Idee(n) für mehr Sicherheit auf den Pokerseiten

    • MastaMANSON
      MastaMANSON
      Gold
      Dabei seit: 24.08.2007 Beiträge: 5.432
      in letzter zeit kommt es ja oft vor, dass manche von account-hack usw. erzählen. ob es nicht möglich wäre, der jeweiligen plattform zu erzählen/einzustellen, dass man zB. nur NL50 oder FL2/4 spielt?
      und wenn man ein limit auf absteigt, dem support davon berichtet?

      und sollte diese regel "gebrochen" werden, wird der account eingefroren bis zu einem telefonat mit dem acc-besitzer?!

      oder, dass man eine sperre für die max. summe X die verloren werden darf am tag eingeführt wird (welche man einstellen kann).
      damit würde man verhindern können, dass der hacker alles auf NL1k zB "verschickt".

      das ganze könnt auch vor möglich tilt schützen

      was haltet ihr von dieser idee?
  • 23 Antworten
    • nomi2k
      nomi2k
      Bronze
      Dabei seit: 15.02.2008 Beiträge: 7.482
      glaubst du wirklich daran das ne Pokerplattform sowas einführt?! die würden sich doch ihre gewinne kapputt machen. Die Leben doch vorallem von den verlierern die dann ihrer verluste aufholen wollen/müssen.
    • noMercy75
      noMercy75
      Bronze
      Dabei seit: 10.03.2007 Beiträge: 466
      Die Idee nur eine Summe x zu verlieren am Tag und dann ein Stop zu setzen wäre sinnig. Nur wenn ich es ja selber einstellen kann und der Account wird gehackt, kann dann nicht auch der Hacker die Summe einstellen? Könnte man den Pokeranbietern sogar als "verantwortungsvolles" Spielen verkaufen. :P
    • TobiasK1985
      TobiasK1985
      Bronze
      Dabei seit: 04.01.2007 Beiträge: 3.642
      Wieso nicht auf Wunsch nur eine bestimmte IP zum einloggen ? Oder ggf. 2-3 oder so. Hilft nicht jedem, aber vielen.

      Oder einfacher: Wieso nicht IPs nur aus dem Inland zulassen, IPs vom Ausland generell blocken?


      Vorschläge waren aber schonmal irgendwo hier...
    • majorsnake
      majorsnake
      Bronze
      Dabei seit: 20.05.2006 Beiträge: 3.836
      Geht das nich bei vielen Seiten sogar schon?

      Ich mein, ich hab irgendwo gelesen, dass ich ne Grenze setzen konnte, mit wieviel Cash man sich an die Table setzt.


      Aber rein theoretisch geht es ja nur um die Summe X, die man verlieren darf.

      Aber man müsste die Sache ja immer wieder der wachsenden Bankroll anpassen, ich glaube, das ist den Pokerseiten zu viel Aufwand.

      Wenn jeder ne feste IP hat, dann wär sowieso alles egal :)
    • Tandor1973
      Tandor1973
      Black
      Dabei seit: 25.04.2007 Beiträge: 3.987
      Würde es eine Möglichkeit geben das auf mein Account nur über den IP Block den ich üblicherweise benutze eingeloggt werden kann würde ich es sofort nutzen.

      Auch sollte es doch technisch möglich sein das ich mich nur über meinen Rechner einloggen kann. Maschinencode auslesen, oder halt bei jeder Instalation der Pokersoftware eine Seriennummer erzeugen die überprüft wird.

      Wenn eine Pokerseite so etwas anbietet könnte ich mir sogar gut vorstellen nur deshalb dort hin zu wechseln, wenn die anderen Konditionen ähnlich sind.
    • majorsnake
      majorsnake
      Bronze
      Dabei seit: 20.05.2006 Beiträge: 3.836
      Original von Tandor1973
      Auch sollte es doch technisch möglich sein das ich mich nur über meinen Rechner einloggen kann. Maschinencode auslesen, oder halt bei jeder Instalation der Pokersoftware eine Seriennummer erzeugen die überprüft wird.
      Es würde schon reichen, den Account nur über bestimme Mac-Adressen laufen zu lassen.

      Ich vermute, dass hier jeder in irgendeiner Form übers Netzwerk ins Internet gelangt. Mac-Adressen sind einzigartig auf dem gesamten Planeten, jede Netzwerkkarte hat eine eigene. Ich glaube, die künstlich zu erzeugen ist viel zu viel Aufwand. Aber naja, das ist denen wahrscheinlich zu kompliziert und außerdem spielen sowieso alle weiter.
    • swissace
      swissace
      Bronze
      Dabei seit: 09.02.2007 Beiträge: 651
      öhm die mac adresse kann man bei vielen netzwerkkarten sogar per originaltreiber ändern/überschreiben
    • Habilein
      Habilein
      Bronze
      Dabei seit: 17.08.2007 Beiträge: 84
      Würde allerdings z.B. für mich nicht in Frage kommen, da ich auch ab und zu über mein Notebook bei nem Kumpel, an seinem Rechner oder über UMTS daddel, wenn mir gerade danach ist. Kommt zwar nicht all zu oft vor, würde mich aber tierisch nerven, wenn es dann nicht funktioniert.

      Gäbe ja auch genug andere Möglichkeiten, die Sache sicherer zu machen, was hier schon oft diskutiert wurde. Sollten sich die Pokeranbieter auch langsam mal Gedanken machen. Schließlich soll es ja den ein oder anderen geben, der mehr BR als Bankkonto Vermögen hat. Und bei ner Bank funktioniert das ja auch mit der Sicherheit...
    • Habilein
      Habilein
      Bronze
      Dabei seit: 17.08.2007 Beiträge: 84
      Original von swissace
      öhm die mac adresse kann man bei vielen netzwerkkarten sogar per originaltreiber ändern/überschreiben
      Ja, geht bei vielen. Und wenn es nicht per Originaltreiber geht, dann gibbet es da ein kleines Tool und schon ist die MAC überschrieben. Wenn also ein Keylogger irgendwelche PW's abfängt, kann er das auch mit der MAC Adresse.

      Würde also nur was bringen, wenn der "Hacker" seine eigene MAC so lieb hat, dass er sie nicht eben mal schnell in deine ändern will.
    • kampfpizza
      kampfpizza
      Bronze
      Dabei seit: 18.01.2007 Beiträge: 306
      leute, ip-adresse ist für viele leute gerade in europa nicht praktikabel, da dyn. id, je nach einwahl verschieden. das wird sich nicht lohnen.

      mac-adresse ist auch eher eine schwache sache, da man diese ohne weiteres faken kann.

      was sich imho wunderbar anbietet, ist ein vom onlinebanking bekanntes itan-verfahren. oder mobile-tan. natürlich optional. bei jedem einloggen benötigt man zusätzlich zum passwort noch eine TAN. die tan-liste wird an die angegebene adresse geschickt, oder man hat die möglichkeit, sein handy zu registrieren und gegen geringe gebühr sich eine tan zuschicken zu lassen.

      phishing wird verhindert, indem man jeder tan eine nummer gibt und immer eine bestimmte unverbrauchte tan verlangt, sodass mit phishing-seiten nicht mehr so viel anzufangen ist.

      das ist imho sehr sicher und nicht so schwer zu implementieren. wenn man es als option anbietet, die jeder spieler auf wunsch gegen meinetwegen 5$ je tanliste etc aktivierne können, ist das eine faire sache.
    • Tandor1973
      Tandor1973
      Black
      Dabei seit: 25.04.2007 Beiträge: 3.987
      Gegen Keylogger würde die Mac Adresse sicher nicht helfen, stimmt wohl.

      Aber in den meisten Fällen geht es hier um gehackte E-Mail Accounts, und dagegen würde es sehr wohl helfen, da du über E-Mail Accounts halt keine Mac-Adresse heraus findest.

      Es wäre natürlich nur eine Option die man aktivieren kann, wer auf verschiedenen Rechnern spielen will, nutzt es halt nicht. Deaktivieren wird erst 2 Tage verzögert umgesetzt, und man bekommt eine Mail das die Funktion deaktiviert wurde.

      Es wäre sehr einfach umzusetzen, wäre für viele ohne Nachteile nutzbar, und würde einen großteil der Accounthacks verhindern.

      Bei der IP Adresse sagte ich ja schon das ein IP Adressenblock genommen werden muss, der Hacker müsste sich also über meinen Provider einwählen den er meist nicht kennt, auch hier als Option nutzbar, und deaktivieren der Option dauert 2 Tage.
    • Habilein
      Habilein
      Bronze
      Dabei seit: 17.08.2007 Beiträge: 84
      Ja, gegen email Hack würde es funzen. Stimmt schon..

      Ansonsten Alternative zum TAN Verfahren wäre RSA SecurID. (Hat nichts mit der lächerlichen Neteller SecureID zu tun)
    • majorsnake
      majorsnake
      Bronze
      Dabei seit: 20.05.2006 Beiträge: 3.836
      Naja er müsste ja erstmal wissen, wie meine Mac Adresse aussieht ^^
    • kampfpizza
      kampfpizza
      Bronze
      Dabei seit: 18.01.2007 Beiträge: 306
      also ich spiel mindestens von einem notebook und einem pc, plus virtuelle maschinen etc., also klar, man könnte es machen, aebr mir widerstrebt das, pin/tan ist einfach sicherer.

      rsa secureID schaut zwar gut aus, man ist allerdings von einem hersteller abhängig und die lösung wäre wohl teurer.
    • Habilein
      Habilein
      Bronze
      Dabei seit: 17.08.2007 Beiträge: 84
      Original von kampfpizza
      also ich spiel mindestens von einem notebook und einem pc, plus virtuelle maschinen etc., also klar, man könnte es machen, aebr mir widerstrebt das, pin/tan ist einfach sicherer.

      rsa secureID schaut zwar gut aus, man ist allerdings von einem hersteller abhängig und die lösung wäre wohl teurer.
      Nicht wirklich teuer. Diese SecurID Teile kosten nicht viel. Das einzige ist die serverseitige Implementierung. Da muss der Pokeranbieter schon ein paar Tausender locker machen. Aber mehr oder weniger einmalig. Dass das ganze herstellerabhängig sehe ich nicht als schlimm an. Schließlich ist mein Windows auch herstellerabhängig. Und die Pokerplattform auch. Und wer sagt, dass PIN/TAN sicherer ist?

      Mal abgesehen davon, erschweren derartige Lösungen (iTAN, etc.) einen Hack natürlich ungemein. Aber auch das kann in Echtzeit gephisht werden, wenn es ein guter Phisher auf eine große Bankroll abgesehen hat.

      Wenn man also seine 3,432 Millionen nur beim Pokeranbieter liegen hat, ist man selbst Schuld, wenn die Kohle nachher weg ist.

      Deswegen empfehle ich auscashen und das ganze in einen Strumpf. Dicke Wollkniestrümpfe haben sich in der Praxis bewährt. Oder gibbet es bei der Feuerwehr feuerfeste Strümpfe?
    • kampfpizza
      kampfpizza
      Bronze
      Dabei seit: 18.01.2007 Beiträge: 306
      @habilein:

      die server-implementierung dürfte schon teuer sein. mit herstellerabhängigkeit meinte ich auch, dass der pokerprovider sich mit dem hersteller von diesen secureID-teilen zusammensetzen und verhandeln muss etc. man hat da halt keine so große flexibilität als wenn man tan einfach selber implementiert.

      was von beiden sicherer ist, naja, ich denke, securID sollte schon die nase vorne haben. tan ist aber imho einfacher und billiger.

      dass windows herstellerabhängig ist, ja, klar, du kannst auch linux benutzen und mit wine etc rumfrickeln. oder manche provider bieten eine java-plattform an. dass du von der providersoftware abhängig bist, ist klar, aber du kannst dir deinen provider ja raussuchen.

      ich denke einfach, folgende schritte sind vollkommen ausreichend:

      Server-Seite:
      1) Serversicherheit, Firewalls usw is klar
      2) PIN- und iTAN-Verfahren, Beschränkung auf drei falsche Eingaben, weiterhin Mitteilung, falls PIN / TAN falsch eingegeben wurden, max. 100 Sekunden zwischen Abfrage und Eingabe der iTAN, danach andere iTAN

      Client:
      1) Natürlich sichere Passwörter
      2) Grundvernunft (Passwörter nicht in Dateien ablegen, keinem sagen / schicken, regelmäßige OS-Updates, Firewall, nicht mehr Kohle als notwendig auf dem Account lassen, Vorsicht bei Phishing,...)
      3) Je nach Höhe des Limits / der BR zusätzliche Sicherheitsmaßnahmen


      Übrigens, wie kann iTAN in Echtzeit gephisht werden? Imho Blödsinn, aber vllt sehe ich etwas nicht? Einlog-Versuch, schauen, welche iTAN gefragt wird, Seite präparieren, Link dazu dem Opfer schicken? Möglich, aber Phishing funktioniert mit Pokeraccounts doch eh nur bei DAUs - der Vorteil von Bankaccounts (für Phishing) ist doch, dass die Homebanking-Software im Browser aufgerufen wird, ein Login-Dialog eines Pokeranbieters nachzubilden, auf den irgendjemand einfällt, ist imho nicht möglich.
    • tonyhawk49
      tonyhawk49
      Bronze
      Dabei seit: 07.02.2006 Beiträge: 528
      TAN-System ist in meinen Augen am sichersten. Da die Gefahr, dass jemand deinen Internet- und Post-Verkehr überwacht doch sehr gering ist.
    • Vorlop
      Vorlop
      Bronze
      Dabei seit: 05.10.2007 Beiträge: 566
      Original von kampfpizza
      Übrigens, wie kann iTAN in Echtzeit gephisht werden?
      Man-in-the-middle-attack.
    • Habilein
      Habilein
      Bronze
      Dabei seit: 17.08.2007 Beiträge: 84
      Original von kampfpizza

      Übrigens, wie kann iTAN in Echtzeit gephisht werden? Imho Blödsinn, aber vllt sehe ich etwas nicht? Einlog-Versuch, schauen, welche iTAN gefragt wird, Seite präparieren, Link dazu dem Opfer schicken? Möglich, aber Phishing funktioniert mit Pokeraccounts doch eh nur bei DAUs - der Vorteil von Bankaccounts (für Phishing) ist doch, dass die Homebanking-Software im Browser aufgerufen wird, ein Login-Dialog eines Pokeranbieters nachzubilden, auf den irgendjemand einfällt, ist imho nicht möglich.
      Gar nicht so das "große" Problem. Pokersoftware hat da nen ganz nettes Feature. Nennt sich Auto Update. DNS umleiten, und modifizierten Client senden. Und schon ist der Sache Tür und Tor geöffnet. Kannste irgendwelche TAN Nummern in Echtzeit fishen und selber verwenden.

      Natürlich ist das mehr oder weniger aufwendig, aber auch nicht so das Ding. Wollte trotzdem nicht die TAN Geschichte in Frage stellen, aber 100% gibbet es halt nicht.

      Ansonsten hast du natürlich Recht, mit der Liste, die du gepostet hast. Man sollte halt auch erstmal mit seiner eigenen Computer Sicherheit klar kommen...
    • 1
    • 2