Vorschlag für mehr Sicherheit gegenüber Hacker/Phisher

[Vknwxudwbikr]

Hallo bitcon.de-Team und BTC-User!

 

Aufgrund der heutigen aktuellen Meldung bzgl Probleme ausgelöst durch email-hacking/phishng Angriffe (Anforderung neuer Passwörter) habe ich eine Idee, die mehr Sicherheit bringt und sich mit bestehenden Mitteln/Infrastruktur einfach umsetzen lässt:

 

--> Bitte am besten den Ablauf um ein "neues Passwort anzufordern" so umstellen, dass dies eine neue Verifizierung via SEPA-Überweisung von 0,01Eur + One-Time-Code benötigt.

Das würde dann potentielle Hacker/Phisher abhalten, denn es würde ihnen nur dann etwas bringen, wenn sie nicht nur den email-account gehackt haben, sonder AUCH noch den Online-Banking-Zugang (was eigentlich viel seltener sein sollte)!

 

 

Notizen zu dem Lösungsvorschlag:

1. Natürlich sollte diese Möglichkeit, diese Neu-Verifizierung anzufordern, nur 1x pro Benutzer möglich sein, bis das PW geändert wurde, damit das niemand ausnutzt.

2. Da diese Fälle der PW-Anforderung (abgesehen von diesen aktuellen Betrugs-Versuchen!) eigentlich im Normalfall auch nur relativ selten vorkommen sollte (dass jemand wirklich sein PW vergessen hat) --> sollte das auch von den Kosten für bitcoin.de überschaubar bleiben und steht wohl in keiner Relation zu dem Schaden durch schlechte Publicity + Kursabstürze (wegen Meldungen über Angriffsversuche)...

3. Da offenbar doch noch viele user OTP nicht verwenden/kennen, wäre diese Methode offenbar immer noch dringend nötig...

 

 

(ERGÄNZUNG: Falls die zusätzlichen SEPA-Verifizierungen für bitcoin.de eventuell zu teuer wären (eigentlich sollten solche Fälle ja nicht ins Gewicht fallen und nur ganz selten vorkommen), könnte ja dem User auch eine minimale Menge an BTC für das Re-Verifizieren abgezogen werden.)

 

 

PS: Falls jemand meine Idee gut/nützlich findet, wäre ich über eine kleine Spende sehr dankbar,

an 18fhPmEmMQ5rvkwAnuCNtckUSBLMopZbS5 - danke!

Bearbeitet 17. April 2013 von Vknwxudwbikr

[Vknwxudwbikr]

NACHTRAG bezüglich möglicher theoretischer Nachteile (Dauer der Re-Verifizierung, bzw Probleme bei theoretisch möglichen Kontowechsel):

 

Es ist wie bei Sicherheitssystemen immer auch ein Tradeoff zw. Wahrscheinlichkeit und Aufwand/Dauer:

 

1) Wenn also jemand *wirklich* sein PW wergessen hat, dann heißt das wohl, dass er sich sehr selten hier einloggt/tradet, also sollte die Wartezeit für solche seltenen Fälle auch zu verschmerzen sein! 2) Und die Wahrscheinlichkeit, dass jemand sein PW vergessen hat *und* zugleich auch noch einen Konto-Wechsel vorgenommen hat, ist wohl extrem niedrig... Bei diesen gaaanz seltenen Ausnahmen ist wohl persönlicher Support vom Aufwand zu handeln.

 

Ich schätze, dass leider im Moment die Wahrscheinlichkeit sicher viel höher ist, dass eventuell Betrüger via Hacking/Phishing schnell und vor allem schwer nachverfolgbar Geld(BTC) ergaunern wollen! (Und dadurch kann es dann auch noch für alle User zu unnötigen Kurs-Stürzen kommen...)

 

 

(PS: Falls jemand meine Idee gut/nützlich findet, wäre ich über eine kleine Spende sehr dankbar,

an 18fhPmEmMQ5rvkwAnuCNtckUSBLMopZbS5 - danke!)

Bearbeitet 17. April 2013 von Vknwxudwbikr

[kieselbert]

Zusätzliche Sicherheit würde es auch bringen wenn man die Auszahladresse verifizieren müsste und diese dann nicht ohne weiteres beliebig ändern könnte.

Stichwort: Referenzkonto

 

Ich glaube kaum dass das ändern der Auszahladresse sehr häufig vorkommt, es sei denn jemand nutzt die Auszahlmechanismen direkt um etwas mit BTC zu bezahlen.

[Vknwxudwbikr]

Das wäre prinzipiell sicher auch eine mögliche noch zusätzliche(!) Variante, aber kein Ersatz: In diesem Fall wäre das Problem dasselbe, wenn man die Auszahladresse dann sicher verifiziert ändern will, müsste das dann auch wieder über SEPA-Überweisung+Code geschehen (bei Usern, die OTP nicht verwenden) - sonst wäre die Änderung ja auch zu einfach möglich...

 

Eventuell würde es also davon abhängen, ob das Ändern der Auszahl-Adresse häufiger vorkommt, als das Vergessen des PW... --> also im Zweifelsfall würde ich eventuell beide Varianten extra verifiziert bevorzugen (bringt die dann noch mehr Sicherheit!)

[Jeff]

"neues Passwort anzufordern" = neue Konto-Verifizierung nötig

 

Gute Idee!

 

(Bitcoin) Auszahladresse verifizieren

 

Verifizierung der Bitcoin-Auszahlungsadresse würde bedeuten, dass man sich seine Bitcoins immer an dieselbe Bitcoin-Adresse auszahlen lässt.

 

Wer sich später nicht schwarz ärgern will, dass all seine Zahlungsvorgänge im Internet nachlesen kann, wer auch nur eine einzige Zahlung kennt, der ist jedoch gut beraten, sich seine Bitcoins jedes Mal an eine andere Adresse auszahlen zu lassen.

 

Und eine Verifizierung ständig neuer Auszahlungsadressen halte ich für unpraktikabel.

[Oliver Flaskämper]

Vielen Dank für das Feedback! Eine Verifizierung durch Überweisung führen wir bereits seit Mitte 2012 immer dann durch, wenn ein User kein OTP mehr ausführen kann, weil er sein Handy neu initialisiert oder verloren hat oder es ihm gestohlen wurde. Das ist in der Tat auch die aus unserer Sicht sicherste Methode, um die Inhaberschaft zweifelsfrei festzustellen - vom PostIdent-Verfahren mal abgesehen. Leider funktioniert diese Methode jedoch nicht bei allen Usern gleich gut, da einige Banken ihre ganz eigene Methode haben den Code im Verwendungszweck zu platzieren. Das bedeutet dann wieder für und viel Support-Aufwand, da in diesen Fällen manuelle Überweisungen der User auf unser Konto erfolgen.

 

Auszahlungsanforderungen müssen seit dieser Woche immer, entweder mit OTP oder SMS-TAN bestätigt werden.

 

Viele Grüße,

Oliver Flaskämper