Jump to content

Anzeige misslungener LogIn-Versuche

Empfohlener Beitrag

Geschrieben

Aus gegebenem Anlass:

Es kommt immer wieder mal zu Versuchen, dass Fremde sich in einen Account einloggen wollen. Und leider gibt es immer wieder Teilnehmer, die sehr triviale Passwörter verwenden.

Zu deren Schutz und Warnung schlage ich vor, dass missglückte LogIn-Versuche zumindest protokolliert und angezeigt werden:

Seit Deinem letzten erfolgreichen Login am [Datum, Uhrzeit] gab es einige erfolglose Versuche sich einzuloggen:



Und dahinter eine Liste mit Datum und Uhrzeit dieser Versuche.

Dann kann jeder selber beurteilen, ob sein Account angegriffen wird, oder sogar schon geknackt ist. Fälle, in denen der Ehemann den Account der Ehefrau (mit Passwort = Name des Hundes) geknackt hat, sind bereits überliefert.


Geschrieben

... der Vorschlag ist sinnig Möge ihm eine Beachtung geschenkt werden ###################################


Geschrieben

joh,von elfenseite auch ein eindeutiges "JA"!...lächel..


GenussOhneReue
Geschrieben

ich finde das auch ne gute idee....
das gibt es ja sogar schon bei einigen email accounts....
obwohl, bei mir ist es eh egal, mein mann weiß ja alles

aber bei einigen andern is das bestimmt sinnvoll


the_musician
Geschrieben

die idee ist echt gut. Bei den VZs haben sie das ja auch schon eingeführt


toto969
Geschrieben

Der Vorschlag ist absolut zu unterstützen!

Nur, was hilft es wenn ich weiß, am xx.xx.xx um xx.xx hat es einen nicht erfolgreichen Login-Versuch gegeben.

Da muß die Technik von Poppen.de schon die Einwahldaten speichern und auf Wunsch des regulären Users bzw. einer eingeschalteten Strafverfolgungsbehörde, hier herausgeben können.
Ich weiß nicht, was poppen.de an Daten über Login, Fehlerhaftes Login, und Useraktivität protokolliert, und ob die gesammtelten Daten gerichtsfest behandelt sind/werden.

Dazu sollten sich die Betreiber mal äußern.


Aber mal ganz allgemein, was für alle Systeme absolute Gültigkeit hat, und dennoch keine abschließende Sicherheit bereitet:

1) Kennwörter nie in welcher Form auch immer schriftlich dokumentieren
2) Niemals Kennwörter verwenden, die leicht zu erraten sind, wie Koselnamen des Partners,
Kind, Hund u.s.w.
Kennwörter sollten bestehen aus:
Möglichst zufälligen Kombinationen von Ziffern (Klein u. Großbuchstaben!), Zahlen und den
über die auf der Tastatur verfügbaren Sonderzeichen ( wie:!"§$%&%;+*#'&lt&gt|).
Systemseitige Verbotsliste für bestimmte Kennwörter, wie Schatz (o. andere bekannte
Koselnamen), Vornamen, übliche Nachnamen etc.
3) Kennwörter regelmäßig wechseln (sicherheitsrelevante Systeme sollen Standzeiten der
Kennwörter von nicht mehr als 4 Wochen zulassen.
4) Zufällige (gelegentlich, wenn Anlaß gegeben) Serverabfragen für Kennwortwechsel
Altes Kennwort gegen neues Kennwort ersetzen, mit zusätzlicher Abfrage eines
separat festgelegten Sicherheitscodes.
5) Login nur zusammen mit eingelegter Sicherheitskarte (bei uns Mitarbeiter-, Schwestern-
oder Arztkarte mit Chipkarte).
OK, ist hier nicht wirklich umsetzbar!
6) Vernünftiger Einweisung in die Verwendung der Zugangsdaten mit Schulung und Auf-
klärung über die Gefahr des Missbrauches (Kurzhandbuch)
7) Sollte ein wie auch immer gearteter Veracht entstehen, sofort den Profilinhaber
verständigen, zwecks Prüfung o. Änderung der Zugangsdaten;
Evtl. Profil vorübergehend Sperren bis reg. Inhaber sich legitimiert hat.
8) Sollte dann trotzdem noch ein User durchkommen, dem Profilinhaber ein
Aktivitätsprotokoll zur Verfügung stellen. Zwecks Kontrolle, was passiert ist.
Bei einem Verhalten, was strafrechtlich relevant ist autom. Behörden benachrichtigen.

Das klingt jetzt extrem, aber wer möchte schon, dass mit seiner Identität hier Schindluder getrieben werden kann.

ICH NICHT. WARUM? ICH BIN REAL, SUCHE EHRLICH, UND KANN ES AUF DEN TOT NICHT LEIDEN, WENN JEMAND VERSUCHT AUF MEINE KOSTEN UNSINN ANZUSTELLEN, DEN ICH AUSBADEN SOLL.

Alle echten User hier sollten in der gleichen oder ähnlichen Weise denken. Denn nur so lassen sich die Fakes hier verhindern!!!

Das ist jetzt evtl. etwas off topic, aber neben gelegentlich auftretenden Schwierigkeiten, war das mal drngend nötig.

Es passt denn noch zum Thema, denn durch viele, die nicht real sind wird das System unnötig belastet,und die Folgen haben dann alle zu spüren.
Und wer nachdenkt, wird den Zusammenhang zwischen dem Einen und dem Anderen relativ schnell begreifen.


Geschrieben

Nur, was hilft es wenn ich weiß, am xx.xx.xx um xx.xx hat es einen nicht erfolgreichen Login-Versuch gegeben.

Man wird zum Nachdenken angehalten.

Nicht mehr. Aber auch nicht weniger.

Als weitere Stufe wäre noch eine Option denkbar, mit der ein Teilnehmer eine Wiederholungssperre einschaltet, damit "Brute Force" (andauerndes Ausprobieren) erfolglos bleibt. Z.B. eine 15-Minuten Login-Sperre nach dem dritten erfolglosen Versuch.

Was aber das Risiko einer DOS-Attacke eröffnet: Jeder könnte einen Account unbenutzbar machen, indem er dauernd LogIn-Versuche startet. Der rechtmäßige Inhaber könnte sich nicht mehr einloggen, wenn ein Störer den Server permanent mit LogIn-Versuchen "beschießt".

Solche Maßnahmen kann der Betreiber schlecht verordnen, sondern der Teilnehmer muss abwägen. Es gibt leider keinen "narrensicheren" Weg, der den Teilnehmern eigenes Denken und Urteilen erspart.


Geschrieben (bearbeitet)

Wir wären schon glücklich, wenn die Seite einfach nur ein wenig stabiler laufen würde

Vorlaute Thread-Fledderer sollten lieber den Ausschaltknopf betätigen.


bearbeitet von SommerBrise
Ballou1957
Geschrieben

Das hier ist ja auch der Diskussionsthread zum Poppen-Kommentar auf der Startseite!

Alles klar!

Ich halte es auch für durchaus interessant, zu erfahren, ob es Versuche gegeben hat, den Account zu knacken. Ich unterstütze daher den Vorschlag - und jawohl: ich hab etwas zu verbergen. Mein Mailverkehr geht aussenstehende tatsächlich nichts an!


Ballou1957
Geschrieben (bearbeitet)

mmwBln: Zu unserem Kommentar lies einfach die Stellungnahme von Poppen auf der Eingangsseite.

Selektive Wahrnehmung und Realitätsverweigerung waren noch nie der Motor des Fortschritts.


Pampigkeit ersetzt nicht Gedächtnis!

Im Übrigen spricht es nicht für besondere Diskussionsfähigkeit, wenn man stets gleich persönlich werden muss!


bearbeitet von Ballou1957
Nachtrag!
Geschrieben (bearbeitet)

Apologetentreffen?

Fürwahr, es hat Züge von pseudo-religiösem Eiferertum...

...was Ihr hier veranstaltet.

Da ich es offensichtlich mit Geistesriesen zu tun habe, ziehe ich mich erschreckt auf meine Zitatenkiste zurück:

Die Karawane zieht weiter. Auch wenn sich jemand an ihr bescheuert.

(Frei nach Kohl)

bearbeitet von SommerBrise
Satztechnisch-typographische Feinheiten.
Geschrieben

Der andere Geistesriese sollte sich mal die Definition von Diskussion ergooglen.

Ergoogle Du Dir lieber einen Sachverständigen, der Dir den Begriff "zum Thema" erläutert.


BabetteOliver
Geschrieben

[COLOR=blue]@ mmwBln: der TE unnd andere Apologeten haben sich nur - und völlig zu Recht - dagegen verwahrt, dass Ihr seinen Verbesserungsvorschlag missbraucht habt indem Ihr eine Diskussion über die Serverprobleme anstossen wolltet. Es dabei nicht um die Frage ob Ihr in der Sache recht habt oder nicht. Das interessiert hier absolut nicht. Entscheidend ist nur, dass Ihr den Threadverlauf stört und damit einen, wie auch wir finden, sehr guten Verbesserungsvorschlag möglicherweise kaput macht.[/COLOR]

Wir unterstützen den Vorschlag von Brise.


BabetteOliver
Geschrieben

Kausal gesehen ist Eure Aussage über die Stabilität der Seite Anlass für eine längere offtopic Unterhaltung.
Das ist Missbrauch des Themas, weil es nix damit zu tun hat, aber vom Meinungsaustausch über den Vorschlag wegführt.

Warum ich fremden Zugriff auf unser Profil nur dann nicht gewähren möchte, wenn ich etwas zu verbergen habe, ist mir nicht verständlich.
Dieser Fremde kann dann mit meinem/unserem Profil machen, was er will. Z.B. mir den weiteren Zugang verweigern (besonders spassig bei kostenpflichtigen Mitgliedschaften); oder unter meinem Namen Fake spielen, Leute beleidigen etc.
Vermutlich werdet Ihr mir aber gerne Zugang zu allen Euren Accounts jenseits Eures Geldinstitutes gerne gewähren...


Geschrieben (bearbeitet)


Was aber das Risiko einer DOS-Attacke eröffnet: Jeder könnte einen Account unbenutzbar machen, indem er dauernd LogIn-Versuche startet. Der rechtmäßige Inhaber könnte sich nicht mehr einloggen, wenn ein Störer den Server permanent mit LogIn-Versuchen "beschießt".



Eben. Also was kann man tun? So abwegig ist das Ganze gar nicht. Davon mal abgesehen, dass man wie bereits von Toto erklärt gewisse Vorsichtsmaßnahmen einhalten sollte, zbsp. Passwörter ab 10 Buchstaben /Ziffern in Kombination aufwärts.

Was ist, wenn man bemerkt der Account wurde geknackt oder kommt selbst nicht mehr rein, weil Passwort fremd geändert wurde? Hacker sind nicht doof. Man muss gegenüber poppen.de dann seine "Echtheit" als rechtmäßiger Profilinhaber beweisen. Das gleiche behauptet der Hacker ebenso von sich... Solange das Profil sperren? Dann hat der gemeine Mensch bereits auch das erreicht, was er möchte. Ab wann darf/sollte das Profil gesperrt werden?

Wird dem Betreiber die IP-Adresse des Hackers angezeigt? Es gibt Anonymisierungsprogramme oder der Server steht auf einer Südseeinsel, worüber der Hacker sich einloggt. Also strafrechtliche Verfolgung ist aussichtslos.

Eine Möglichkeit seine Echtheit hier unter Beweis zustellen, wäre ein vom Passwort abweichendes Passwort, welches dem Betreiber telefonisch im Falle des gehackten Accounts mitgeteilt wird und bereits bei Anmeldung bei poppen.de festgelegt wird. Ist aber auch nur so weit sicher, wie die Passworthinterlegung nicht geknackt wird...

Das ganze kann einen hilflos machen.

PS: Übrigens ist es zutreffend, dass das hier eine Spaßseite ist aber viele Leute haben "geheime Galerien" und die sind nun mal geheim...

p.


bearbeitet von permit
c vergessen
Geschrieben (bearbeitet)

Wenn in Threads nur die Meinungen zugelassen sind, die die Äußerungen des TE bekräftigen, dann wäre es hilfreich, wenn dieser das gleich beim Eingangsposting klar stellt.

Ich werde auch künftig in meine Eingangbeiträge keinen Passus für Doofe einbauen, der von den geneigten Lesern den Verzicht auf die Einführung von Fremdthemen fordert.

...und wir nicht ständig lesen müssten, dass wir F5 drücken sollen...

F5 hat nichts mit diesem Thema zu tun. Das ist Euer Süppchen, das Ihr auf meinem Thema kochen wollt. Euer weiteres Vorgehen hier im Thread nehme ich als rüpelhaft, uneinsichtig und penetrant wahr.


bearbeitet von SommerBrise
Dreier_FFm
Geschrieben (bearbeitet)



Schauen wir nach der Kausalität: Wir vertreten die Auffassung, dass nur solche User diese Funktion benötigen, die etwas zu verbergen haben. Schließlich sind wir hier auf eine Spaßseite und nicht beim Geldinstitut.




Also Ihr seit ernsthaft der Meinung es ist OK mit eurem Account hier Kinderpornos zu verteilen?

OK dann postet doch Eure Zugangsdaten mal auf den Russischen Servern ... ach ne machst besser in Deutschland ... sonst ist das am ende gar nicht strafbar.


bearbeitet von Dreier_FFm
Dreier_FFm
Geschrieben

OK ...... Ihr scheint es ja wirklich nicht zu verstehen obwohl wir nun schon wirklich schwere Geschütze aufgefahren haben!


Also noch mal ganz ganz langsam


WENN WER EUREN ACCOUNT ILLEGAL NUTZT KANN ER DAMIT TUN WAS ER WILL

z.B. auch von EUCH nicht gewünscht/unterstützt Illegale Pornos/Ansichten/Geschäfte verteilen/tätigen für die IHR erst mal haftbar gemacht werdet.


Ist das jetzt durchgedrungen?


Ich befürchte ja eher nicht, mancher ist dann doch nur durch Erlebtes lernfähig /mancher leider nicht mal dann!


Geschrieben


WENN WER EUREN ACCOUNT ILLEGAL NUTZT KANN ER DAMIT TUN WAS ER WILL



Ist das hier schon mal vorgekommen?

Welchen Vorteil siehst Du in dem Verbesserungsvorschlag?
Wie kann dadurch verhindert werden, dass ein Account gehackt wird?
Und wie kann man vor den möglichen Folgen schützen?


Geschrieben

Ist das hier schon mal vorgekommen?

Ja.

Deshalb beginnt der Thread mit den Worten "Aus gegebenem Anlass".

In den Fällen, die mir bekannt geworden sind, tat der Angreifer "was er wollte". Natürlich. Niemand kann das verhindern, und niemand wird Dinge tun, die er gar nicht will.

Die Teilnahme an schwerst illegalen Aktivitäten gehörte aber in den Fällen, die mir bekannt geworden sind, nicht zum Willen der Eindringlinge.


Dreier_FFm
Geschrieben


Welchen Vorteil siehst Du in dem Verbesserungsvorschlag?
Wie kann dadurch verhindert werden, dass ein Account gehackt wird?




gehe zurück auf Anfang gehe nicht über Los , ziehe nicht 4000 Euro ein!

Ach ja ich musste was von Deinem Beitrag kürzen, , von wegen Zitieren


Geschrieben

Fakt ist, wie nicht anders zu erwarten war, dass es hier (wieder einmal) um die Meinungshoheit einiger Leute geht, die sich zum selbsternannten Forenkönig bestimmt haben.

Statt sich mit der Meinung von mmw auseinanderzusetzen, wird beleidigend deren Meinung ins Lächerliche gezogen. Warum?

Das Thema ist ein durchaus wichtiges Anliegen und eine präsentierbare Lösung bleibt dabei vermutlich auf der Strecke. Meine Meinung zum Thema ist weiter unten nachzulesen und es wäre evt. auch hilfreich für den Fall des gehackten Accounts eine Art "Hilfeseiten" auf der Startseite von p.de zu setzen, damit jeder weiß in der Aufregung, wie dann weiter zu verfahren ist, wenn es denn einmal zu einem Accountverlust gekommen ist.

p.


Dreier_FFm
Geschrieben

Lieber permit,
wir haben uns mit der Meinung von MM.... auseinander gesetzt und versucht diesen zu erklären das so ne funktion nicht nur der benötigt der was zu verbergen hat sonder alle betreffen kann, denn wenn Account geknackt Arschkarte gezogen.

Leider scheint das nicht ganz durch gedrungen zu sein weshalb wir zu etwas drastischen, hoffentlich doch hilfreichen, plastischen Erklärungen gegriffen haben.


Geschrieben (bearbeitet)


Leider scheint das nicht ganz durch gedrungen zu sein weshalb wir zu etwas drastischen, hoffentlich doch hilfreichen, plastischen Erklärungen gegriffen haben.




...teilweise ja! Aber das zieht sich jetzt über 2 Seiten hin und irgendwann muss auch mal wieder Schluss sein, auch für mmw. So wird das Thema für andere uninteressant.

Wie gesagt, ändern oder einführen eines solchen Hinweises, dass es Versuche sich einzuloggen gegeben hat, können am Ende eh nur die Betreiber. Aber was ist, wenn man das gar nicht mehr lesen kann, weil man selbst nicht mehr in seinen eigenen Account kommt?

p.


bearbeitet von permit
l vergessen
Geschrieben (bearbeitet)

Statt sich mit der Meinung von mmw auseinanderzusetzen, wird beleidigend deren Meinung ins Lächerliche gezogen.

Deren Meinung zur F5-Taste, oder deren Meinung Stabilität der Seite?

Oder etwa deren Spott des Inhaltes, Sicherheit sei ohnehin nur etwas für Leute, die etwas zu verbergen haben?

Zufällig haben sie damit Recht. ICH HABE etwas zu verbergen: Meine PN, meine E-Mail-Adresse, meinen Realnamen. In diesem Sinne hat auch schon Ballou sehr zutreffend inhaltlich Stellung genommen. Es gibt VIELE Teilnehmer hier, die relativ anonym bleiben wollen. Und sicher auch solche, für die ein Eindringen in den Account beruflich oder persönlich sehr weitreichende negative Folgen hätte. Mmw ist es, die sich darüber mokieren, und damit entsprechenden Gegenwind provozieren.

Ehe Du Dich über die angebliche Meinungshoheit anderer echauffierst, tu mir den Gefallen und lies! Es gibt durch die Überschrift eine Themenhoheit im Thread, und an DIE hat sich mmw genau so zu halten wie Du.

Das wird aber nicht dazu führen, dass ich die Abweichungen vom Thema kommentarlos hinnehmen werde.

Ein Ziel hat mmw erreicht: Mit ihren Troll-Beitrag ist die weitere geordnete Diskussion des Vorschlages dahin... Unter anderem auch deshalb, weil DU den Verlauf nicht kapiert hast, und letztlich auf das Störmaneuver auf deren Seite einsteigst, und hier von Meinungshoheiten und und Forenkönigen herumschwadronierst.

- - - - - - - -

Nachtrag wegen weiterem Beitrag:

...teilweise ja! Aber das zieht sich jetzt über 2 Seiten hin und irgendwann muss auch mal wieder Schluss sein

Die Rechnung geht nicht auf:

Selber abseits des Themas Stellung beziehen, aber von anderen zu fordern sie mögen DAS nicht weiter kommentieren, sondern zum Thema zurück kommen...


bearbeitet von SommerBrise
×