Bitcoin Forum
September 21, 2019, 05:47:36 AM *
News: Latest Bitcoin Core release: 0.18.1 [Torrent]
 
   Home   Help Search Login Register More  
Pages: [1]
  Print  
Author Topic: Sicherheitslücke bei Passwort / E-Mail ändern  (Read 188 times)
chenille
Full Member
***
Offline Offline

Activity: 252
Merit: 156

chenille!


View Profile WWW
November 09, 2018, 07:51:36 PM
Merited by qwk (5), o_solo_miner (1), mole0815 (1)
 #1

Täglich gibt es viele Meldungen, dass Mitgliedern der Bitcointalk-Account gehackt wird, was natürlich sehr ärgerlich ist. Dabei wären nahezu alle Hacks vermeidbar, wenn man die Funktionen zum Passwort ändern / E-Mailadresse tauschen anders handhaben würde.

Das generelle Design nach aktuellem Stand ist für Nutzer sehr nachteilig, denn dem Hacker langt schon der alleinige Zugriff auf das Bitcointalk-Konto, um es zu übernehmen. Wenn man momentan sein Passwort ändert oder die E-Mailadresse tauscht, bekommt man nur jeweils eine Erinnerungs-Mail, jedoch keine Mail, die man bestätigen muss:

Passwort zurücksetzen:

Quote
Dear chenille,

Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address xxxx. If you did not do this, then you should use the forgotten password feature to change your password.

Regards,
The Bitcoin Forum Team.

Würde diese Aktion durch einen Hacker ausgelöst werden, hätte man keine Möglichkeit mehr, in den Account zu kommen. Die angepriesene Passwort-vergessen-Funktion ist ebenso hinfällig, da der Hacker nicht dumm sein wird und die E-Mailadresse zusätzlich umgehend ändern wird - auch dazu ist keine Bestätigung von der zuvor genutzten Adresse erforderlich: 

Quote
Dear chenille,

Your Bitcoin Forum (bitcointalk.org) email address was just changed from xxx@xxx to xxx@xxx by IP address xxxx. If you did not do this, then you can visit the following link within 14 days in order to lock the account:

h ttps://bitcointalk.org/index.php?action=seclock;u=xxx

Note that you will NOT be asked for your password at that URL.

Regards,
The Bitcoin Forum Team


Wenn man dem Link folgt, hat man lediglich noch die Möglichkeit, seinen Account zu sperren:

Quote
Your account will be locked. Nobody will be able to log in and access any of the account's functions. Administrative action will be required to unlock it. You should contact an admin after this (see the sticky in Meta). Be warned that although it will be easier to recover an account after this locking tool is used than if you do nothing and your account is compromised, our account-recovery throughput is very limited, and it could be a long time before you get your account back.


Erfahrungsgemäß werden Probleme mit gehackten Accounts aufgrund ihrer hohen Anzahl wenn überhaupt nur sehr schleppend bearbeitet und zudem beschert es den Admins viel zusätzliche (unnötige) Arbeit, die jedoch vermeidbar wäre.


Dabei wäre solch ein Hack, selbst wenn jemand Zugriff auf das Bitcointalk-Konto hat, an zwei Stellen noch abwendbar:

1. Wenn man zu jeder Änderung des Passworts eine Bestätigungs-E-Mail mit Aktivierungslink gesendet bekommen würde, ohne dessen Aktivierung die Änderung des Passworts wirkungslos bleiben würde, wäre ein Verlust des Kontos vermeidbar. Der Häcker hätte dadurch keine Chance, den rechtmäßigen Benutzer aus dem Konto zu sperren, das Passwort bliebe das selbe. Man könnte nur mit Besitz der E-Mailadresse das Passwort ändern.

2. Selbst wenn es diese Funktion nicht gäbe, könnte man die Accountübernahme immer noch abwenden, indem man die Sicherheit einbauen würde, auch bei einer Änderung der E-Mailadresse einen Bestätigungslink an die bisher genutzte Mailadresse zu senden.
Denn so könnte man über die Passwort-Rücksetzen-Funktion ein neues Passwort and die hinterlegte E-Mailadresse senden lassen - welche der Hacker nicht ändern konnte.

Es wäre also sehr einfach, die vielen gehackten Accounts zu vermeiden. Eigentlich sind das Sicherheitsstandards, die normal vorhanden sein sollten, vor allem wenn man bedenkt, dass Accounts meist aus Profitgier gehackt und anschließend verkauft werden.
Oder gibt es dort eine Einstellung, die ich übersehen habe?

~chenille~
"Your bitcoin is secured in a way that is physically impossible for others to access, no matter for what reason, no matter how good the excuse, no matter a majority of miners, no matter what." -- Greg Maxwell
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction. Advertise here.
mole0815
Hero Member
*****
Offline Offline

Activity: 658
Merit: 695



View Profile
November 09, 2018, 08:56:10 PM
 #2

Ja der Ablauf ist leider nicht perfekt und wird wohl auch nicht geändert.
Ich wage es garnicht Passwort oder Mailadresse hier irgendwann zu ändern... möchte mich nicht unabsichtlich aussperren Cheesy

Aber für den Fall der Fälle kann dieser Thread garnicht oft genug erwähnt werden!!
Leute tragt euch ein Wink

https://bitcointalk.org/index.php?topic=920631.0

                  ▄▄▄████████▄
              ▄▄██████████████
    ▄▄▄▄▄▄▄▄▄█████▀    ▀██████
▄▄███████████████        ████
 ▀▀████
███████████▄    ▄████
     ██████████████████████
     ▀███████████████████▀
    ▄██████████████████▀
   ▄████████████████
  ▄██████████████████
  ███████▀▀ ▀▀▀█████▀
               ████▀
               ██▀
.ROCKETPOT..           █████████
          ███
         ███
        ███
       ███
      ███
████████
      ███
       ███
        ███
         ███
          ███
           █████████
▄▄█████████▄▄
▄█████████████████▄
▄████████  █  ████████▄
▄██████         ▀███████▄
▄█████████  ████▄  ███████▄
██████████  █████  ████████
██████████          ███████
██████████  ██████  ███████
▀█████████  █████▀  ██████▀
▀██████          ▄██████▀
▀████████  █  ████████▀
▀█████████████████▀
▀▀█████████▀▀
||
█████████           
███         
███         
███       
███       
███     
████████
███     
███       
███       
███         
███         
█████████           
...PLAY NOW...
chenille
Full Member
***
Offline Offline

Activity: 252
Merit: 156

chenille!


View Profile WWW
November 09, 2018, 10:22:25 PM
 #3

Ich wage es garnicht Passwort oder Mailadresse hier irgendwann zu ändern... möchte mich nicht unabsichtlich aussperren Cheesy
Naja aussperren ist schon echt schwer, da müsste man gleichzeitig eine falsche Mailadresse und ein falsches Passwort neu festlegen. Und die Mailadresse, die man falsch einträgt, müsste zudem bereits belegt sein.

Aber für den Fall der Fälle kann dieser Thread garnicht oft genug erwähnt werden!!
Leute tragt euch ein Wink

https://bitcointalk.org/index.php?topic=920631.0
Guter Tipp! 

~chenille~
mole0815
Hero Member
*****
Offline Offline

Activity: 658
Merit: 695



View Profile
November 09, 2018, 10:44:43 PM
 #4

Bilde mir ein im Meta Bereich etwas über Probleme mit der Sicherheitsfrage gelesen zu haben... also das man es schaffen kann den Account (zumindest temporär) zu sperren wenn man irgendwas falsch macht Cheesy

Weiß es jetzt nicht 100%ig aber kann ich gerne bei Gelegenheit nochmal raussuchen Smiley

                  ▄▄▄████████▄
              ▄▄██████████████
    ▄▄▄▄▄▄▄▄▄█████▀    ▀██████
▄▄███████████████        ████
 ▀▀████
███████████▄    ▄████
     ██████████████████████
     ▀███████████████████▀
    ▄██████████████████▀
   ▄████████████████
  ▄██████████████████
  ███████▀▀ ▀▀▀█████▀
               ████▀
               ██▀
.ROCKETPOT..           █████████
          ███
         ███
        ███
       ███
      ███
████████
      ███
       ███
        ███
         ███
          ███
           █████████
▄▄█████████▄▄
▄█████████████████▄
▄████████  █  ████████▄
▄██████         ▀███████▄
▄█████████  ████▄  ███████▄
██████████  █████  ████████
██████████          ███████
██████████  ██████  ███████
▀█████████  █████▀  ██████▀
▀██████          ▄██████▀
▀████████  █  ████████▀
▀█████████████████▀
▀▀█████████▀▀
||
█████████           
███         
███         
███       
███       
███     
████████
███     
███       
███       
███         
███         
█████████           
...PLAY NOW...
chenille
Full Member
***
Offline Offline

Activity: 252
Merit: 156

chenille!


View Profile WWW
November 09, 2018, 11:49:03 PM
 #5

Bilde mir ein im Meta Bereich etwas über Probleme mit der Sicherheitsfrage gelesen zu haben... also das man es schaffen kann den Account (zumindest temporär) zu sperren wenn man irgendwas falsch macht Cheesy
Vielleicht, wenn man die Antwort x mal falsch eingibt.

Aber ich denke sowieso, dass es das Beste ist, keine Sicherheitsfrage zu hinterlegen und damit die Möglichkeiten für Hacker so gering wie möglich zu halten, denn eine Sicherheitsfrage wäre eine zusätzliche Angriffsmöglichkeit.
In manchen Fällen kann sie einem bestimmt helfen, wie wenn man sich ausgesperrt hat, aber aus obigen Gründen würde ich lieber ganz auf die Sicherheitsfrage verzichten.

~chenille~
chenille
Full Member
***
Offline Offline

Activity: 252
Merit: 156

chenille!


View Profile WWW
November 10, 2018, 10:42:55 PM
 #6

Ja der Ablauf ist leider nicht perfekt und wird wohl auch nicht geändert.
Weiß man, warum es nicht geändert wird? Ich meine, die entstehende Sicherheitslücke und die Mehrarbeit für Moderatoren ist leicht vermeidbar und eigentlich auf anderen Seiten vielfach Standard. Die Problematik mit den gehackten Accounts wäre dann mit einem Schlag deutlich entspannter.

~chenille~
hodlcoins
Legendary
*
Offline Offline

Activity: 1043
Merit: 1038


View Profile
November 12, 2018, 08:35:25 AM
 #7

Warum das nicht geändert wird?
Schau mal ganz unten auf die Seite.
"Damals" gabs noch keine Hacker.

Das Forum aktualisieren kostet Arbeit. Wenn man schon keinen Bock hat zu moderieren oder gehackte Accounts wieder freizulegen, was meinst du wieviel Lust vorhanden ist den ganzen Scheiß auf einen neuen Stand zu heben?

Alles wird gut, die Frage ist nicht ob, nur wann!
Chefin
Legendary
*
Offline Offline

Activity: 1832
Merit: 1072


View Profile
November 13, 2018, 06:44:41 AM
 #8

Des weiteren herrscht die tendenz das eine Wegwerfadresse oder eine sonst nicht genutzte Adresse benutzt wird. Eine gewisse Paranoia, gepaart mit schlechtem Gewissen, wegen nicht deklarierter Steuer, etc. Man möchte nicht seine Anonymität gefährden.

Aber am ende wird das was man auf der einen Seite spart auf der anderen Seite an Mehrarbeit anfallen, wenn solche Leute dann ihr Passwort vergessen. Und genau diese Menschen gehören dann auch zur Fraktion, die Passwörter nicht aufschreibt. Viel zu gefährlich. Als würde ein Einbrecher alle Zettelchen im Haus mitnehmen um sie zu verhöckern. Und nein, um sie selbst nutzen zu können, müsste der Einbrecher ziemlich IT-Affin sein, würde dann sein Geld sicher nicht mit Einbruch verdienen. Oder umgedreht, der Hacker ist nicht begabt genug, einzubrechen, ausser er benutzt die brachiale Methode mit alles Kurz und Klein schlagen
chenille
Full Member
***
Offline Offline

Activity: 252
Merit: 156

chenille!


View Profile WWW
December 10, 2018, 06:49:36 PM
 #9

Warum das nicht geändert wird?
Schau mal ganz unten auf die Seite.
"Damals" gabs noch keine Hacker.

Das Forum aktualisieren kostet Arbeit. Wenn man schon keinen Bock hat zu moderieren oder gehackte Accounts wieder freizulegen, was meinst du wieviel Lust vorhanden ist den ganzen Scheiß auf einen neuen Stand zu heben?
Würde man es nun einführen, hätte man aber danach weniger Arbeit, gehackte Accounts wiederherzustellen.  Smiley
1 mal Arbeit vs. x mal Arbeit.

...

Aber am ende wird das was man auf der einen Seite spart auf der anderen Seite an Mehrarbeit anfallen, wenn solche Leute dann ihr Passwort vergessen. Und genau diese Menschen gehören dann auch zur Fraktion, die Passwörter nicht aufschreibt. Viel zu gefährlich. ...
Die spült es sowieso bald wieder aus dem Krypto-Markt, wenn sie genauso mit den private keys umgehen. Bzw. ist das eher die Fraktion, die ihr gesamtes Guthaben auf Börsen hält, von diesen auch in ICO investiert und sich am Ende wundert, dass sie was falsch gemacht hat.

~chenille~
Pages: [1]
  Print  
 
Jump to:  

Sponsored by , a Bitcoin-accepting VPN.
Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!