[PHP & CO] Fakern es erschweren

Bububoomt

Bububoomt

ohne Vertrauen
ID: 10361
L
28 April 2006
19.666
769
Momentan scheint es ja IN zu sein zu Faken und die Lose,Primera und co anderer zu klauen...

Leider wird auch desöffteren meine Wechselstube dafür mißbraucht, die ich nun erstmal deaktiviert habe, weil ich das einfach nur scheiße finde.

Ich wollte mal mit euch diskutieren, was man Programmiertechnisch machen kann/sollte um es den Fakern zu erschwären.

was mir eingefallen ist:

1. Bei mir müssen ja immer Lose-,Primera- etc.Passwörter eingegeben werden. Vorschlag=> Überprüfung des PW auf sicherheit und bei unsicheren PWs, soll der User hingewiesen werden dieses sicherer zu machen, also zu ändern.

2. Bisher konnte ein Klammaccount Lose in primera tauschen, auf mehreren Primeraccounts, und umgekehrt mit den anderen währungen natürlich.
Vorschlag=> Sobald ein Tausch von Account Ly zu Px erfolgt ist, ist ein Tausch von Ly zu Pz nicht mehr möglich auch von Pz zu Ly nicht nur von Px zu Ly.
(Ly=Klammaccount von y, Px=Primusaccount von x)


Lösungansatz zu 1)
Testen wie lang PW ist, mind. 8 Zeichen? Und
Groß und kleinschreibung vorhanden? und
Sonderzeichen vorhanden?

oder
Mindestens 20 Zeichen lang?

Lösungsansatz zu 2)
klar, ändern der Tauschfunktion, alsod er Wechselstube.


zu 1. Dies könnte natürich auf allen Seiten zum einsatz kommen. Schon bei der Registrierung am besten (also hier bei Klamm). Wer kein Sicheres Passwort eingibt, kann sich nciht registrieren. Bei änderung des PW über den Account erfolgt ebenfalls eine Prüfung...

zu 2. Ist nur für mich und andere Wechselstuben relevant, sofern bei anderen nicht schon geschehen.


Wer hat vorschläge, wie mans den Fakern noch erschweren kann?
Proxyips sperren? Gibts da eine Liste der Proxyip?


Vielleicht hat wer auch direkt eine Lösung für 1., also ein funktion/Klasse die das prüft?
 
du bist doch Drittanbieter,
wie willst du entscheiden ob jemenad die Lose geklaut hat oder nicht.
Du bist nicht derjenige der ein Sicherheitsproblem hat, sondern andere Leute, meist die geschaedigten selbst, wenn sie ihr Losepasswort etc auf dubiosen Seiten eingeben...

aber loeblich, dass du dir Gedanken machst um sowas :D
 
1. was ist ein unsicheres Passwort? Und führt ein unsicheres Passwort zu gehackten Accounts? Um Passwörter auf Sicherheit zu testen gibt es für PHP zb die Cracklib...

2. wie hoch ist aber die Wahrscheinlichkeit das bei dir schonmal jemand mit dem gehackten Account getauscht hat?


Und ja ich denke Proxys sperren bringt schon was, aber ich halte es für unmöglich alle zu sperren. Es gibt genügend Seiten die Proxylisten als CSV anbieten... einfachmal nach proxy und csv suchen. Da sind aber noch nicht solche Anbieter wie TOR, ANON, VPNs usw. drin...
 
ZeroCCC schrieb:
...Und ja ich denke Proxys sperren bringt schon was, aber ich halte es für unmöglich alle zu sperren...
Zum Vergrößern anklicken....
Sicherlich klar, aber ich bezweifle sogar schon, dass das per Proxy gemacht wird.

Passwortvorgaben bringen nicht als weniger Kunden.Man könnte natürlich, wenn der User schon mal vorher da war, den Provider speichern. Sollte der ein anderer sein, so die Summe reduzieren oder ganz sperren. Macht ja PayPal auch so.
Zusätzlich könnte man noch für Leute, "die wissen, das denen das nicht passiert" (haha), den Schutz deaktiverbar machen lassen.

Da ich nicht weiß, wer tauscht, könnte ein Ländercheck eventuell was bringen.
Die meisten kommen aber sicherlich von Europa und nutzen veröffentlichte Daten zum Login, Diebstahl, Verkauf.
 
ZeroCCC schrieb:
1. was ist ein unsicheres Passwort? Und führt ein unsicheres Passwort zu gehackten Accounts? Um Passwörter auf Sicherheit zu testen gibt es für PHP zb die Cracklib...
Zum Vergrößern anklicken....

Unsicher, hmm vielleicht wenn PW=Benutzername ist?
Geht auch darum obs eher unsihcer ist:
Du wirst mir doch sicher zustimmen, das ein PW wie "Nielpferd" unsicherer als "NXz45wx*1" ist. Schon allein weil Nielpferd im Lexikon/Duden steht.



ZeroCCC schrieb:
2. wie hoch ist aber die Wahrscheinlichkeit das bei dir schonmal jemand mit dem gehackten Account getauscht hat?
Zum Vergrößern anklicken....
Nun, bei mir Tauschen sehr oft leute, also gar nciht so gering. Aber geht eher darum, das die Faker von diversen Loseaccounts erstmal die Lose in währung x auf einen Account tauschen und dann diese insgesamt weiter tauschen/verwenden.

ZeroCCC schrieb:
Und ja ich denke Proxys sperren bringt schon was, aber ich halte es für unmöglich alle zu sperren. Es gibt genügend Seiten die Proxylisten als CSV anbieten... einfachmal nach proxy und csv suchen. Da sind aber noch nicht solche Anbieter wie TOR, ANON, VPNs usw. drin...
Zum Vergrößern anklicken....

Geht darum, das man schon mal einen Teil sperrt, wie hier das Forum. Hier wird ein bezahlvpn gesperrt (weiß gerade nicht mehr welches), weil über den mehrfach schon gespamt/gefakt wurde.

Wenn man schonmal im vorraus einiges sperrt, dann kann mans ja den fakern erschweren, so das die irgendwann keine Lust vielleicht haben, wenn sie nach x-Versuchen gescheitert sind.
 
hm, wie wäre es, wenn es Useraccounts auf der Wechselstube gäbe, wo jeder tauschwillige einen Account einrichtet, dort dann seine ebesucher, primera, oder sonstwas-ID eingibt.
Und nur innerhalb dieser IDs kann getauscht werden.
 
war auch am überlegen, dass mit einer zusätzlichen Registrierung zu machen.
Wäre dafür nicht zwingend nötig, da wie gesagt ja beim rsten Tausch die Verbindung festgeschrieben wurde, aber wenn der Faker ich noch zusätzlich nen Account erstellen muß, dass er noch mehr arbeit hat.
Denke, das ich das auch so umsetzen werde.
 
Bububoomt schrieb:
Unsicher, hmm vielleicht wenn PW=Benutzername ist?
Geht auch darum obs eher unsihcer ist:
Du wirst mir doch sicher zustimmen, das ein PW wie "Nielpferd" unsicherer als "NXz45wx*1" ist. Schon allein weil Nielpferd im Lexikon/Duden steht.
Zum Vergrößern anklicken....
ein sichers Passwort hat keine Wikipedia Seite
Gruß
 
Bububoomt schrieb:
Wer hat vorschläge, wie mans den Fakern noch erschweren kann?
Proxyips sperren? Gibts da eine Liste der Proxyip?
Zum Vergrößern anklicken....

Nur Traffic aus DE, AUT, CH zulassen.
Dann hast zumindest schonmal die Proxies von Übersee weg.

Bei CH-Traffic vllt. noch die SwissVPN IPs sperren.
 
muh_kuh schrieb:
Hallo
wenn man Nilpferd richtig schreibt (also so wie es im Wörterbuch vorkommt)
https://de.wikipedia.org/w/index.php?title=Nilpferd

Gruß
Zum Vergrößern anklicken....

mein fehler ;)

tkiela schrieb:
Nur Traffic aus DE, AUT, CH zulassen.
Dann hast zumindest schonmal die Proxies von Übersee weg.

Bei CH-Traffic vllt. noch die SwissVPN IPs sperren.
Zum Vergrößern anklicken....

Nur gibts da wieder das problem, das es auch ehrliche User gibt auserhalb, DE,AUT,CH und auch AOL-User, die ja ne ndere IP haben...
Also nicht ganz so leicht.
 
Hey ; - )


Ich denke mal das sicherheit von der Person abhängt.

-Sicheres Passwort Wählen zbs. 7Hk23js28JJKsh
-----Email adresse anderes passwort
-----Klamm ACC anderes Passwort


-Vor Trojaner schützen
------meistens werden ACC Daten geklaut , da die Betroffenen sich einen Trojaner eingefangen haben.



ansonsten kann keiner an dein Klamm ACC daten ran ( soweit ich weiss)
 
Zuletzt bearbeitet:
Bububoomt schrieb:
Unsicher, hmm vielleicht wenn PW=Benutzername ist?
Geht auch darum obs eher unsihcer ist:
Du wirst mir doch sicher zustimmen, das ein PW wie "Nilpferd" unsicherer als "NXz45wx*1" ist.
Zum Vergrößern anklicken....

Stimmt, aber die meisten haben immer noch nicht verstanden, dass es die geklauten Lose etc. nicht nur wegen der unsicheren Passwörter gibt. Dir bringt das sicherste Passwort nichts, wenn a) du das Passwort auf allen Seiten ansetzt und b) das Passwort auf jeder x-beliebigen "Loseverschenkseite" eingibst.
Wenn dir dein Passwort geklaut wird, bringt dir das sicherste Passwort nichts. Die User müssen einfach mehr Eigenverantwortung übernehmen.

Bububoomt schrieb:
Nun, bei mir Tauschen sehr oft leute, also gar nciht so gering. Aber geht eher darum, das die Faker von diversen Loseaccounts erstmal die Lose in währung x auf einen Account tauschen und dann diese insgesamt weiter tauschen/verwenden.
Zum Vergrößern anklicken....

Du gehst davon aus, dass die meisten User bei dir schonmal getauscht haben. Wieviel verschiedene User haben wirklich schon bei dir getauscht? Wenn jetzt jemand meinen Account "hacken" würde und würde damit meine Lose über deine Wechselstube tauschen, könnte er dies tun, da ich bei dir noch nie getauscht habe.

Was das aussperren von bösen IP-Adresse, Adress-Bereichen etc. angeht:
https://www.bot-trap.de Ist das zwar hauptsächlich gegen Spam ausgelegt, aber ob Spamer, Hacker oder Faker... die nutzen teilweise die gleichen Proxys oder IP-Adressen. Könnt ihr euch ja mal anschauen. Im Forum dort gibt es auch (von mir) ein Script zum auswerten der Logfiles, die das bot-trap-Script schreibt.
 
Also 100% sicher kann mans nicht machen, außer man macht es mehr als kompliziert (aso Chellange-response z.b.), und natürlich müssen die User umdenken.

Ich habe auch mehr möglichkeiten als andere Seiten, um den Usern ins gewissen zu reden. Denn bei mir geben die zwei PWs ein, so dass ich die natürlich vergleichen kann, und wenn die Identisch sind, dann kann ich ne Meldung raus schmeien "Du,du,du ändere mal lieber deine PWs"...

Das ist meine Absicht, wenigstens einige User aufmerksam zu machen. Somit kann ich bei a) schon etwas machen. Könnte es auch ganz hart machen, bei identischen PW wird kein Tausch durchgeführt.

Zu b) da kann ich so natürlich nichts machen. Da müßte was anderes her..

Du verstehst mich falsch, ich gehe nichtdavon aus, das die meisten bei mir getauscht haben. (habe lediglich knapp 10.000 unterschiedliche Usernamen/IDs in der DB).

Es geht darum, dass der Faker nicht mehr mit einem Klammccount diverse Primeraaccounts leerräumt.

Beispiel:
Momentan könnte ich mit einem Klammaccount 10361 diverse Primeraaccounts leer räumen.
Dafür Tausche ich Primera vom Account a,b,c,d,e.. in Lose auf den Account Kid 10361.

In Zukunft geht das nicht, da Primeraaccount a und kid 10361 verknüpft sind nach dem ersten tausch. Wenn er versucht Primera von Account b in Lose klammid 10361 zu tauschen wird ne Fehlermeldung ausgegeben.

Hoffe das ist deutlicher.

An dieses Problem hatte ich damals beim Programmieren nie gedacht (man sollte doch anfangen wie ein faker zu denken...), aber auch kein anderer Programmierer von den anderen Wechselstuben, zumindest so wie es mir scheint.

Dies wird aufjedenfll schon mal dem Faker einen kleinen dämpfer verpassen!

P.S. und deswegen auch der Thread um vielleicht auf weitere Lösungen zu kommen, vielleicht auch verbesserungen des EF-Scriptes, vielleicht hat da ja wer eine super idee...


*edit*
Habe da mal nen PW-Test geproggt.
https://www.wechselstube.info/test2.php

Bin aber noch am testen, vielleicht testet ihr es mal und gebt nen feedback ob ihr beim testen der selben meinung wie das script seid
 
Zuletzt bearbeitet:
hallo
ich hatte noch die idee
da man zu jeder Klammid den Provider speichert
via gethostbyaddr und dort dan die letzen zeichen oder so

Gruß
 
Hi, nee nicht cracklib.

Hatte ein $ vergessen, als ich was geändert habe, nun sollte es so gehen wie ich wollte, und nun wird dein PW als sicher eingestuft!

@muh_kuh
und dann? was damit?
 
Naja... kein Zeichen oder ein einzelnes Zeichen sind sicherer als ein Eintrag aus dem Wörterbuch :-/

ich hatte noch die idee
da man zu jeder Klammid den Provider speichert
via gethostbyaddr und dort dan die letzen zeichen oder so
Zum Vergrößern anklicken....

Und was ist wenn man von wo anders was machen will? Wie Arbeit, Schule, Unterwegs, Freund, Eltern, Handy?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben