Accountsicherheit - Neue Maßnahmen

News zu phpBB.de und phpBB
Bitte dieses Forum immer lesen.
Antworten
Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 11954
Registriert: 19.05.2005 21:45
Kontaktdaten:
Kontaktdaten von Crizzo

Accountsicherheit - Neue Maßnahmen

Beitrag von Crizzo »

Hallo zusammen,

heute gingen einige neue Accountsicherheitsmaßnahmen und Hilfen online, die euch und euren Benutzeraccount betreffen.

Zu den Hintergründen:
Wir beobachten seit einer Weile, dass ehemals unauffällige Accounts plötzlich mit Spambeiträgen negativ auffallen. Eine der wahrscheinlichsten Ursachen ist, dass die Accounts durch Dritte übernommen wurden, weil eventuell ein Passwort verwendet wurde, was a) in einem der letzten Passwort-Leaks enthalten war oder b) so schwach war, dass es einfach für Dritte zu erraten ist, um den Account zu übernehmen. Da nicht nur wir, sondern auch bei www.phpBB.com und bei anderen Forensoftwares das gleiche Problem beobachtet wurde, haben wir uns entschlossen ein paar Maßnahmen zu ergreifen, um das Problem zu lösen oder zumindest einzudämmen. Zudem wurden rund 31.000 Karteileichen aka Accounts, die seit Ewigkeiten hier sind, keine Beiträge geschrieben haben und auch schon länger nicht mehr oder noch nie aktiv waren, gelöscht.

Die Maßnahmen sind im Einzelnen:
  1. Euer Passwort muss ggf. geändert werden, wenn ihr dies länger nicht getan habt. Die Forensoftware wird euch dann beim nächsten Besuch auffordern euer Passwort zu ändern. Danach habt ihr erstmal wieder einige Zeit Ruhe vor der nächsten Änderung.
  2. Die Anforderungen an euer Passwort wurden erhöht. Das Forum akzeptiert jetzt keine "123456" oder ähnliches mehr.
  3. Bei der Eingabe unterstützt euch die phpBB-Extension Password Strength bei der Wahl eures neuen Passworts. Bitte verwendet hier auf phpBB.de ein einmaliges Passwort, was ihr sonst für keinen Account verwendet. So ist auch in Zukunft ausgeschlossen, dass eine Sicherheitslücke woanders oder ein Datenleck euren Account hier gefährdet.
  4. Benutzer die sich schon sehr lange nicht mehr angemeldet haben, müssen ihren Account zusätzlich per E-Mail-Abfrage bestätigen. Damit wollen wir verhindern, dass ältere Accounts übernommen und jetzt zum Spammen genutzt werden können (Die dafür entwickelte Extension; Danke an LukeWCS!).
Achtet außerdem darauf, dass es die Email-Adresse aus eurem Profil auch noch gibt und ihr Zugriff darauf habt.

Fragen, Anregungen und Feedback sowie ähnliche Erfahrungen im eigenen Board, könnt ihr wie gewohnt im Diskussions-Thema teilen.

Beste Grüße
Nach oben
Antworten

Zurück zu „Ankündigungen und Neuigkeiten“