Dafür! Wenn man schon einen Nicknamen bei OTR nicht wählen kann, wenn es ihn schon gibt, dann sollte man sich auch (optional) damit einloggen können!

Wenn man schon einen Nicknamen bei OTR nicht wählen kann, wenn es ihn schon gibt, dann sollte man sich auch (optional) damit einloggen können!Das nenn ich doch mal eine wundervolle Idee! Sich mit dem Nickname einloggen zu können öffnet wirklich alle Tore zum Missbrauch. Sehr gut überlegt! Respekt!

Dafür! Wenn man schon einen Nicknamen bei OTR nicht wählen kann, wenn es ihn schon gibt, dann sollte man sich auch (optional) damit einloggen können!

Nein, nicht optional - nur mit dem Nicknamen.

Also nicht Nickname, emailadresse und UserID gleichzeitig bzw. paralell einlogbar.

Sonst wäre der Vorschlag für die Katz.

Gruß Micha

Nein, nicht optional - nur mit dem Nicknamen.


Mit etwas einloggen, dass jeder User preisgibt, wenn er in der SB von OTR aktiv ist?:confused:

Moin

Ich bin auch für den Vorschlag von Cibermichl.
Man könnte in dem Zusammenhang dann auch gleich die Klartextspeicherung der Passwörter aufgeben. Und damit aufhören diese per Mail zu versenden.

bye

Raus im Prinzip hast du schon Recht, aber der Nick weicht im Normalfall von der Emailadresse ab, somit hast du immer nur 1 von 2 Informationen, du zum Login benötigst.

Mit etwas einloggen, dass jeder User preisgibt, wenn er in der SB von OTR aktiv ist?:confused:
Dann muss noch zwischen Anzeigenamen und Benutzernamen, der dann nicht angezeigt wird, unterschieden werden.

Hier geht es primär um Abschaffung der Emailadresse als Loginnamen.

Loginname: für andere User nicht sichtbar
Anzeigename: Für andere User sichtbar
Emailadresse: kein Login, deshalb auf Wunsch sichtbar
UserID: kein Login, aber trotzdem für Allgemeinheit nicht sichtbar.

Passwortübersendung: ohne weitere Angabe (Emailadresse zwangsläufig, liegt in der Natur der Sache) nur das Passwort (in Klartext, geht nicht anders) ohne Loginname.

LG Micha


Moin

Ich bin auch für den Vorschlag von Cibermichl.
Man könnte in dem Zusammenhang dann auch gleich die Klartextspeicherung der Passwörter aufgeben. Und damit aufhören diese per Mail zu versenden.

bye

Klartextspeicherung ist ein weiterer Sicherheitsmangel und ein sehr wichtiges Thema. Vielleicht möchte jemand dazu einen neuen Vorschlagsthread eröffnen?

LG Micha

Achja, beinahe hätte ich meine obligatorische Frage vergessen:
Ist es überhaupt offiziell, dass die Passwörter in Klartext, unverschlüsselt abgespeichert werden? Hat da jemand nachgeguckt?

Würde mich interessieren, bevor ich ein Thread aufmache.

...
Achja, beinahe hätte ich meine obligatorische Frage vergessen:
Ist es überhaupt offiziell, dass die Passwörter in Klartext, unverschlüsselt abgespeichert werden? Hat da jemand nachgeguckt?

Würde mich interessieren, bevor ich ein Thread aufmache.

Dazu gibt es schon einen Thread: http://www.otrforum.com/showthread.php?t=51785

Bei Bedarf kann der wieder geöffnet werden. Daher bitte keinen neuen Thread zu dem Thema starten! :)

Natürlich kann jeder den Link abfangen und das pw ändern,,allerdings kommst du dann nicht mehr ran. Bei der aktuellen Methode kommt der andere ran und du merkst es nichtmal ;)


Richtig, deswegen wird beim Passwortreset eine Zwangsänderung durchgeführt. Das kommt jetzt mit auf die Konzeptionsliste für die OTR-Entwickler ;)



Besser ist natürlich der hier gemachte Vorschlag, dass der Login ebenfalls geheim ist. Problematisch sehe ich nur, dass der Login eindeutig sein muss.
Evtl. Userid+vom User festzulegende Alphanumerische Folge? Das dürfte noch umsetzbar sein, oder?
Der Loginname kann im DB-System unique gesetzt werden. Dann muss der User sich ein anderes aussuchen. Bei Ebay bspw. wird es auch so gemacht. Da der Loginname sowieso nicht öffentlich ist, kann er aussehen, wie er will. Problematisch sehe eher beim Anzeigenamen, der sollte dann auch unique und vorallem schön sein ;).

Username+UserID ist ohne weiteres möglich - der Schlüssel dürfte eindeutig sein. Man könnte es auch in Verbindung mit Zeitstempel realisieren... aber das sind Kleinigkeiten. Man muss sich auch immer wieder fragen, was der User sich noch alles merken muss ;)

Gruß Micha

Und wir sollten hier nicht aus den Augen verlieren, dass OTR keine Bankenunternehmen ist ;)

Und wir sollten hier nicht aus den Augen verlieren, dass OTR keine Bankenunternehmen ist ;)
Aber bankenähnlich ;)

Es gibt User, die 3stellige Eurosummen auf GWP-Konten haben.

Gruß Micha

Aber bankenähnlich ;)

Ist das nicht eine etwas übertriebene Sicht der Dinge? Hier werden zwar GWP-Konten geführt, die z.T. auch auch Einzahlungen stammen, aber bankenähnlich? Wo gibt es hier Kredite (mal von negativen GWP abgesehen), Zinsen, Finanzierungen, Finanzgeschäfte, Überweisungen von einem (GWP-) Konto auf das andere) oder an andere Firmen/Anbieter und was Banken noch so alles ausmacht... ? :rolleyes:

Unabhängig ob du nun Hunderttausende Euro im Haus hast oder nicht, schließt du doch deine Haustür ab, oder? ;)

Da wil ich die ersten verwirrt kuckende Nutzer sehen wenn auf ihrer Übersicht steht: - 8,67 GWP (Bankgebühren / Kontogebühren) :D

@drwho, Cybermichl und Raus: Ich meinte natürlich, dass man sich mit dem OTR-Nicknamen und seinem persönlichen Passwort einloggen können sollte. Das Letztere halte ich für so selbstverständlich, dass ich es nicht nochmal erwähnt habe.

Moin worfroz

Ja, Du hast Recht. Da draussen gibt es jede Menge anderer Firmen, die das mit der Sicherheit auch nicht verstanden haben. Aber das ist keine Rechtfertigung dafür, daß das Thema Sicherheit, bei OTR erst ganz weit hinten kommt.
Es ging in diesem Thread auch nicht darum festzustellen, das OTR böse ist, sondern darum kontruktive Verbesserungen vorzuschlagen.

Mir ist klar, das OTR nicht wirklich an mehr Sicherheit gelegen ist. Für OTR besteht ja auch keine Veranlassung, etwas zu verbessern. Das Missbrauchsrisiko trägt ja sowieso der User.

Nachtrag:
Man kann sicher drüber streiten, ob das Topic dieses Threads so viel zusätzliche Sicherheit bringt.
Aber die Art und Weise, wie auf diesen und andere Vorschläge zum Thema Sicherheit reagiert wird, missfällt mir doch sehr.

@rABIoaktiv
Du darfst dich jederzeit über dein Problem äußern. Aber du sollst es nicht so tun, als ob dir böswillig nicht geholfen worden wäre. OTR hat nun wirklich alles unternommen, was hier zu unternehmen war. Dein Account wurde NICHT gehackt. Stelle diese Behauptung bitte ein.

Ich bitte dies als einzigen Kommentar (Gegendarstellung bzw. Richtigstellung) zu diesem Thema hier zu sehen. Ich werde keinen Post mehr dazu verfassen und es wird hierüber auch keine weitere Diskussion geben.

Hallo Mira,

Eigentlich hast du ja recht, aber machst du das nicht in z.B. jedem anderen Forum auch?
mein Anliegen ist, dass das Passwort, wenn es unverschlüsselt an den Benutzer verschickt wird, nicht zusammen mit Benutzernamen versendet wird. Eine Email ist wie eine Postkarte, die abgefangen werden kann. Wenn Benutzername und Passwort zusammen gesendet wird, kann sie folglich missbraucht werden, ohne dass es jemand sofort merkt.

Die momentane Situation ist so, dass der Benutzername, also der Name, mit dem man sich bei OTR einloggt, gleichzeitig die emailadresse ist. Faktisch gleichzusetzen mit der obengenannten Situation.

Der zweite Aspekt: Wenn der Loginname als Anzeigename öffentlich ist, (wie eine zeitlang mit Userid praktiziert, oder auch wie hier im Forum), dann sind weitere Sicherheitslücken vorhanden.




Wenn ich das richtig verstanden habe speichert OTR die passwörter allerdings auch in der DB unverschlüsselt, bei den gängigen Foren (vBulletin, wbb,...) wird das Passwort wenn überhaupt nur bei der Registrierung sichtbar per eMail verschickt und nich unverschlüsselt in der Datenbank gespeichert.

Die unverschlüsselte Speicherung ist hier nicht das Thema, auch wenn sie eine weitere Sicherheitslücke ist.

Der allgemeine und einfachste Vorgang zur Neuanmeldung (Neuregistrierung) ist wie folgt:


Eingabe von Loginname, Emailadresse und Passwort (evtl. andere Daten)
Prüfen, ob Loginname, Emailadresse schon vorhanden, andernfalls anderes aussuchen
Falls alles ok, Senden eines Aktivierungslinks an die angegebene Emailadresse
wenn Aktivierungslink zurückgesendet wird, ist Account activ und kann mit Loginname und selbsterstellten Pass genutzt werden.
Die Daten mit dem Passwort werden in einer DB abgespeichert. Passwort wird in der Regel verschlüsselt abgespeichert, so dass nicht einmal ein Admin das Pass normalerweise auslesen kann.


Das ist der allgemeine, übliche Lauf.

Wie der Vorgang hier ist, weiss ich nicht mehr, da meine Neuregistrierung schon ziemlich lange her ist. :) Ich hab nur ganz dunkel in Erinnerung, dass ich meine Emailadresse verifizieren musste!?

LG Micha