Gestohlene Passwörter sorgen für Spam und Ärger - Tausende inaktive Forenaccounts gelöscht

[anton_]

Ich fände es aber vielleicht mal ganz schick, hier einen Artikel zu lesen, wie man MFA am besten nutzt. Wäre doch mal eine Idee zu einem Artikel, der sogar dem eigenen Zwecke dient

Ist sogar recht simpel (Xenoforo halt). Du klickst oben auf deinen Namen, gehst auf „Passwort und Sicherheit“. Dort kannst du 2FA (zweistufige Verifikation) aktivieren. Wählst App aus, er zeigt dir nen QR Code an. Den am besten als Screenshot sichern, falls du mehrere Apps dafür nutzen willst.
Je nach verwendeter App dann enstprechend weiter: Handyapps kann man meist einfach den QR Code Scannen, und er schmeisst dir nen 6 Stelligen Code aus. 1Password geht man auf das gespeicherte Passwort, da auf bearbeiten, dann weitere hinzufügen - Einmalpasswort. Am Handy scannt man mit der Kamera den QR Code ab, am Desktop kann man auch den Screenshot nehmen.

Zum schluss gibt man in der Forensoftware zur bestätigung den 6 Stelligen Code ein, und sichert die „Recovery Passwörter“(Screenshot).

 

[Lagavulin]

War für mich ein Anstoß, endlich mal die 2FA zu aktivieren.

@Igor Wallossek :Werden in der eingesetzten Foren-SW eigentlich die Passworte gespeichert oder Hash-Codes?

 

[Igor Wallossek]

Hash.

 

[Lagavulin]

Hash.

Perfekt, danke!!!

 

[ro///M3o]

Wow, 11.000 Accounts über Bord.

Ist das der Ballast der Gewinnspiele?

In Zukuft macht es sicher Sinn, nur noch Teilnehmer zu zu lassen, die eine gewisse Zugehörigkeit aufweisen um gerade das zu vermeiden. Genau diese sind auch die Accounts mit Passwörtern ala PC12345 usw. . Man muss ja nicht mal ein activer "Schreiber" sein aber ab und an einloggen sollte voraussetzung sein (das kann man ja auch feststellen) sowie eine einjährige Registrierung oder so ähnlich.

 

[ArcusX]

Ist sogar recht simpel (Xenoforo halt). Du klickst oben auf deinen Namen, gehst auf „Passwort und Sicherheit“. Dort kannst du 2FA (zweistufige Verifikation) aktivieren. Wählst App aus, er zeigt dir nen QR Code an. Den am besten als Screenshot sichern, falls du mehrere Apps dafür nutzen willst.
Je nach verwendeter App dann enstprechend weiter: Handyapps kann man meist einfach den QR Code Scannen, und er schmeisst dir nen 6 Stelligen Code aus. 1Password geht man auf das gespeicherte Passwort, da auf bearbeiten, dann weitere hinzufügen - Einmalpasswort. Am Handy scannt man mit der Kamera den QR Code ab, am Desktop kann man auch den Screenshot nehmen.

Zum schluss gibt man in der Forensoftware zur bestätigung den 6 Stelligen Code ein, und sichert die „Recovery Passwörter“(Screenshot).

Ich hatte das nicht unbedingt auf diese spezielle Forensoftware bezogen, sondern einen allgemeinen Artikel. Es gibt ja mittlerweile recht viele Verfahren und vor allen Dingen, wie legt man BackUp Codes an, was macht man wenn.

War nur eine Idee.

 

[anton_]

wie legt man BackUp Codes an, was macht man wenn.

Die Backup Codes werden automatisch mit generiert, du musst sie nur „speichern“ (Ausdrucken, als Foto Speichern, als Textdatei ablegen,…..).

2FA über Apps ist sicher das verbreiteste Verfahren, da es fast überall unterstützt wird. Für die anderen Verfahren braucht es meist extra Hardware, und die Unterstützung ist nicht überall so gut.

 

[Art]

Ich habe das so verstanden, dass das zweite Gerät, dass ja erst die 2FA Sicherheit gewährleistet, gerade nicht zur Verfügung steht.

Die von dir skizzierten Beispiele müssten ja auf dem gleichen Gerät laufen um das auszuschließen. Und das wäre widerrum eine komfortable Umgehung der 2FA.

2FA, bzw. MFA hat nichts mit der Geräteanzahl zu tun
Faktoren sind, z.B.:
Wissen = Passwort
Besitz = Gerät (TOTP, FIDO2, etc.)
Sein = Fingerprint, faceID

Ich verwalte sowohl meine Passwörter, als auch meine OTPs in Bitwarden -> bei Nachfrage nach dem zweiten Faktor ist es ein einfaches Pasten der Zwischenablage (Strg+v), die von Bitwarden automatisch gefüllt wird.
Dadurch, dass es so komfortabel ist, verwende ich 2FA sehr häufig, wenn es angeboten wird...für meinen Foren Account hier sehe ich allerdings keine derartige Notwendigkeit.

Zusätzlich verwende ich fast immer individuelle Logins (mit Firefox Relay Adressen) und generiere individuelle Passwörter pro Login (muss mir ja keine merken).

 

[megaapfel]

Hab ich das richtig verstanden, es gab 2-3 erfolgreiche Spam-Posts pro Tag von irgendwelchen anderen Accounts und deswegen wurde mein alter Account mit einzigartigem Passwort und 16 Zeichen gelöscht und meine E-Mail auch permanent gesperrt? Klingt schwer nach overkill.

 

[ipat66]

Klingt schwer nach overkill.

Ist es nicht.
Den Spam braucht hier kein Mensch.
Schicke einfach eine PN an Igor und schildere Dein Problem.
Er kümmert sich dann drum, wie er weiter oben schon erwähnte

 

[Netsrak]

Puh, bin auch noch dabei. Poste ja auch immer seltener und bin vermutlicj auch oft nicht eingeloggt, wenn ich lese.

Aber auf jeden Fall genau die richtige Entscheidung von Igor, selbst wenn der ein oder andere dabei sein sollte, der jetzt dumm guckt.

 

[Gon]

Da ich auch eher ein stiller Leser als ein aktiver Schreiber bin, dachte ich auch, dass ich nun davon betroffen bin. Schön zu sehen, dass dem nicht so ist. Aber 11k Accounts sind schon eine Hausnummer.

 

[Klausikowski]

Richtige Entscheidung.
Irgendwann muss man mit dem Besen ran, vor allem wenn die Wollmäuse (Spamkrams) überhand nehmen.
Das ist leider überall ein echtes Problem, kann man ja im eigenen Posteingang, ggf. Spamordner sehen.
Irgendwas rutscht immer durch, wenngleich das auch im Vergleich zu früher schon besser wurde.

 

[Rizoma]

Hab ich das richtig verstanden, es gab 2-3 erfolgreiche Spam-Posts pro Tag von irgendwelchen anderen Accounts und deswegen wurde mein alter Account mit einzigartigem Passwort und 16 Zeichen gelöscht und meine E-Mail auch permanent gesperrt? Klingt schwer nach overkill.

Du bist seit Dezember 2022 inaktiv (nicht mal mit deinem Account angemeldet)
und beschwerst dich dann das der Account gelöscht wird?

Also wenn ich der Webseitenbetreiber wäre, wäre das vorgehen seit Jahren bei mir Standard alles was über 1 Jahr nicht angemeldet was fliegt. Dann könnte ich zwar bei meinen Werbepartnern keine großen User zahlen vorweisen dafür sind sie aber Aktiv.

 

[Dezor]

Die Forenteilnehmer sollten mal überlegen, etwas mehr auf die Sicherheit aller Ihrer Zugänge zu achten, und konsequenter (wo es natürlich machbar ist) MFA Methoden (wie zb über 2FA Apps,…) zu nutzen. Dann ist selbst die Kombination aus Username + Passwort nicht mehr allzu viel Wert, da man ohne den extra Faktor nicht mehr so einfach rein kommt.

2FA erscheint mir persönlich für Foren nicht ganz so wichtig. Klar, beim E-Mail-Konto und bei Händlern etc. ist es essentiell.

Der wichtigste Punkt ist aber weiterhin: unterschiedliche Passwörter für jede Seite. Anschauliches Beispiel: Man ist Mitglied im "Hintertupfinger Blasmusikforum", geführt von Opa Helmut, der zu wissen glaubt, wie man vor 20 Jahren ein Forum eingerichtet hat. Wenn man dort seine Mailadresse samt gleichem Passwort wie beim Mailserver verwendet, kann der Mailserver noch so sicher sein, die Sicherheitslücke in der uralten Wordpress-Version reicht dem Angreifer bereits aus. Und dann ist das Geschrei groß, wenn man nicht mehr an die eigenen E-Mails kommt und der Hacker in Ruhe auf die eigenen Kosten bei Ebay und Aliexpress bestellt, man aber mangels Zugriff aufs E-Mail-Konto nichts direkt dagegen tun kann ...

 

[anton_]

unterschiedliche Passwörter für jede Seite

Und da genau das kaum jemand macht, ist 2FA doch auch bei Foren nicht ganz unwichtig

 

[Dezor]

@anton_ Da bin ich wohl zu sehr von Safari verwöhnt, was bei jeder Neuanmeldung automatisch ein 20-stelliges, zufällig generiertes Passwort vorschlägt und direkt im Schlüsselbund speichert. Optional gibts dazu noch eine Wegwerf-E-Mail-Adresse, die dem potentiellen Hacker auch nicht mal meine richtige Adresse verrät, E-Mails aber zuverlässig dorthin weiterleitet.

Ich vermute auch, dass sich zumindest die meisten im Forum hier von dem 0-8-15-DAU unterscheiden. Aber ja, zu viele Leute dürften leider zu bequem sein, separate Passwörter zu nutzen. Andererseits: wer überall das gleiche Passwort nutzt, wird nicht von sich aus eine 2FA aktivieren.

 

[anton_]

Da bin ich wohl zu sehr von Safari verwöhnt, was bei jeder Neuanmeldung automatisch ein 20-stelliges, zufällig generiertes Passwort vorschlägt und direkt im Schlüsselbund speichert

Klar, als Apple User kenn ich die vorzüge, aber ich bin auf mehreren Plattformen unterwegs (Apple, MS, Linux), was es schon wieder komplizierter macht,…..

und ich will mich selbst nicht ausnehmen, bei Foren verwende ich Passwörter öfters(machts einfacher), bei Online Shops,… hingegen nicht.

Und 2FA hab ich aktiv wo es geht, egal ob Forum, Online Shop (auch Amazon,…), Mail Provider,…

 

[thedukelebt]

bin noch da. Poste nicht viel daher wusste ich nicht ob ich die 3 als minimum erreicht hatte

ebenfalls

 

[norpeimi]

Ich finde das ist eine richtige Entscheidung , da sie zur Sicherheit ALLER Nutzer beiträgt .
Wer sich seit 2 Jahren nicht eingeloggt hat , wird dies auch (wahrscheinlich) in nächster Zukunft nicht tun . Wenn doch ist ein neuer Account ja schnell angelegt .
Und eines ist sicher ; die fleißigsten Forenmitglieder ( zu denen auch ich definitiev nicht gehöre ) sind sicher nicht davon betroffen ;-) ... und das ist auch gut und recht so .