sec token

    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      es ist kein verbesserungsvorschlag zu ps.de. also falls es in einem anderen forum besser passt verschiebts bitte dementsprechend.

      mich stört im moment für jede plattform einen extra sec. token angeboten zu bekommen. das ist grad wenn man gezwungen ist die br auf mehrere plattformen + mb oder dergleichen zu splitten ein großer aufwand.

      von daher sollte vllt. an die plattformen herangetragen werden, dass ein token per kooperation mit allen plattformen kompatibel ist. wie das durchgesetzt werden könnte wäre evntl über massenmails (wie schon bei der SSS-geschichte) und andererseits evntl den kontakten die ps.de zu den plattformen pflegt, dass auch hier druck ausgeübt werden könnte....

      also erstmal als frage. ist sowas überhaupt umsetzbar und gibts unterstützung seitens des forums im hinblick auf emails an plattformen?

      bis denne

      maikel
  • 21 Antworten
    • rootsanarchy
      rootsanarchy
      Black
      Dabei seit: 10.01.2008 Beiträge: 6.843
      seh nicht unbedingt die notwendigkeit und hätte wohl auch sicherheitsbedenken wenn titan plötzlich auf die codes/algorithmen von stars/fulltilt-usern zugriff hätte.
    • 72o
      72o
      Bronze
      Dabei seit: 14.03.2008 Beiträge: 4.780
      Imho ist die saubere Trennung besser. Zusätzlich zu den Sicherheitsbedenken wäre auch ziemlich fatal, wenn beim Token mal die Batterie leer wird, bzw. ein Defekt auftritt. Man könnte nirgends mehr einloggen, bis man Ersatz hat und dieser aktiviert wurde.
    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      Original von rootsanarchy
      seh nicht unbedingt die notwendigkeit und hätte wohl auch sicherheitsbedenken wenn titan plötzlich auf die codes/algorithmen von stars/fulltilt-usern zugriff hätte.
      naja algorithmen würden ja nur die genutzt die zum abgleichen des aktuellen passwortes genutzt werden... müssten die nicht eigentlihc recht ähnlich sein? sind doch alles rsa token...


      man könnte ja auch beides anbieten... wenn die rsa token plattformunabhängig wären hätte man ja die wahl ob man die seriennummer des alten nimmt oder sich wieder nen neuen bestellt

      edit: außerdem hat man doch eh nochmal nen passwort davor...

      Original von 72o
      Imho ist die saubere Trennung besser. Zusätzlich zu den Sicherheitsbedenken wäre auch ziemlich fatal, wenn beim Token mal die Batterie leer wird, bzw. ein Defekt auftritt. Man könnte nirgends mehr einloggen, bis man Ersatz hat und dieser aktiviert wurde.
      wegen batterie leer ... man kann sich ja noch eins dahinterschalten. das geht imo.... selbst dann hat man nur 2 von den dingern und nicht so viele
    • carlinchen
      carlinchen
      Bronze
      Dabei seit: 09.06.2008 Beiträge: 2.474
      Original von rootsanarchy
      seh nicht unbedingt die notwendigkeit und hätte wohl auch sicherheitsbedenken wenn titan plötzlich auf die codes/algorithmen von stars/fulltilt-usern zugriff hätte.
      #2 das sagt eigentlich schon alles
    • HockeyTobi
      HockeyTobi
      Bronze
      Dabei seit: 03.12.2005 Beiträge: 23.227
      Kein offzizelles Statement, aber ich bin ehrlich gesagt froh, dass ich für jede Seite einen eigenen Token habe.
      Das erhöhrt die Sicherheit doch sehr und ich glaube kaum, dass die Pokerseiten irgendwelche Infos über diesen "heiligen Gral" austauschen werden und so ihre Integrität gefährden.

      Viele Grüße
      Tobi
    • Hadi
      Hadi
      Bronze
      Dabei seit: 09.08.2009 Beiträge: 12.303
      Hallo zusammen,

      ich denke nicht, dass der Vorschlag aus den genannten Gründen realisierbar ist - ich werde das Ganze gerne an das Management weiterleiten, solltet ihr jedoch nichts Gegenteiliges hören, bleibt es bei meiner Aussage ;)

      Hadi
    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      Original von Hadi
      Hallo zusammen,

      ich denke nicht, dass der Vorschlag aus den genannten Gründen realisierbar ist - ich werde das Ganze gerne an das Management weiterleiten, solltet ihr jedoch nichts Gegenteiliges hören, bleibt es bei meiner Aussage ;)

      Hadi
      Danke ;)
    • IronPumper
      IronPumper
      Coach
      Coach
      Dabei seit: 03.01.2008 Beiträge: 14.875
      saubere Trennung verm. besser - Einlogprozedur muss halt sein.
    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      Original von IronPumper
      saubere Trennung verm. besser - Einlogprozedur muss halt sein.
      naja geht ja nicht um die einlogprozedur die sollte so bleiben wie sie ist und ist auch ok....

      mir gings nur darum nicht für jede plattform ein token zu kaufen... wenn ich seh z.B. bei stars ohne vip-status bezahl ich allein schon 75 $ für eins... fulltilt ist imo noch machbar mit 25$ oder so ... aber wenn ich jetz auf 3-5 plattformen spiel bspw. (kommt man wenn man heads up spielt denk ich recht schnell ran) und dann noch welche braucht für moneybookers oder so ist das schon recht viel an ausgaben...
    • rootsanarchy
      rootsanarchy
      Black
      Dabei seit: 10.01.2008 Beiträge: 6.843
      naja, es geht nunmal um die accountsicherheit. wenn du zu lasten der sicherheit kosten sparen willst, zwingt dich ja niemand, so ein token zu kaufen. kauf dir halt welche für die 2-3 plattformen wo der größte teil deiner roll liegt. aber dass der faktor sicherheit für alle sinken soll, nur damit du kosten sparst, kann ja nicht der weisheit letzter schluss sein. ich nehm an, für auto und wohnung hast du auch verschiedene schlüssel. für den briefkasten nochmal nen andern und für den keller womöglich auch. is eben so.
    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      Original von rootsanarchy
      naja, es geht nunmal um die accountsicherheit. wenn du zu lasten der sicherheit kosten sparen willst, zwingt dich ja niemand, so ein token zu kaufen. kauf dir halt welche für die 2-3 plattformen wo der größte teil deiner roll liegt. aber dass der faktor sicherheit für alle sinken soll, nur damit du kosten sparst, kann ja nicht der weisheit letzter schluss sein. ich nehm an, für auto und wohnung hast du auch verschiedene schlüssel. für den briefkasten nochmal nen andern und für den keller womöglich auch. is eben so.
      meine idee wär ja nen wahlrecht. jeder rsa token hat ne seriennummer mit der du es am anfang beim raum registrierst...

      ob man nun einen schon existierenden nimmt oder nen neuen vom raum bestellt wäre dann immernoch jedem selbst überlassen.

      außerdem weiß ich ehrlich gesagt nicht wie es die sicherheit gefährden sollte. wie gesagt die einzigen die wissen das ich den token benutz ist der pokerraum. der muss erstmal wissen welcher account auf ner anderen plattform zu mir gehört. und dann ist immernoch nen 16 stelliges passwort davor...

      aber ich seh schon es trifft nicht auf viel zustimmung, fand die aktuelle situation enorm ineffizient und habe gedacht, dass es evntl. noch andere so sehen. wenn die nachfrage nicht besteht ist es ja eh kein thema.
    • brontonase
      brontonase
      Bronze
      Dabei seit: 12.08.2006 Beiträge: 16.958
      du musst auch bedenken das nicht jeder ein rsa system benutzt
      es gibt auch noch andere systeme mit token
      ich weis jetzt nicht ob es bei ft und stars beides rsa sind dann würde das gehen aber wenn ein raum ein anderes system hat muss dieser raum erstmal sein ganzes system umbauen und ne menge geld in die hand nhemen
    • OnkelHotte
      OnkelHotte
      Black
      Dabei seit: 16.01.2005 Beiträge: 18.435
      Hi Leute,

      wir werden das Thema an die Partner weitertragen, aber ihr könnt davon ausgehen, dass eine Vereinheitlichung hier utopisch ist. Das liegt einzig allein bei den Pokerräumen und die Realisierbarkeit ist nahezu Null. Sowohl prozessual als auch vom Willen her.

      Cheers,
      Tobias
    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      Alles klar, weiß ich bescheid.

      Dennoch danke für die Mühen.
    • Gluecksfisch
      Gluecksfisch
      Einsteiger
      Dabei seit: 28.05.2009 Beiträge: 3.075
      unglaublich naiv von OP, überhaupt über sowas nachzudenken....

      Die Pokerplattformen, die untereinander in Konkurrenz stehen werden sicherlich umgehend ein neues System entwickeln, welches eine Art Single-Sign-On darstellt damit OP komfortabler auf Konkurrenzseiten hin und her wechseln kann. Klar, warum auch nicht. Gibt ja praktisch gar keine Kosten und Risiken dafür.

      OP, wer bezahlt denn die Softwareentwicklung (die schnell in Millionenhöhe gerät) für das neue System, damit die unterschiedlichen Softwarekomponenten angepasst werden können und zentral bereitgestellt werden (dh die validen Codes der Token)?

      OP, wer bezahlt denn die Lizenzgebühren, den Betrieb der neuen Hard- und Software sowie den Betrieb im Rahmen von Wartung, Installationen, Backup und ähnlichem für diese neue Plattform?

      OP, wer kümmert sich denn um die Security-Dinge wie Zugriffsschutz, Datenschutz und Kontrolle dieser? Können alle Mitarbeiter aller Plattformen dann auf die Daten zugreifen, welche sich hinter dem Security Token verstecken? Dies wären persönliche Daten von Usern.

      Kannst Du mir aus den Welten des Internets auch nur ein Beispiel zeigen, wo so etwas gelebt wird? Vielleicht ein zentrales Login für gmx.de, web.de, hotmail.de, freenet.de oder gmail.de, wo automatisch die Emails zentral angezeigt werden? Auch diese Firmen stehen (teils) in Konkurrenz zueinander und kämpfen um die User, um sie auf ihre Seite zu bekommen.

      Die Telekom ist zB aktuell (bzw in den letzten und kommenden Jahren) dabei die Rechnungen für Mobilfunk, T-Mobile und T-Online zu bündeln und zentral "in einem" an den Kunden weiter zu geben. Ebenso kann man sich (zum Teil zumindest schonmal) einmal in das Telekom-Portal einloggen und hat Zugriff auf seine Daten aus Mobilfunk, Internet und Telefonie und muss nicht über die einzelnen separaten Homepages gehen. Niemals wird dies aber in Gemeinschaft zB mit O2, Vodafone oder E-Plus geschehen weil es einfach dumm wäre (zB den Kunden auf Konkurrenz hinzuweisen).

      Sorry, Deine Idee ist zwar in der Praxis nicht verkehrt, wird aber niemals, niemals und niemals realisiert werden weil es für jede Firma dumm wäre so eine Schnittstelle bereitzustellen. Abgesehen davon das keine Firmen Details über ihre Softwareprogrammierung, Schnittstellen oder anderen internas (Zugriffsschutz) nach aussen geben möchte gibts dazu noch das Thema Security, weil ein offenes Tor nach aussen zur Verfügung gestellt wird.

      Mit ein wenig nachdenken vor dem Posten von Ideen oder Vorschlägen könnten hier easy 80%+ der Posts gesparrt werden, aber so ist das halt auf so einem Portal wie diesem hier.

      ... und für Dich als Lösung:
      Deaktiviere alle Token, installier ein vernünftiges System mit einem guten SSO-System und Dir kann nichts mehr passieren. Ein Login für Windows, danach wird alles durch das Tool (mit verkrypteten Passwörtern, die nicht einmal mehr Dir selbst bekannt sind) gehandelt und ist nahezu angriffssicher - sofern Du kein kostenloses billig-SSO-Tool auswählst. Die Passwörter würden in unregelmässigen Abständen automatisch durch SSO aktualisiert und sind Dir daher spätestens nach dem ersten Wechsel nicht mehr bekannt. Wird in vielen Konzernen eingesetzt, um den Mitarbeitern eine einfachere Arbeitsumgebung zu ermöglichen.
    • Bliss86
      Bliss86
      Bronze
      Dabei seit: 03.08.2006 Beiträge: 5.562
      Man kann es auch übertreiben, OP gehts doch nur darum, dass jeder RSA_Token eine Seriennummer hat und die die Pokeranbieter einem die Möglichkeit geben sollten einen passenden RSA-Token eintragen zu lassen, anstatt einen neuen bestellen zu müssen.

      Da geht es nicht darum, dass empfindliche Nutzerdaten usw. zwischen den Pokerseiten ausgetauscht wird.
    • brontonase
      brontonase
      Bronze
      Dabei seit: 12.08.2006 Beiträge: 16.958
      Original von Bliss86
      Man kann es auch übertreiben, OP gehts doch nur darum, dass jeder RSA_Token eine Seriennummer hat und die die Pokeranbieter einem die Möglichkeit geben sollten einen passenden RSA-Token eintragen zu lassen, anstatt einen neuen bestellen zu müssen.

      Da geht es nicht darum, dass empfindliche Nutzerdaten usw. zwischen den Pokerseiten ausgetauscht wird.
      achso dann kann ich also deinen account easy hacken wenn man da irgendein rsa token eintragen kann.

      das wird wohl nicht gehen da die anbieter definierte tokennummern haben,
      du gibst zwar deine tokennummer nach dem erhalt da ein jedoch muss der server auch deine tokennummer kennen

      also so einfach isses dann doch nicht
    • Mave34
      Mave34
      Global
      Dabei seit: 25.01.2006 Beiträge: 5.948
      wie naiv hier alle glauben, das alle Token von RSA sind.

      FT verwendet z.B. Token von VASCO, damit erübrigt sich schon der Gedanke an eine evtl. Synchronisation.
    • MaikelMF
      MaikelMF
      Bronze
      Dabei seit: 14.02.2009 Beiträge: 1.997
      wie inflationär hier das wort naiv verwendet wird :P

      du hast recht für die anbieter lohnt es nicht. deswegen war ich eigentlich auch nicht auf eine freiwillige aktion der pokeranbieter aus, sondern auf druck von außen....also druck von partnern wie ps.de und massenmails von pokerspielern wie bei der SSS-aktion. so naiv wars in der hinsicht schon nicht.

      desweiteren wage ich zu bezweifeln das die kosten millionenhöhe erreicht (es wird sicherlich kostenintensiv aber nicht so). da schon gewisse funktionsweisen implementiert wurden und grundsätzliche probleme im umgang mit tokens gelöst wurden.

      ich glaub nicht das es notwendig ist das alle pokerplattformen auf alle daten der user zugreifen können. ich weiß nichts über die funktionsweise so eines tokens.. aber nötig wär ja immer nur der abgleich des aktuellen 6-stelligen codes (im RSA - beispiel)

      es gibt natürlich so etwas noch nicht in der praxis (wie dein webmail bsp) weil es keine lobby gibt. die ist aber bei pokerspielern einigermaßen ausgeprägt. freiwillig machen es die anbieter natürlich nicht. es geht halt um eine ineffizienz des systems die nicht durchs system selbst gelöst wird. ebend nur durch regulative eingriffe bzw. bei fehlen einer solchen instanz die es durchsetzen kann durch druck von außen.

      habe wie gesagt nur ausgetestet wie überhaupt das interesse für so etwas ist. aber wie gesagt anscheinend nicht sehr groß

      zu dem "unnötige posts" sparen. das find ich relativ sinnfrei. die welt lebt von ideen die am anfang für andere vllt. sinnfrei erscheinen. und ich fands persönlcih nicht absehbar wie groß das interesse für sone geschichte ist.


      was jedoch "naiv" war ist anzunehmen das überall ein rsa-system genutzt wird. hab nur aus erfahrung drauf geschlossen weil die tokens die ich habe rsa-token sind... sry dafür...
    • 1
    • 2