Täglich gibt es viele Meldungen, dass Mitgliedern der Bitcointalk-Account gehackt wird, was natürlich sehr ärgerlich ist. Dabei wären nahezu alle Hacks vermeidbar, wenn man die Funktionen zum Passwort ändern / E-Mailadresse tauschen anders handhaben würde.
Das generelle Design nach aktuellem Stand ist für Nutzer sehr nachteilig, denn dem Hacker langt schon der alleinige Zugriff auf das Bitcointalk-Konto, um es zu übernehmen. Wenn man momentan sein Passwort ändert oder die E-Mailadresse tauscht, bekommt man nur jeweils eine Erinnerungs-Mail, jedoch keine Mail, die man bestätigen muss:
Passwort zurücksetzen:
Dear chenille,
Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address xxxx. If you did not do this, then you should use the forgotten password feature to change your password.
Regards,
The Bitcoin Forum Team.
Würde diese Aktion durch einen Hacker ausgelöst werden, hätte man keine Möglichkeit mehr, in den Account zu kommen. Die angepriesene Passwort-vergessen-Funktion ist ebenso hinfällig, da der Hacker nicht dumm sein wird und die E-Mailadresse zusätzlich umgehend ändern wird - auch dazu ist keine Bestätigung von der zuvor genutzten Adresse erforderlich:
Dear chenille,
Your Bitcoin Forum (bitcointalk.org) email address was just changed from xxx@xxx to xxx@xxx by IP address xxxx. If you did not do this, then you can visit the following link within 14 days in order to lock the account:
h ttps://bitcointalk.org/index.php?action=seclock;u=xxx
Note that you will NOT be asked for your password at that URL.
Regards,
The Bitcoin Forum Team
Wenn man dem Link folgt, hat man lediglich noch die Möglichkeit, seinen Account zu sperren:
Your account will be locked. Nobody will be able to log in and access any of the account's functions. Administrative action will be required to unlock it. You should contact an admin after this (see the sticky in Meta). Be warned that although it will be easier to recover an account after this locking tool is used than if you do nothing and your account is compromised, our account-recovery throughput is very limited, and it could be a long time before you get your account back.
Erfahrungsgemäß werden Probleme mit gehackten Accounts aufgrund ihrer hohen Anzahl wenn überhaupt nur sehr schleppend bearbeitet und zudem beschert es den Admins viel zusätzliche (unnötige) Arbeit, die jedoch vermeidbar wäre.
Dabei wäre solch ein Hack, selbst wenn jemand Zugriff auf das Bitcointalk-Konto hat, an zwei Stellen noch abwendbar:
1. Wenn man zu jeder Änderung des Passworts eine Bestätigungs-E-Mail mit Aktivierungslink gesendet bekommen würde, ohne dessen Aktivierung die Änderung des Passworts wirkungslos bleiben würde, wäre ein Verlust des Kontos vermeidbar. Der Häcker hätte dadurch keine Chance, den rechtmäßigen Benutzer aus dem Konto zu sperren, das Passwort bliebe das selbe. Man könnte nur mit Besitz der E-Mailadresse das Passwort ändern.
2. Selbst wenn es diese Funktion nicht gäbe, könnte man die Accountübernahme immer noch abwenden, indem man die Sicherheit einbauen würde, auch bei einer Änderung der E-Mailadresse einen Bestätigungslink an die bisher genutzte Mailadresse zu senden.
Denn so könnte man über die Passwort-Rücksetzen-Funktion ein neues Passwort and die hinterlegte E-Mailadresse senden lassen - welche der Hacker nicht ändern konnte.
Es wäre also sehr einfach, die vielen gehackten Accounts zu vermeiden. Eigentlich sind das Sicherheitsstandards, die normal vorhanden sein sollten, vor allem wenn man bedenkt, dass Accounts meist aus Profitgier gehackt und anschließend verkauft werden.
Oder gibt es dort eine Einstellung, die ich übersehen habe?
