Page 4 of 5

Re: Sicherheit

Posted: Thu Dec 09, 2004 11:27 am
by jenar
Alles nett was meine Vorschreiber(Vorredner) da schreiben. Sie scheinen auch viel Ahnung zu haben. Was mich aber in diesem Medialen Zeitalter ein wenig ankotzt, das die Leute immernoch nicht zwischen Hacker und Cracker unterscheiden können. Diese missbräuchliche Benutzung einer völlig falschen Definition die irgendwelche Leute vorgeben , stinkt zum Himmel *lächel*.
Ich möchte hier die Definition nicht auseinanderfetzen, dazu gibt es genügend seriöse Dokumente...

Die Paranoia die hier einige haben ist auch nicht von schlechten Eltern :) .

Wer fragen zu meinem Text hat, kann mich gerne per PM ausquetschen.

cu
Jenar aka Screener aka Julinar ...

Re: Sicherheit

Posted: Thu Dec 09, 2004 11:32 am
by elioth
trieper wrote:"würdest du das versenden von accounts inkl. passwort kompetent nennen???"
Ich würde es als üblich bezeichnen da ich z.B. bei einer Anmeldung in einem Forum ebenfall meine Logindaten zusammen in einer Mail erhalte.
Da bist Du - zum Glück - im Irrtum. "Üblich" ist lediglich der Versand von veränderbaren Passworten zusammen mit Accountnamen. Auch dies ist immer noch nicht eine optimale Lösung, aber akzeptabel. "Üblich" ist überdies vollkommen indiskutabel, da auch jahrzehntelang "üblich" war, ohne Gurt oder Helm über Deutschlands Strassen zu rasen. "Üblich" war es auch einst, Dieben die Hand abzuschlagen oder Hexen zu verbrennen.
Das Hauptproblem liegt wahrscheinlich wirklich darin das dieses PW nicht geändert werden kann.
Wie ich bereits beschrieb, gingen beide Ansätze. Aber ja, Du hast richtig erkannt - das Hauptproblem liegt darin, daß <<ein nichtveränderbares Passwort unsicher versandt wird>>.

Re: Sicherheit

Posted: Thu Dec 09, 2004 11:33 am
by chrisw
trieper wrote:Das Hauptproblem liegt wahrscheinlich wirklich darin das dieses PW nicht geändert werden kann.
Ja. Und darin, dass jemand, sollte er durch diese E-Mail an Login und Passwort kommen, auf deiner Accountseite deine E-Mail-Adresse ändern kann und sich an diese neue E-Mail-Adresse ein neues Passwort schicken lassen kann. Ändert er dann noch dein Ingame-Passwort, bist du aus deinem Ryzom-Account komplett ausgesperrt.

Wenn man auf seiner Account-Seite ein neues Passwort anfordert, werden in der Bestätigungsmail übrigens nicht mehr Login und Passwort zusammen versandt. Ist also vielleicht ganz empfehlenswert, das mal zu machen.

Re: Sicherheit

Posted: Thu Dec 09, 2004 11:47 am
by anasazi
@jenar: wenn du mich meinst, denn ich habe das wort hacker verwendet, dann kann ich dich beruhigen. (PM spare ich mir, denn mir scheint, wir stehen auf der selben seite). du hast aber recht, als eigentlicher verfechter dieses unterschiedes hätte ich mich nicht dem allgemeinem sprachgebrauch, durch medien verzerrt, anpassen sollen. danke das du mich darauf aufmerksam gemacht hast. es ist beim schreiben einfach untergegangen.

ich kenne den unterschied, deshalb der zusatz "malicious". es müßten einfach vieeeel mehr leute "2600" lesen :D

Re: Sicherheit

Posted: Thu Dec 09, 2004 12:13 pm
by silenced
versteh nicht was ihr habt ... wenn ihr irgendwo euer passwort vergesst (forum, spiel, account und sonstwas, dann lasst ihr euch das doch auch per e.mail zusenden, richtig? na, merkt ihr was ?


ôô

Re: Sicherheit

Posted: Thu Dec 09, 2004 12:19 pm
by skaw123
silenced wrote:versteh nicht was ihr habt ... wenn ihr irgendwo euer passwort vergesst (forum, spiel, account und sonstwas, dann lasst ihr euch das doch auch per e.mail zusenden, richtig? na, merkt ihr was ?


ôô
Aber jeder normaldenkende Mensch ändern dann dieses maschinengeschreibsel in ein sicheres/minder sicheres Passwort, aber es ist veränderbar !

Genau dieser Punkt ist das Hauptproblem bei dieser ganzen Geschichte. Sollen sie halt eine Algorithmus in die Page einbauen der die Sicherheitsmerkmale abprüft. Dann wär das Problem eigentlich schon fast gelöst...

/edit: Hab gerade die Mail aus den Spamfilter gefischt.... Eigentlich kamen die Ryzommails immer in Empfängerordner an und net da... ;-)

Re: Sicherheit

Posted: Thu Dec 09, 2004 12:19 pm
by anasazi
aber das kann ich dann sofort ändern, und es kommt keiner an personenbezogene daten ran

mein standpunkt

Re: Sicherheit

Posted: Thu Dec 09, 2004 12:49 pm
by ishan12
@ silenced

dann wird das Passwort aber OHNE Accountnamen Geschickt udn zum anderen Handelt es sich dan nicht um ein Passwort mit den man die Persönlichen Daten einsehen kann.
-----------------------------------------------------------
Zum anderen kann man das Passwort NICHT verändern.
Man kann lediglich das Spiel Passwort verändern OHNE das alte Passwort zu kennen. Aber NICHT das Profil Passwort was weit aus wichtiger ist.

Also hier die forderung.
1. Profil Passwort muss veränderbar sein
2. Spielpasswort nur veränderbar wenn man das Alte Passwort kennt
3. Accountname nie zusammen mit dem Passwort in eine Email Schreiben, vor allem da dan auch noch so schön bequem steht wo man damit hin muss.
4. Für mich Persönlich ist es schon Ungenügend das der Accountname = Forenname ist. Vor allem da nirgendwo gewarnt wird das der Accountname öffentlich sichtbar ist. Andere Anbieter zeigen zu genüge wie es geht, zb auswahl eines Bestehenden eigenen Chars als name. Wodurch nicht nur die sicherheit erhöht wird sondern man die Post auch jemand besser zuordnen kann.

Re: Sicherheit

Posted: Thu Dec 09, 2004 1:00 pm
by anasazi
@ishan12: gute punkte!

das hatten wir auch schon während der OB vorgeschlagen, aber umgesetzt wurde es leider nicht. vielleicht kann da jemand von den GMs nochmal bei Nevrax anklopfen? und bitte teilt ihnen auch mit, dass account-name und passwort in einem mail eine ungünstige kombination ist (auch wenn hier die meinungen doch sehr unterschiedlich sind). man kann es script kiddies wenigstens ein bischen schwerer machen. und bitte, nur weil andere die selben fehler machen muß man sie noch lange nicht nachmachen.

Re: Sicherheit

Posted: Thu Dec 09, 2004 1:12 pm
by intel
Also wen ich das jetzt richtig verstanden habe kann sich jeder, der wie auch immer an diese E-Mail gekommen ist sich auf meiner Accountseite einloggen. Dort ändert er dann die dort angegebene E-Mail Adresse in seine eigene um und fordert noch ein neues Accoutpasswort an. Dies wird dann an die geänderte E-Mail gesendet. Damit komme ich schon mal nicht mehr auf meine Account Seite. Dann lässt er sich ein neues Passwort für den Zugang zum Spiel an seine E-Mail senden, den Loginname hat er ja schon. Damit komm ich dann nicht mehr ins Spiel. Zu guter letzt löscht er meinen Char und das wars ??