Vorschlag für mehr Sicherheit gegenüber Hacker/Phisher

[Vknwxudwbikr]

Hallo bitcon.de-Team und BTC-User!

 

Aufgrund der heutigen aktuellen Meldung bzgl Probleme ausgelöst durch email-hacking/phishng Angriffe (Anforderung neuer Passwörter) habe ich eine Idee, die mehr Sicherheit bringt und sich mit bestehenden Mitteln/Infrastruktur einfach umsetzen lässt:

 

--> Bitte am besten den Ablauf um ein "neues Passwort anzufordern" so umstellen, dass dies eine neue Verifizierung via SEPA-Überweisung von 0,01Eur + One-Time-Code benötigt.

Das würde dann potentielle Hacker/Phisher abhalten, denn es würde ihnen nur dann etwas bringen, wenn sie nicht nur den email-account gehackt haben, sonder AUCH noch den Online-Banking-Zugang (was eigentlich viel seltener sein sollte)!

 

 

Notizen zu dem Lösungsvorschlag:

1. Natürlich sollte diese Möglichkeit, diese Neu-Verifizierung anzufordern, nur 1x pro Benutzer möglich sein, bis das PW geändert wurde, damit das niemand ausnutzt.

2. Da diese Fälle der PW-Anforderung (abgesehen von diesen aktuellen Betrugs-Versuchen!) eigentlich im Normalfall auch nur relativ selten vorkommen sollte (dass jemand wirklich sein PW vergessen hat) --> sollte das auch von den Kosten für bitcoin.de überschaubar bleiben und steht wohl in keiner Relation zu dem Schaden durch schlechte Publicity + Kursabstürze (wegen Meldungen über Angriffsversuche)...

3. Da offenbar doch noch viele user OTP nicht verwenden/kennen, wäre diese Methode offenbar immer noch dringend nötig...

 

 

(ERGÄNZUNG: Falls die zusätzlichen SEPA-Verifizierungen für bitcoin.de eventuell zu teuer wären (eigentlich sollten solche Fälle ja nicht ins Gewicht fallen und nur ganz selten vorkommen), könnte ja dem User auch eine minimale Menge an BTC für das Re-Verifizieren abgezogen werden.)

 

 

PS: Falls jemand meine Idee gut/nützlich findet, wäre ich über eine kleine Spende sehr dankbar,

an 18fhPmEmMQ5rvkwAnuCNtckUSBLMopZbS5 - danke!

Bearbeitet 17. April 2013 von Vknwxudwbikr

[flo]

Von der Idee her nicht schlecht, aber ich sehe da auch einige Probleme.

Die Vorgehensweise setzt Voraus, dass du bereits einmal ein Bankkonto verifiziert hast.

Die Passwortänderung dauert dann ca. zwei Werktage, im schlimmsten Fall willst du am Freitag das Passwort ändern und bekommst erst am Dienstag die Überweisung.

Falls der unwahrscheinliche Fall eintritt, dass sowohl das Passwort vergessen wurde und dann die Bank gewechselt wurde, dann muss man hier zusätzlich noch den Support bemühen.

[Vknwxudwbikr]

@flo: Theoretisch hast du zwar mit den 2 möglichen Nachteilen recht.

 

ABER es ist wie bei Sicherheitssystemen immer auch ein Tradeoff zw. Wahrscheinlichkeit und Aufwand/Dauer.

 

1) Wenn also jemand *wirklich* sein PW wergessen hat, dann heißt das wohl, dass er sich sehr selten hier einloggt/tradet, also sollte die Wartezeit für solche seltenen Fälle auch zu verschmerzen sein!

2) Und die Wahrscheinlichkeit für PW-Vergessen UND auch noch Konto-Wechsel zugleich ist wohl extrem niedrig... Bei diesen gaaanz seltenen Ausnahmen ist wohl persönlicher Support vom Aufwand zu handeln.

 

Ich schätze, dass leider im Moment die Wahrscheinlichkeit sicher viel höher ist, dass eventuell Betrüger via Hacking/Phishing schnell und vor allem schwer nachverfolgbar Geld(BTC) ergaunern wollen! (Und dadurch kann es dann auch noch für alle User zu unnötigen Kurs-Stürzen kommen...)

 

 

(PS: Falls jemand meine Idee gut/nützlich findet, wäre ich über eine kleine Spende sehr dankbar,

an 18fhPmEmMQ5rvkwAnuCNtckUSBLMopZbS5 - danke!)

Bearbeitet 17. April 2013 von Vknwxudwbikr

[Ameisengast]

Guten Tag,

an sich eine gute Idee, ich weiß allerdings nicht, mit wie viel Mehraufwand für Bitcoin.de das Ganze verbunden wäre.

Viele Trading-Portale haben eine 24-Stündige Sperre für Auszahlungen (und Trades) nachdem das Passwort gewechselt wurde.

Ich finde, so etwas sollte man auch in Betracht ziehen.

Mit freundlichen Grüßen,

Tobias Roller

[Vknwxudwbikr]

@Ameisengast:

 

Die 24h Sperre hilft zwar ein klein wenig, das wäre mir aber immer noch zu unsicher, da es sich hier ja hier um eine Website handelt, wo es wirklich um (viel/echtes) Geld geht! (Und nicht um ein paar facebook postings, etc, daher möchte ich schon lieber ein wenig Komfort für mehr Sicherheit spendieren.)

 

Grund:

Wenn ich (und sicher einige andere auch) zB gerade im Ausland auf Urlaub/Dienstreise bin, checke ich *nicht* alle 24h meine emails, und in dem Fall wären bei Betrug die BTC eben nach 24h weg. Ich checke ja auch nicht täglich via Online-Banking, ob mein Geld auf der Bank wohl noch da ist... (Außerdem würde ein Betrüger, der meinen email-account hackt, natürlich auch nach 24h die btc-bestätigungs-emails selbst *löschen*, damit ich gar nichts von dem hack mitbekomme...)