Ihre Cookie-Einstellungen
Diese Webseite verwendet Cookies. Mit einem Klick auf "Alle akzeptieren" akzeptieren Sie die Verwendung der Cookies. Die Daten, die durch die Cookies entstehen, werden für nicht personalisierte Analysen genutzt. Weitere Informationen finden Sie in den Einstellungen sowie in unseren Datenschutzhinweisen. Sie können die Verwendung von Cookies jederzeit über Ihre anpassen. Ihre Zustimmung können Sie jederzeit mit Wirkung für die Zukunft widerrufen.
Ihre Cookie-Einstellungen
Um Ihnen eine optimale Funktion der Webseite zu bieten, setzen wir Cookies ein. Das sind kleine Textdateien, die auf Ihrem Computer gespeichert werden. Dazu zählen Cookies für den Betrieb und die Optimierung der Seite. Hier können Sie auswählen, welche Cookies Sie zulassen:
Privacy Icon
Erforderliche Cookies
Diese Cookies sind notwendig, damit Sie durch die Seiten navigieren und wesentliche Funktionen nutzen können. Dies umschließt die Reichweitenmessung durch INFOnline (IVW-Prüfung), die für den Betrieb des HaustechnikDialogs unerlässlich ist. Wir benutzen Analysecookies, um die Zahl der individuellen Besucher auf Basis anonymer und pseudonymer Informationen zu ermitteln. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.
Privacy Icon
Optionale analytische Cookies
Diese Cookies helfen uns, das Nutzungsverhalten besser zu verstehen.Sie ermöglichen die Erhebung von Nutzungs- und Erkennungsmöglichkeiten durch Erst- oder Drittanbieter, in so genannten pseudonymen Nutzungsprofilen. Wir benutzen beispielsweise Analysecookies, um die Zahl der individuellen Besucher einer Webseite oder eines Dienstes zu ermitteln oder um andere Statistiken im Hinblick auf den Betrieb unserer Webseite zu erheben, als auch das Nutzerverhalten auf Basis anonymer und pseudonymer Informationen zu analysieren, wie Besucher mit der Webseite interagieren. Ein unmittelbarer Rückschluss auf eine Person ist dabei nicht möglich.
Datenschutzhinweise

Alle
Foren
Neuausrichtung des HaustechnikDialog-Forums: Datenschutz, Struktur und klare Regeln
Verfasser:
Martin24
Zeit: 30.11.2024 00:03:11
1
3779971
Zitat von KleinTheta Beitrag anzeigen
M. M.: Die Hinterlegung der Mobilnummer reicht nicht. Warum werden da nicht Nägel mit Köpfen gemacht? Wie sollen denn verschiedene Vorkommnisse geahndet werden? Wie sollen andere geschädigte Nutzer mit Informationen über die Täteridentität versorgt werden können?
So, wie jetzt oder wie derzeit geplant unmöglich.

Es könnte sein, dass nach gängiger Rechtsprechung die Hinterlegung der Mobilnummer ausreicht, damit der Forenbetreiber auf der sicheren Seite ist, weil Juristen das Konzept einer temporären Mobilnummer nicht verstehen.
Gegen diese Motivation spricht aber das Versprechen, die Nummer selbst gar nicht zu speichern sondern die nur nach Einwegverschlüsselung zur Überprüfung auf Mehrfachanmeldungen zu verwenden.
Das ergibt alles einfach nicht sonderlich viel Sinn ...

Verfasser:
SayonaraZetsubo
Zeit: 30.11.2024 04:03:55
7
3779982
Hier wird ja viel gemutmaßt.

Aber während ich absolut kein Profi im SBK Bereich bin, so trifft das Gegenteil auf IT und Datenschutz / IT-Security zu. Dazu gehören auch die rechtlichen Aspekte.

Fakt ist, eine Handynummer schützt den Anbieter kein bisschen. Im Gegenteil, die Handynummer wird mit wegen Ausnahmen (je nach Kontext) als PII klassifiziert. Das erhöht also das Risiko für die Forenbetreiber. Mit Rechtssicherheit hat das überhaupt nichts zu tun.

Zitat:
Kurze Info zum Thema Mobilnummer:

Sie wird benutzt, um Mehrfachanmeldungen schwieriger zu machen. Ein leider beliebtes Spiel, hier erst raus zu fliegen und dann wieder mit neuem Account hereinzukommen.

Auf Wunsch wird die Nummer kodiert, sodass sie nicht rückermittelt und nicht genutzt (z.B. für Nachfragen) werden kann.

Dies hier ist der Grund - wird ja auch so zugegeben.

Desweiteren muss ich Ihnen, Herr Aue, leider mitteilen, dass eine "Kodierung" der Nummer nicht funktioniert. Eine Rückermittelung ist immer möglich, selbst bei Verwendung moderner Hash-Verfahren wie Argon2. Auch eine gehashte Telefonnummer wird regelmäßig als PII klassifiziert.

Leider wirft es kein gutes Licht auf die Forenadministration, wenn solche Dinge nicht bekannt sind. Ich rate dringend zu professioneller Beratung durch Experten in diesem Bereich.

Verfasser:
chieff
Zeit: 30.11.2024 08:19:52
0
3780012
Zitat von SayonaraZetsubo Beitrag anzeigen
Hier wird ja viel gemutmaßt.

Aber während ich absolut kein Profi im SBK Bereich bin, so trifft das Gegenteil auf IT und Datenschutz / IT-Security zu. Dazu gehören auch die rechtlichen Aspekte.

Fakt ist, eine Handynummer schützt den Anbieter kein bisschen. Im Gegenteil, die[...]


Ob das bie Ihnen in Juristik zutrifft? ich weis es nicht.

Grundlegend ist die Mobilfunknummer nötig für eine 2 Faktor Autentifizierung.
Zusätzlich ist über die Mobilfunknummer einer Person ermittelbar, da jede SIM sich auf einen Personlausweis bezieht. (Post IDent ect).
Datenschutz heist nicht nur . Ausschluss von fremden Datenabgriff, sondern auch konkretisierung, zu wem diese Daten gehören.

Verfasser:
gnika7
Zeit: 30.11.2024 09:52:53
0
3780053
Zitat von Martin24 Beitrag anzeigen
Zitat von KleinTheta Beitrag anzeigen
[...]

Gegen diese Motivation spricht aber das Versprechen, die Nummer selbst gar nicht zu speichern sondern die nur nach Einwegverschlüsselung zur Überprüfung auf Mehrfachanmeldungen zu verwenden.
Das ergibt alles einfach nicht sonderlich viel Sinn ...[...]

Naja, das Forum kann ja eine App einführen,die auf Smartphone für die Erstanmeldung installiert wird. Die könnte man auch so für die normale Forumsnutzung verwenden. Hoffen darf man ja 😉

Verfasser:
Martin24
Zeit: 30.11.2024 11:19:11
1
3780103
Zitat von chieff Beitrag anzeigen
Zusätzlich ist über die Mobilfunknummer einer Person ermittelbar, da jede SIM sich auf einen Personlausweis bezieht. (Post IDent ect).

So sollte das sein, ist es aber nicht, wie hier schon mehrfach erläutert wurde.

Verfasser:
Martin24
Zeit: 30.11.2024 11:27:45
1
3780107
Zitat von SayonaraZetsubo Beitrag anzeigen
Desweiteren muss ich Ihnen, Herr Aue, leider mitteilen, dass eine "Kodierung" der Nummer nicht funktioniert. Eine Rückermittelung ist immer möglich, selbst bei Verwendung moderner Hash-Verfahren wie Argon2. Auch eine gehashte Telefonnummer wird regelmäßig als PII klassifiziert.

Sorry, aber das ist Quatsch. Wenn ich eine Hashfunktion verwende, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge, dann ist das nicht umkehrbar.
Oder ganz einfaches Beispiel: Ich lasse einfach eine Ziffer der Telefonnummer weg und verschlüssle diese dann. Dann ist es unmöglich, die komlette Telefonnummer zu rekonstruieren. Trotzdem ist das Verfahren für die Anwendung "Doppelanmeldungen vermeiden" immer noch tauglich. Wenn dann vielleicht pro 100 Mio Anmeldungen einer fälschlich als bereits angemeldet erkannt wird, ist das sicher zu verschmerzen.
Argon2 hat eine ganz andere Zielsetzung.

Zitat von SayonaraZetsubo Beitrag anzeigen

Ich rate dringend zu professioneller Beratung durch Experten in diesem Bereich.

Da stimme ich Dir vollumfänglich zu.

Grüße
Martin

Verfasser:
MichaelN2
Zeit: 30.11.2024 11:33:03
1
3780109
Zitat von chieff Beitrag anzeigen
Zitat von SayonaraZetsubo Beitrag anzeigen
[...]


Ob das bie Ihnen in Juristik zutrifft? ich weis es nicht.

Grundlegend ist die Mobilfunknummer nötig für eine 2 Faktor Autentifizierung.


Definitiv nicht. Da gibt es viele andere Verfahren. Kannst du dir beim EU login der EU ansehen.

Zitat:
Datenschutz heist nicht nur . Ausschluss von fremden Datenabgriff, sondern auch konkretisierung, zu wem diese Daten gehören.


Nein, das sind 2 verschiedene Konzepte

Verfasser:
SayonaraZetsubo
Zeit: 30.11.2024 12:31:54
0
3780160
Zitat von Martin24 Beitrag anzeigen
Zitat von SayonaraZetsubo Beitrag anzeigen
[...]

Sorry, aber das ist Quatsch. Wenn ich eine Hashfunktion verwende, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge, dann ist das nicht umkehrbar.
Oder ganz einfaches Beispiel: Ich lasse einfach eine Ziffer der Telefonnummer weg und verschlüssle diese dann.


Könnte man meinen, ist aber falsch. Bei Passwörtern geht das, denn die Anzahl der Kombinationen ist hoch genug. Bei Telefonnummern nicht. Es dauert nicht lange, jede mögliche Telefonnummer zu hashen und zu testen.

Wenn du eine Zahl weglässt, dann muss ich zwar 10 Nummern probieren, aber im Rahmen der dsvgo reicht das in der Regel nicht aus, denn das ist keine große Hürde.

Hier sollte wirklich ein unabhängiger Experte konsultiert werden.

Verfasser:
Martin24
Zeit: 30.11.2024 12:55:06
0
3780174
Zitat von SayonaraZetsubo Beitrag anzeigen
Könnte man meinen, ist aber falsch. Bei Passwörtern geht das, denn die Anzahl der Kombinationen ist hoch genug. Bei Telefonnummern nicht. Es dauert nicht lange, jede mögliche Telefonnummer zu hashen und zu testen.

Wenn du eine Zahl weglässt, dann muss ich zwar 10 Nummern probieren, aber im Rahmen der dsvgo reicht das in der Regel nicht aus, denn das ist keine große Hürde.

10 Nummern probieren heißt dann aber 10 Nummern anrufen. Und nicht jeder wird Dir gleich sagen, mit wem Du sprichst.
Es heißt nicht etwa 10x irgendwas berechnen.
Es ist nicht möglich durch Ausprobieren und Hash neu berechnen die fehlende Ziffer herauszufinden, denn die wurde ja vorher weggelassen.

Kannst auch 2 oder mehr Ziffern weglassen. Die Wahrscheinlichkeit, einem Nutzer fälschlich vorzuwerfen, bereits unter derselben Nummer regstriert zu sein, bleibt gering genug.
Eine Telefonnummer, bei der 2 oder mehr Ziffern fehlen, ist dagegen wertlos.

Ich glaube, Du verrennst Dich gerade, weil Du an andere Anwendungen denkst.

Grüße
Martin

Verfasser:
Bergi
Zeit: 30.11.2024 13:14:03
2
3780186
Ich weiß gar nicht , was an Handynummern so geheim ist ?
Meine klebt an hunderten von Thermen und Kesseln.
Sie steht auch im Netz , wenn man danach sucht.
Das heißt doch nicht , dass ich an Nummern die ich nicht kenne rangehen muss……

Verfasser:
Martin24
Zeit: 30.11.2024 13:50:11
1
3780217
Zitat von Bergi Beitrag anzeigen
Ich weiß gar nicht , was an Handynummern so geheim ist ?
Meine klebt an hunderten von Thermen und Kesseln.
Sie steht auch im Netz , wenn man danach sucht.
Das heißt doch nicht , dass ich an Nummern die ich nicht kenne rangehen muss……

Da spricht das Unverständnis, das andere Leute etwas anders machen als Du ...

Verfasser:
berkamti
Zeit: 30.11.2024 13:59:31
4
3780228
Zitat von Bergi Beitrag anzeigen
IIch weiß gar nicht , was an Handynummern so geheim ist ?
na dann gib mir doch mal deine. Es gibt bestimmte Webseiten, wenn ich dort deine Nummer eingebe, kriegst du 50 Anrufe pro Stunde und kannst deine SIM eigentlich nur noch wegwerfen. :-)

Verfasser:
SayonaraZetsubo
Zeit: 30.11.2024 16:11:47
0
3780320
Zitat von Martin24 Beitrag anzeigen
Zitat von SayonaraZetsubo Beitrag anzeigen
[...]

10 Nummern probieren heißt dann aber 10 Nummern anrufen. Und nicht jeder wird Dir gleich sagen, mit wem Du sprichst.
Es heißt nicht etwa 10x irgendwas berechnen.
Es ist nicht möglich durch Ausprobieren und Hash neu berechnen die fehlende Ziffer herauszufinden, denn die wurde ja[...]

Wir können das abkürzen. Du liegst schlicht falsch. Eine Ziffer (oder mehr) wegzulassen ist von der Administration nicht vorgesehen. Ist also höchstens ein nettes Gedankenexperiment.

Verfasser:
Martin24
Zeit: 30.11.2024 20:32:25
0
3780435
Zitat von SayonaraZetsubo Beitrag anzeigen
Zitat von Martin24 Beitrag anzeigen
[...]

Wir können das abkürzen. Du liegst schlicht falsch.

... sagt jemand, der das Problem offensichtlich gar nicht verstanden hat.

Zitat von SayonaraZetsubo Beitrag anzeigen

Eine Ziffer (oder mehr) wegzulassen ist von der Administration nicht vorgesehen. Ist also höchstens ein nettes Gedankenexperiment.

Das war ein Beispiel zum einfacheren Verständnis. Hat wohl nicht funktioniert.
Nochmal allgemein: verwende eine Hashfunktion, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge. Dann ist das nicht umkehrbar, denn Du kannst keine eindeutige Telefonnummer zurückgewinnen. Mit einigem Rechenaufwand kannst Du _mehrere_ mögliche Telefonnummern erhalten. Aber du kannst nicht herausfinden welche davon die ursprüngliche ist. Was nützt Dir das?

Grüße
Martin

Verfasser:
lukashen
Zeit: 30.11.2024 20:47:16
0
3780443
Hi,
eine Hash Funktion für 10 stellige Telefonnummern ist sinnlos. Eine Rainbow Tabelle für alle möglichen Nummern ist in kurzer Zeit berechnet.

Gruß

Verfasser:
gnika7
Zeit: 30.11.2024 21:32:10
0
3780458
Zitat von lukashen Beitrag anzeigen
Hi,
eine Hash Funktion für 10 stellige Telefonnummern ist sinnlos.

Also meine sind 11-Stellig. Und ich kann auch SMS auf meine 5 Festnetznummer schicken. Das heißt, ich kann mich mindestens 7 mal anmelden. Außerdem geht es ja nicht um einen eindeutigen Hash.

SMS zur Verhinderung von Mehrfachanmeldung kann man zwar machen, ist aber keine wirklich schwierige Hürde.

Verfasser:
berkamti
Zeit: 30.11.2024 22:14:15
0
3780475
Zitat von lukashen Beitrag anzeigen
eine Hash Funktion für 10 stellige Telefonnummern ist sinnlos. Eine Rainbow Tabelle für alle möglichen Nummern ist in kurzer Zeit berechnet.
nicht wenn wenn man den Algo und das Salt nicht kennt. Wie immer: gegen wen bzw. gegen welchen Angriffsvektor will man sich schützen?
Will man sich dagegen schützen, dass ein externer Angreifer, der die DB abgreifen konnte, daraus wieder Rufnummern macht? Das kann man mit Algorithmus und Salt verhindern.
Will man sich dagegen schützen, dass ein interner Angreifer (der Salt und Alog kennt) die Klarnummern herstellt? Der kann natürlich ruckzuck alle Hashes von allen möglichen Rufnummern erstellen. Aber könnte der nicht sowieso direkt die Klarnummern abgreifen, wenn sie vom Benutzer in das HTML Form eingegeben werden?

PS: SMS auf Festnetznummern kann man natürlich ausfiltern. gnika7 kann sich also nicht 7mal anmelden. Löst aber nicht grundsätzlich das Problem, da es genug anonyme SMS-Services mit "echter" Mobilfunknummer gibt.

Verfasser:
SayonaraZetsubo
Zeit: 01.12.2024 02:59:09
1
3780544
Zitat von Martin24 Beitrag anzeigen
Zitat von SayonaraZetsubo Beitrag anzeigen
[...]

Das war ein Beispiel zum einfacheren Verständnis. Hat wohl nicht funktioniert.
Nochmal allgemein: verwende eine Hashfunktion, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge. Dann ist das nicht umkehrbar, denn Du kannst keine eindeutige Telefonnummer[...]

Martin, bleib doch lieber bei deinem Steckpferd. Was sollen solche nutzlosen Beiträge? Erstens ist soetwas nicht vorgesehen. Und zweitens aus gutem Grund, denn es ist völlig unpraktibale eine Ziffer wegzulassen (oder gar mehr) oder andere, ähnliche Reduktionen vorzunehmen. Denn statistisch gesehen schließt du damit auch 90% der Teilnehmer aus (denn von 10 Telefonnummern kann dann nur noch eine verwendet werden).

Darüberhinaus wird das vor Gericht mit Sicherheit nicht standhalten. Eine Telefonnummer mit einer fehlenden Ziffer wird in den meisten Situation trotzdem als PII klassifiziert werden.

Wie lukashen bereits gesagt hat ist eine Rainbowtable innerhalb kürzester Zeit berechnet. Ja, den Salt braucht man, aber man muss davon ausgehen, dass dieser auch bekannt ist (ansonsten bräuchte man ja gar nicht hashen, wenn sowieso alles sicher ist). Und auch 15-stellige Telefonnummern ändern nichts an der Größenordnung.

Naja, soll die Forenadministration machen, was sie möchte. Ich weise nur darauf hin, dass soetwas keine "Rechtssicherheit" irgendeiner Art gewährleistet. Im Gegenteil, Speicherung zusätzlicher Daten (besonders Telefonummern) macht es streng monoton riskanter.

Verfasser:
lukashen
Zeit: 01.12.2024 04:58:48
1
3780547
Zitat von gnika7 Beitrag anzeigen
Zitat von lukashen Beitrag anzeigen
[...]

Also meine sind 11-Stellig. Und ich kann auch SMS auf meine 5 Festnetznummer schicken. Das heißt, ich kann mich mindestens 7 mal anmelden. Außerdem geht es ja nicht um einen eindeutigen Hash.

SMS zur Verhinderung von Mehrfachanmeldung kann man zwar machen, ist aber keine[...]


Deine Mobilnummer ist ohne Vorwahl 11-stellig?

Wenn man eine 40Bit breite Zahl hasht, dann bekommt man 2^40 Hashes. Da nützt es nix, wenn der Hashwert eine 2^256 große Zahl ist.

Verfasser:
gnika7
Zeit: 01.12.2024 09:48:50
1
3780595
Zitat von lukashen Beitrag anzeigen
Zitat von gnika7 Beitrag anzeigen
[...]


Deine Mobilnummer ist ohne Vorwahl 11-stellig?


Natürlich mit Vorwahl... Da hier aber Österreicher, Schweizer und auch mal Spanier (etc) unterwegs sind.... Man kann ja auch einen 2³² Hash machen.

Man kann das schon mit Hashes machen. Nur helfen die Mobilfunknummer, egal ob gehasht oder nicht, gegen vorsätzliche Mehrfachanmeldung nicht. Daher ist es auch sinnbefreit über den Sinn der Hashes zu diskutieren.

Verfasser:
berkamti
Zeit: 01.12.2024 10:37:18
1
3780636
Zitat von gnika7 Beitrag anzeigen
Nur helfen die Mobilfunknummer, egal ob gehasht oder nicht, gegen vorsätzliche ...
schauen wir noch mal, was der Zweck ist:
"Thema Mobilnummer: Sie wird benutzt, um Mehrfachanmeldungen schwieriger zu machen."

also nicht die Verunmöglichung der Mehrfachanmeldungen, sondern die Erschwerung.
Dieses Ziel kann man durchaus mit der Speicherung der Mobilnummer erreichen. Ich schätze, dass die überwiegende Mehrheit eines HTD Forums nicht weiß, wie man so eine Maßnahme unterläuft bzw. ihnen der Aufwand dafür zu groß ist.

Verfasser:
gnika7
Zeit: 01.12.2024 10:41:52
2
3780643
Das ist klar. Bin da wohl zu pessimistisch. Ich fürchte, gerade diejenigen, die unerwünscht sind, haben die meiste Energie für so eine Mehrfachanmeldung. Der Aufwand für eine temporäre Onlinenummer ist nicht anders als für eine Mail-Adresse

Verfasser:
Martin24
Zeit: 01.12.2024 11:30:28
1
3780684
Zitat von SayonaraZetsubo Beitrag anzeigen
Martin, bleib doch lieber bei deinem Steckpferd. Was sollen solche nutzlosen Beiträge? Erstens ist soetwas nicht vorgesehen. Und zweitens aus gutem Grund, denn es ist völlig unpraktibale eine Ziffer wegzulassen (oder gar mehr) oder andere, ähnliche Reduktionen vorzunehmen. Denn statistisch gesehen schließt du damit auch 90% der Teilnehmer aus (denn von 10 Telefonnummern kann dann nur noch eine verwendet werden).


Falls es Dein "Experten-Stolz" nicht verhindert, geh doch einfach nochmal ein paar Beiträge zurück und versuche, zu verstehen, worum es geht ...

BTW: Man schließt nicht 90% der Teilnehmer aus, man schließt die aus, deren Telefonnummer bis auf diese eine Ziffer identisch ist mit der Telefonnummer eines bereits angemeldeten Nutzers. Ist unwahrscheinlich, dass das jemals passiert und wenn doch kann man diesen einen Nutzer problemlos nach Email-Kontakt freischalten.

Verfasser:
SayonaraZetsubo
Zeit: 01.12.2024 12:14:30
3
3780730
Ich enthalte mich mal weiterer Kommentare zu diesem Aspekt, damit es hier nicht völlig ausartet.

Verfasser:
KleinTheta
Zeit: 01.12.2024 12:17:27
1
3780733
Kann dieser Kleinkampf eingestellt werden?

Es bleibt zusammen zu fassen, dass HTD sich bezüglich Rechtssicherheit und adäquater Umsetzung beraten lassen sollte. Wie die Realisierung dann aussieht, ist alleinige Entscheidung des Betreibers.

Neuausrichtung bedeutet doch im Kern auch, dass inhaltlich eine Verschiebung von reinen SHK-Themen weg stattfindet. Und da interessiert mich ehr, wie die historische Beitragsdatenbank PLUS zukünftiger neuer Beiträge in erweiterte Themengebiete gruppiert und evtl. auch verschlagwortet wird.

Ich sehe da noch ein paar andere Notwendigkeiten, wie z. B. die Korrektur offensichtlicher Schreibfehler mindestens in Überschriften.

Aktuelle Forenbeiträge
RPSo schrieb: Hallo, ich habe ein Frage an die Heizungsfraktion. Mein Haus,...
And1 schrieb: Moin, Ich bräuchte mal eure Hilfe. Der Verbrauch unserer Wärmepumpe...
ANZEIGE
Hersteller-Anzeigen
Sockelleisten, Heizkörperanschlüsse
und Steigstrangprofile
 
Website-Statistik