phpBB.de

Hallo,

die Länge des Betreff´s überstieg leider die erlaubte Zeichenanzahl, deswegen stehen im Betreff nur
die wichtigen Stichworte.
Ich möchte gerne folgendes Thema anstoßen:
Änderung des Hinweises auf Sicherheitsabfrage beim Login

Der Hinweis auf eine nötige Sicherheitsabfrage beim Login (wegen zu vielen fehlgeschlagenen Versuchen)
sieht bisher so aus: Screenshot
Aus meiner Erfahrung weiß ich, dass diese Meldung einige User verwirrt.
Viele denken, sie haben ihr Passwort falsch eingegeben, probieren dann andere Passwörter, steuern wieder
auf die index.php - um sich dort neu anzumelden und wieder diese Meldung zu bekommen, etc.)
Im Normalfall erscheint dieser Hinweis relativ selten.
Wenn aber, wie in einem aktuellen Fall, ein Bot fast alle Usernamen des Forum´s mit verschiedenen
Standartpasswörtern ausprobiert, wird die Schwachstelle des Hinweises deutlich.
Im aktuellen Fall kamen (bisher) bei 500 registrierten Usern um die 15-20 Emails von Usern, die diesen
Hinweis nicht verstanden und Hilfe suchten.

Man kann argumentieren, dass dies eine geringe Quote ist (bisher 4%), bei einer höheren Zahl an
registrierten Benutzern steigt aber auch die Zahl derer, die per Email Hilfe suchen, das wird schon aufwendig.

Deswegen möchte ich zur Diskussion stellen, ob man diesen Hinweis nicht besser verständlich machen
sollte und wenn ja, wie das am besten möglich ist.

Ein Vorschlag von mir ist dieser: Screenshot
Den Usern muss klar werden, dass nicht ihr vermeintlich falsches Passwort zu dieser Sicherheitsabfrage führt.

LG T.M

Ich denke nicht, dass dieser Umstand einer Diskussion bedarf.

Finde in der \language\<deine_sprachen>\common.php Und passe den Text nach Gutdünken an. Gern auch mit HTML Tags oder CSS Style Attributen.
Zum Thema auch wichtig: KB:utf8bom

Hallo Miriam,

vielen Dank, mir ist aber durchaus bewusst, wie ich diesen Hinweis selbst ändern könnte, darum geht es mir nicht.
Mir geht es vielmehr um die oben genannte Diskussion.

LG T.M

Hi T-M, merkwürdig ist zunächst, dass dein Eingangsbeitrag geändert wurde und dieses auf phpBB.de nicht angezeigt wird,
gleichwohl eine Antwort bereits vorlag. Denn die bildliche Alternative ist nachrichtlich hinzugefügt worden. Oder? Wenn nicht, leide ich wohl unter einer momentanen Halluzination oder mein Browser aktualisiert die Seite nicht konform. Erinnerlich habe ich den Beitrag bereits mehrfach in verschiedenen Browsern aufgerufen und die Alternative war nicht zu sehen ......

Nun denn, --- Diskussion: zum Thema
Ob nun ein "Bot" oder ein "Bösewicht" versucht, den Account mittels Passwort "zu knacken" ist m.E. nicht relevant. Der Hinweis, der im Standard ausgegeben wird, ist sachlich nicht falsch. Ggf. unglücklich formuliert? Stimmt! Derzeit kann ich sicherlich als Betreiber eigenverantwortlich ( vgl. Posting von Miriam ) eine weitreichende Information und/oder via Bekanntmachung bzw. gar mittels Massen-E-Mail im Forum selbst herausgeben.

Deine Idee der nachrichtlich ( ? ) benannten Idee ansich, finde ich im Grundsatz gut:
http://s1.directupload.net/images/130510/9cv9dw5j.png

Erklärungsbedarf wird sich jedoch auch in jenem Falle ergeben. "Unbedarfte Benutzer / User" werden auch in diesem Falle - so oder so - eine Erklärung erwarten.


Und ---das,

T-M hat geschrieben:Den Usern muss klar werden, dass nicht ihr vermeintlich falsches Passwort zu dieser Sicherheitsabfrage führt.

ist nur bedingt richtig. Ein Benutzer / User kann selbst Fehlern unterliegen.




Ich drehe mich zumindest im Kreise.

Beste Grüße

Eigentlich muss man doch nur die rote Zeile lesen? Da steht doch schon im ersten Satzteil drin, warum der Anmeldeversuch fehlgeschlagen ist.

nickvergessen hat geschrieben:Eigentlich muss man doch nur die rote Zeile lesen? Da steht doch schon im ersten Satzteil drin, warum der Anmeldeversuch fehlgeschlagen ist.

Im Prinzip hast Du Recht... ABER: Lesen <> verstehendes Lesen

Ja gewiss NV, -- nur ---> "du hast" in der Ansprache bedeutet "ich habe".....?

Ggf. wünschenswert oder besser: - reine Gedanken -

"Es wurde...(...)... "
"Daher musst du sicherheitshalber ...(...)... "


Wer auch immer übersetzte, formulierte.

Erklärungsbedarf ggü. dem Benutzer / User wird nicht gänzlich wegfallen, -- denke ich.

[ot]
Evtl. ist ein Hinweis in der FAQ günstig, der standardmäßig Aufschluss gibt, Gründe ausführt und den Seitenbetreiber hinsichtlich einer separaten Information entlastet.
Eine Überlegung ist´s wert, denke ich.
[/ot]

Grüße

Hallo,

die Medaille hat zwei Seiten: wenn ich die Umstände präzise erkläre, warum es zu der Situation gekommen sein kann, so liefere ich damit auch eine Anleitung für "Spielkinder", die bisher noch nicht auf den Gedanken gekommen sind, im Forum einige Mituser auf diese Weise ärgern zu können (wohlgemerkt, "Spielkinder" - Spamprofis brauche ich eh nichts erklären, die haben alle Tricks drauf). In meinem Forum hatte ich die Situation auch einmal, wobei ich nicht beweisen kann, wer oder was der Verursacher war.

Abhilfe in meinem Fall schaffte die Erhöhung der Passwortkomplexität und gleichzeitige Erhöhung der erlaubten Anmeldeversuche. Ich denke, eine allgemeingültige Lösung wird man nicht finden können, es wird immer ein Lavieren zwischen hohen Sicherheitseinstellungen und zumutbarer Usability bleiben ...

Hi, es stimmt natürlich, dass jegliche Thematik auch diejenigen anspricht, die "einen Nutzen ziehen" woll(t)en, ein Thema umkehren. Im weitesten Sinne dürfte ich dann nicht aufklären, informieren.
Brute Force Attacken nicht erwähnen oder das ich mein PW gegenüber Dritten nicht zugänglich halte, einen PW-Manager nicht nutze .......... ?
Wenn ich als Betreiber gefragt bin, sollte ich m.E. nicht zögern, allgemeine Informationen herauszugeben.

"Bösewichte" werden sich nicht abhalten lassen. Die Beweislast ist ja eine noch ganz andere Frage.

Herzliche Grüße

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Edit: Auszug vorheriger Beitrag meinerseits:

"Du hast" heißt, "ich habe" und das ist sachlich u.U. falsch.

• Ggf. wünschenswert oder besser: - reine Gedanken -
  
  "Es wurde...(...)... "
  "Daher musst du sicherheitshalber ...(...)... "

.

T-M hat geschrieben:Wenn aber, wie in einem aktuellen Fall, ein Bot fast alle Usernamen des Forum´s mit verschiedenen
Standartpasswörtern ausprobiert, wird die Schwachstelle des Hinweises deutlich.

Sehe ich nicht so. Im Gegenteil: dadurch wird deutlich dass nicht automatisiert unendlich viele Versuche gestartet werden können um unbefugt an einen Account zu kommen.

Der Umstand wie es dazu gekommen ist sehe ich als Aufklärungsarbeit an, also die User zu informieren wie es dazu gekommen ist als die Meldung selber zu diskutieren: diese ist schlichtweg inhaltlich richtig.

Wenn man z.B. statt "'Du hast die maximal zulässige Zahl von Anmeldeversuchen überschritten" => "Es wurden zu viele Versuche..." könnte zur Annahme führen dass grundsätzlich nur eine bestimmte Anzahl von Anmeldungen durchgeführt werden können!

Ich möchte nicht wissen wie viele User ihr Passwort nicht mehr genau wissen und daher verschiedene Kombinationen ausprobieren. Diesen Umstand kann man nicht differenzieren.

Mein Lösungsansatz wäre sich Gedanken zu machen wie man diese Angriffe im VORFELD bereits abfangen kann.