden, auf was ich hinaus will.
 
da_freak ist offline   Mit Zitat antworten
Alt 20.05.2009, 14:01:01   #19 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Zitat:
Zitat von da_freak Beitrag anzeigen
Hier vergleichst du aber grade Äpfel mit Birnen.
Laut deiner Ausführung erhält der Angreifer mit einer Wahrscheinlichkeit von 0,17 eine Geheimfrage, die er mit einer Wahrscheinlichkeit von 1 beantworten. Kann. Wie leicht die restlichen 83% der Fragen beantwortet werden können ist offen.
Ich hoffe es ist klar geworden, auf was ich hinaus will.
OK, das Beispiel ist vielleicht doof, aber da es ja in den allermeisten Fällen nicht darum geht, einen speziellen Account zu hacken, knackt man eben bei jedem 6. Account (oder öfter, da ja, wie du schon gesagt hast, die Wahrscheinlichkeiten der anderen 83% unbekannt sind) die Sicherheitsabfrage und hat immernoch eine ganz gute Ausbeute.
 
DelphiKing ist offline   Mit Zitat antworten
Alt 20.05.2009, 14:23:53   #20 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Die Frage ist doch "Wie wird das PW des Email-Kontos geknackt?".
Das hat aber nichts mit klamm zu tun ...

Ist das Emailkonto sicher und das PW auf klamm auch, dann braucht man absolut keine weitere Absicherung. Oder wieso werde ich nie "gehackt"?
 
klamm ist offline   Mit Zitat antworten
Alt 20.05.2009, 14:48:45   #21 (permalink)
Moderator
Benutzerbild von Arusiek

ID: 36574
Lose-Remote

Reg: 05.05.2006
Beiträge: 6.381
Standard

Evtl. könnte man ja die geheime Frage noch zusätzlich mit einer PIN schützen

Gruß Aru
You're wondering now, what to do, now you know this is the end
You're wondering how, you will pay, for the way you misbehaved
Curtain has fallen, now you're on your own
I won't return, forever you will wait

Arusiek ist offline   Mit Zitat antworten
Alt 20.05.2009, 15:49:13   #22 (permalink)
Romy lieb haben
Benutzerbild von chrisi01

ID: 101113
Lose-Remote

Reg: 26.11.2008
Beiträge: 2.862
Standard

hi

man könnte auch das PIN/TAN Verfahren wie beim Onlinebanking verwenden

Jeder User bekommt eine TAN Liste mit 100 TANs bei jedem einloggen wird ein bestimmer abgefragt und nach dem Login ungültig. Sollte 3x der falsche Eingegeben werden wird gesperrt für eine Stunde oder so...

(Im Internetkaffee einloggen wird dann natürlich schwer und die TANs wären auch aufm Rechner gespeichert aber man könnte sie ja per Post versenden mal gucken wie gut die Zunge von Lukas ist beim Briefe zu pappen )

Ne Ernsthaft auf Wunsch TAN Liste per Post kostet 1€ dafür hat man eigentlich absolute Sicherheit (außer die TANListe wird aus der Wohnung geklaut) Oder Lukas findet Werbepartner die auf der TAN Liste ihre Werbung wollen und dafür den Versand bezahlen

ByeBye Keylogger Passwortsniffer usw. denn der eingegebene TAN ist dann schon ungültig

mfg

Chris

mfg

Chris
 
chrisi01 ist offline   Mit Zitat antworten
Alt 20.05.2009, 15:54:44   #23 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 11.015
Standard

Dann fordert der Hacker halt ne TAN-Liste an ... weil er ja Zugang zu Deinem Mailaccount hat. Der Mailaccount ist die nächst höhere Sicherheitsinstanz (wenn nicht sogar die höchste). Wenn der insecure ist dann is eh alles fürn Arsch.
 
klamm ist offline   Mit Zitat antworten
Alt 20.05.2009, 16:08:26   #24 (permalink)
Romy lieb haben
Benutzerbild von chrisi01

ID: 101113
Lose-Remote

Reg: 26.11.2008
Beiträge: 2.862
Standard

hi

TAN Liste anfordern ist nur möglich wenn maximal 5 TANs noch übrig sind.

Sollte man sie verlieren muss der Support ran.

Aber recht hast du, wenn der Mail Account gecrackt ist wars das eigentlich.

btw Unterschied zwischen Hacker und Cracker sollte man auch mal bei Klamm klar stellen.

mfg

Chris
 
chrisi01 ist offline   Mit Zitat antworten
Alt 20.05.2009, 18:07:26   #25 (permalink)
Lose 2.0 –
das zweite Zeitalter
Benutzerbild von theHacker

ID: 69505
Lose-Remote

theHacker eine Nachricht über ICQ schicken theHacker eine Nachricht über Skype™ schicken
Reg: 20.04.2006
Beiträge: 22.650
Standard

Zitat:
Zitat von chrisi01 Beitrag anzeigen
Sollte man sie verlieren muss der Support ran.
Um den Support in Anspruch nehmen zu können, sollte dies aber mit einer Sicherheitsabfrage und einer mTAN (wer sein Handy verliert, ist selber schuld) abgesichert werden.

Diesen Beitrag bitte nicht ernst nehmen.
NEU OpenIsles - das freie Insel-Aufbauspiel NEU

www.theHacker.ws v3 | WhatPulse-Team
Bezahlte Startseite
- mehr Verdienst als auf klamm - viele Auszahlungen erhalten
theHacker ist offline   Mit Zitat antworten
Alt 20.05.2009, 20:04:59   #26 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von theHacker Beitrag anzeigen
Um den Support in Anspruch nehmen zu können, sollte dies aber mit einer Sicherheitsabfrage und einer mTAN ...
Die mTAN wird in Kombination mit der Sicherheitsabfrage und dem aktuellen Passwort generiert und auf einer Website von KLAMM mit herkömmlicher Werbung und unter Verwendung von Silverlight zur Darstellung zum Abruf dargestellt. (wer kein Handy mit Web 2.0 sowie aktuellem Browser mit Silverlight-Darstellung hat, ist selber Schuld!)

jiw

(diesen Beitrag erstrecht nicht ernstnehmen)
 
jiw ist offline   Mit Zitat antworten
Alt 20.05.2009, 20:12:53   #27 (permalink)
Romy lieb haben
Benutzerbild von chrisi01

ID: 101113
Lose-Remote

Reg: 26.11.2008
Beiträge: 2.862
Standard

und um sich 100%ig zu verifizieren mit Personalausweiß direkt in Neustadt melden, Klingeln und sich persönlich vorstellen und Ausweiß vorzeigen. Vielleicht bekommt man dann einen Kaffee.

(den kann man gerne Ernst nehmen.)
 
chrisi01 ist offline   Mit Zitat antworten
Alt 20.05.2009, 20:32:54   #28 (permalink)
jiw VERIFIZIERTER User
Konto blockiert

ID: 33571
Lose-Remote

Reg: 20.04.2006
Beiträge: 2.643
Standard

Zitat:
Zitat von chrisi01 Beitrag anzeigen
und um sich 100%ig zu verifizieren mit Personalausweiß [...]
(den kann man gerne Ernst nehmen.)
Nö mach ich nicht, ansonsten müsste ich Dich darauf hinweisen, das "Ausweis" mit s geschrieben wird und nicht mit ß.

Aber das mit Kaffe und Kuchen ... warum nicht?
 
jiw ist offline   Mit Zitat antworten
Alt 20.05.2009, 20:55:13   #29 (permalink)
Romy lieb haben
Benutzerbild von chrisi01

ID: 101113
Lose-Remote

Reg: 26.11.2008
Beiträge: 2.862
Standard

och son mist aber auch --> Ausweiß wird vom Firefoxwörterbuch aber auch nicht unterringelt hm hm...

ok morgen bei Lukas um 15Uhr zum Kaffee und Kuchen? Hoffe er liegt da nicht mit dem Bollerwagen im Straßengraben

mfg

Chris
 
chrisi01 ist offline   Mit Zitat antworten
Alt 20.05.2009, 21:44:21   #30 (permalink)
4½ Finger-Joe
Benutzerbild von darkkurt

ID: 35967
Lose-Remote

Reg: 20.04.2006
Beiträge: 12.880
Standard

Wie wäre es mit Biometrik?

Einloggen im Portal mit Fingerabdruck, Im Forum mit Gesichtsvermessung. Lose-Transaktionen werden durch Netzhautscan gesichert und für €-Auszahlungen muss man sich die Poperze vermessen lassen...
darkkurt ist gerade online   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
Ist das Wirklich Kostenlos? table1 Gott und die Welt 3 26.08.2007 18:45:23
KZ Dachau, War es wirklich so? wwewrestling Gott und die Welt 27 17.06.2007 21:34:45
Wirklich sicher? Medico Gott und die Welt 2 25.03.2007 13:18:48


Alle Zeitangaben in WEZ +1. Es ist jetzt 19:52:42 Uhr.