| | Zeit:
30.11.2024 00:03:11 |
Zitat von KleinTheta M. M.: Die Hinterlegung der Mobilnummer reicht nicht. Warum werden da nicht Nägel mit Köpfen gemacht? Wie sollen denn verschiedene Vorkommnisse geahndet werden? Wie sollen andere geschädigte Nutzer mit Informationen über die Täteridentität versorgt werden können? So, wie jetzt oder wie derzeit geplant unmöglich. Es könnte sein, dass nach gängiger Rechtsprechung die Hinterlegung der Mobilnummer ausreicht, damit der Forenbetreiber auf der sicheren Seite ist, weil Juristen das Konzept einer temporären Mobilnummer nicht verstehen. Gegen diese Motivation spricht aber das Versprechen, die Nummer selbst gar nicht zu speichern sondern die nur nach Einwegverschlüsselung zur Überprüfung auf Mehrfachanmeldungen zu verwenden. Das ergibt alles einfach nicht sonderlich viel Sinn ...
|
| Zeit:
30.11.2024 04:03:55 |
Hier wird ja viel gemutmaßt. Aber während ich absolut kein Profi im SBK Bereich bin, so trifft das Gegenteil auf IT und Datenschutz / IT-Security zu. Dazu gehören auch die rechtlichen Aspekte. Fakt ist, eine Handynummer schützt den Anbieter kein bisschen. Im Gegenteil, die Handynummer wird mit wegen Ausnahmen (je nach Kontext) als PII klassifiziert. Das erhöht also das Risiko für die Forenbetreiber. Mit Rechtssicherheit hat das überhaupt nichts zu tun. Zitat: Kurze Info zum Thema Mobilnummer:
Sie wird benutzt, um Mehrfachanmeldungen schwieriger zu machen. Ein leider beliebtes Spiel, hier erst raus zu fliegen und dann wieder mit neuem Account hereinzukommen.
Auf Wunsch wird die Nummer kodiert, sodass sie nicht rückermittelt und nicht genutzt (z.B. für Nachfragen) werden kann. Dies hier ist der Grund - wird ja auch so zugegeben. Desweiteren muss ich Ihnen, Herr Aue, leider mitteilen, dass eine "Kodierung" der Nummer nicht funktioniert. Eine Rückermittelung ist immer möglich, selbst bei Verwendung moderner Hash-Verfahren wie Argon2. Auch eine gehashte Telefonnummer wird regelmäßig als PII klassifiziert. Leider wirft es kein gutes Licht auf die Forenadministration, wenn solche Dinge nicht bekannt sind. Ich rate dringend zu professioneller Beratung durch Experten in diesem Bereich.
|
| Zeit:
30.11.2024 08:19:52 |
Zitat von SayonaraZetsubo Hier wird ja viel gemutmaßt.
Aber während ich absolut kein Profi im SBK Bereich bin, so trifft das Gegenteil auf IT und Datenschutz / IT-Security zu. Dazu gehören auch die rechtlichen Aspekte.
Fakt ist, eine Handynummer schützt den Anbieter kein bisschen. Im Gegenteil, die[...] Ob das bie Ihnen in Juristik zutrifft? ich weis es nicht. Grundlegend ist die Mobilfunknummer nötig für eine 2 Faktor Autentifizierung. Zusätzlich ist über die Mobilfunknummer einer Person ermittelbar, da jede SIM sich auf einen Personlausweis bezieht. (Post IDent ect). Datenschutz heist nicht nur . Ausschluss von fremden Datenabgriff, sondern auch konkretisierung, zu wem diese Daten gehören.
|
| Zeit:
30.11.2024 09:52:53 |
Zitat von Martin24 Zitat von KleinTheta [...] Gegen diese Motivation spricht aber das Versprechen, die Nummer selbst gar nicht zu speichern sondern die nur nach Einwegverschlüsselung zur Überprüfung auf Mehrfachanmeldungen zu verwenden. Das ergibt alles einfach nicht sonderlich viel Sinn ...[...] Naja, das Forum kann ja eine App einführen,die auf Smartphone für die Erstanmeldung installiert wird. Die könnte man auch so für die normale Forumsnutzung verwenden. Hoffen darf man ja 😉
|
| Zeit:
30.11.2024 11:19:11 |
Zitat von chieff Zusätzlich ist über die Mobilfunknummer einer Person ermittelbar, da jede SIM sich auf einen Personlausweis bezieht. (Post IDent ect). So sollte das sein, ist es aber nicht, wie hier schon mehrfach erläutert wurde.
|
| Zeit:
30.11.2024 11:27:45 |
Zitat von SayonaraZetsubo Desweiteren muss ich Ihnen, Herr Aue, leider mitteilen, dass eine "Kodierung" der Nummer nicht funktioniert. Eine Rückermittelung ist immer möglich, selbst bei Verwendung moderner Hash-Verfahren wie Argon2. Auch eine gehashte Telefonnummer wird regelmäßig als PII klassifiziert. Sorry, aber das ist Quatsch. Wenn ich eine Hashfunktion verwende, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge, dann ist das nicht umkehrbar. Oder ganz einfaches Beispiel: Ich lasse einfach eine Ziffer der Telefonnummer weg und verschlüssle diese dann. Dann ist es unmöglich, die komlette Telefonnummer zu rekonstruieren. Trotzdem ist das Verfahren für die Anwendung "Doppelanmeldungen vermeiden" immer noch tauglich. Wenn dann vielleicht pro 100 Mio Anmeldungen einer fälschlich als bereits angemeldet erkannt wird, ist das sicher zu verschmerzen. Argon2 hat eine ganz andere Zielsetzung. Zitat von SayonaraZetsubo Ich rate dringend zu professioneller Beratung durch Experten in diesem Bereich.
Da stimme ich Dir vollumfänglich zu. Grüße Martin
|
| Zeit:
30.11.2024 11:33:03 |
Zitat von chieff Zitat von SayonaraZetsubo [...] Ob das bie Ihnen in Juristik zutrifft? ich weis es nicht. Grundlegend ist die Mobilfunknummer nötig für eine 2 Faktor Autentifizierung. Definitiv nicht. Da gibt es viele andere Verfahren. Kannst du dir beim EU login der EU ansehen. Zitat: Datenschutz heist nicht nur . Ausschluss von fremden Datenabgriff, sondern auch konkretisierung, zu wem diese Daten gehören. Nein, das sind 2 verschiedene Konzepte
|
| Zeit:
30.11.2024 12:31:54 |
Zitat von Martin24 Zitat von SayonaraZetsubo [...] Sorry, aber das ist Quatsch. Wenn ich eine Hashfunktion verwende, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge, dann ist das nicht umkehrbar. Oder ganz einfaches Beispiel: Ich lasse einfach eine Ziffer der Telefonnummer weg und verschlüssle diese dann. Könnte man meinen, ist aber falsch. Bei Passwörtern geht das, denn die Anzahl der Kombinationen ist hoch genug. Bei Telefonnummern nicht. Es dauert nicht lange, jede mögliche Telefonnummer zu hashen und zu testen. Wenn du eine Zahl weglässt, dann muss ich zwar 10 Nummern probieren, aber im Rahmen der dsvgo reicht das in der Regel nicht aus, denn das ist keine große Hürde. Hier sollte wirklich ein unabhängiger Experte konsultiert werden.
|
| Zeit:
30.11.2024 12:55:06 |
Zitat von SayonaraZetsubo Könnte man meinen, ist aber falsch. Bei Passwörtern geht das, denn die Anzahl der Kombinationen ist hoch genug. Bei Telefonnummern nicht. Es dauert nicht lange, jede mögliche Telefonnummer zu hashen und zu testen.
Wenn du eine Zahl weglässt, dann muss ich zwar 10 Nummern probieren, aber im Rahmen der dsvgo reicht das in der Regel nicht aus, denn das ist keine große Hürde.
10 Nummern probieren heißt dann aber 10 Nummern anrufen. Und nicht jeder wird Dir gleich sagen, mit wem Du sprichst. Es heißt nicht etwa 10x irgendwas berechnen. Es ist nicht möglich durch Ausprobieren und Hash neu berechnen die fehlende Ziffer herauszufinden, denn die wurde ja vorher weggelassen. Kannst auch 2 oder mehr Ziffern weglassen. Die Wahrscheinlichkeit, einem Nutzer fälschlich vorzuwerfen, bereits unter derselben Nummer regstriert zu sein, bleibt gering genug. Eine Telefonnummer, bei der 2 oder mehr Ziffern fehlen, ist dagegen wertlos. Ich glaube, Du verrennst Dich gerade, weil Du an andere Anwendungen denkst. Grüße Martin
|
| Zeit:
30.11.2024 13:14:03 |
Ich weiß gar nicht , was an Handynummern so geheim ist ? Meine klebt an hunderten von Thermen und Kesseln. Sie steht auch im Netz , wenn man danach sucht. Das heißt doch nicht , dass ich an Nummern die ich nicht kenne rangehen muss……
|
| Zeit:
30.11.2024 13:50:11 |
Zitat von Bergi Ich weiß gar nicht , was an Handynummern so geheim ist ? Meine klebt an hunderten von Thermen und Kesseln. Sie steht auch im Netz , wenn man danach sucht. Das heißt doch nicht , dass ich an Nummern die ich nicht kenne rangehen muss…… Da spricht das Unverständnis, das andere Leute etwas anders machen als Du ...
|
| Zeit:
30.11.2024 13:59:31 |
Zitat von Bergi IIch weiß gar nicht , was an Handynummern so geheim ist ? na dann gib mir doch mal deine. Es gibt bestimmte Webseiten, wenn ich dort deine Nummer eingebe, kriegst du 50 Anrufe pro Stunde und kannst deine SIM eigentlich nur noch wegwerfen. :-)
|
| Zeit:
30.11.2024 16:11:47 |
Zitat von Martin24 Zitat von SayonaraZetsubo [...] 10 Nummern probieren heißt dann aber 10 Nummern anrufen. Und nicht jeder wird Dir gleich sagen, mit wem Du sprichst. Es heißt nicht etwa 10x irgendwas berechnen. Es ist nicht möglich durch Ausprobieren und Hash neu berechnen die fehlende Ziffer herauszufinden, denn die wurde ja[...] Wir können das abkürzen. Du liegst schlicht falsch. Eine Ziffer (oder mehr) wegzulassen ist von der Administration nicht vorgesehen. Ist also höchstens ein nettes Gedankenexperiment.
|
| Zeit:
30.11.2024 20:32:25 |
Zitat von SayonaraZetsubo Zitat von Martin24 [...] Wir können das abkürzen. Du liegst schlicht falsch. ... sagt jemand, der das Problem offensichtlich gar nicht verstanden hat. Zitat von SayonaraZetsubo Eine Ziffer (oder mehr) wegzulassen ist von der Administration nicht vorgesehen. Ist also höchstens ein nettes Gedankenexperiment.
Das war ein Beispiel zum einfacheren Verständnis. Hat wohl nicht funktioniert. Nochmal allgemein: verwende eine Hashfunktion, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge. Dann ist das nicht umkehrbar, denn Du kannst keine eindeutige Telefonnummer zurückgewinnen. Mit einigem Rechenaufwand kannst Du _mehrere_ mögliche Telefonnummern erhalten. Aber du kannst nicht herausfinden welche davon die ursprüngliche ist. Was nützt Dir das? Grüße Martin
|
| Zeit:
30.11.2024 20:47:16 |
Hi, eine Hash Funktion für 10 stellige Telefonnummern ist sinnlos. Eine Rainbow Tabelle für alle möglichen Nummern ist in kurzer Zeit berechnet.
Gruß
|
| Zeit:
30.11.2024 21:32:10 |
Zitat von lukashen Hi, eine Hash Funktion für 10 stellige Telefonnummern ist sinnlos. Also meine sind 11-Stellig. Und ich kann auch SMS auf meine 5 Festnetznummer schicken. Das heißt, ich kann mich mindestens 7 mal anmelden. Außerdem geht es ja nicht um einen eindeutigen Hash. SMS zur Verhinderung von Mehrfachanmeldung kann man zwar machen, ist aber keine wirklich schwierige Hürde.
|
| Zeit:
30.11.2024 22:14:15 |
Zitat von lukashen eine Hash Funktion für 10 stellige Telefonnummern ist sinnlos. Eine Rainbow Tabelle für alle möglichen Nummern ist in kurzer Zeit berechnet. nicht wenn wenn man den Algo und das Salt nicht kennt. Wie immer: gegen wen bzw. gegen welchen Angriffsvektor will man sich schützen? Will man sich dagegen schützen, dass ein externer Angreifer, der die DB abgreifen konnte, daraus wieder Rufnummern macht? Das kann man mit Algorithmus und Salt verhindern. Will man sich dagegen schützen, dass ein interner Angreifer (der Salt und Alog kennt) die Klarnummern herstellt? Der kann natürlich ruckzuck alle Hashes von allen möglichen Rufnummern erstellen. Aber könnte der nicht sowieso direkt die Klarnummern abgreifen, wenn sie vom Benutzer in das HTML Form eingegeben werden? PS: SMS auf Festnetznummern kann man natürlich ausfiltern. gnika7 kann sich also nicht 7mal anmelden. Löst aber nicht grundsätzlich das Problem, da es genug anonyme SMS-Services mit "echter" Mobilfunknummer gibt.
|
| Zeit:
01.12.2024 02:59:09 |
Zitat von Martin24 Zitat von SayonaraZetsubo [...] Das war ein Beispiel zum einfacheren Verständnis. Hat wohl nicht funktioniert. Nochmal allgemein: verwende eine Hashfunktion, bei der die Elemente der Zielmenge kürzer sind als die der Eingabemenge. Dann ist das nicht umkehrbar, denn Du kannst keine eindeutige Telefonnummer[...] Martin, bleib doch lieber bei deinem Steckpferd. Was sollen solche nutzlosen Beiträge? Erstens ist soetwas nicht vorgesehen. Und zweitens aus gutem Grund, denn es ist völlig unpraktibale eine Ziffer wegzulassen (oder gar mehr) oder andere, ähnliche Reduktionen vorzunehmen. Denn statistisch gesehen schließt du damit auch 90% der Teilnehmer aus (denn von 10 Telefonnummern kann dann nur noch eine verwendet werden). Darüberhinaus wird das vor Gericht mit Sicherheit nicht standhalten. Eine Telefonnummer mit einer fehlenden Ziffer wird in den meisten Situation trotzdem als PII klassifiziert werden. Wie lukashen bereits gesagt hat ist eine Rainbowtable innerhalb kürzester Zeit berechnet. Ja, den Salt braucht man, aber man muss davon ausgehen, dass dieser auch bekannt ist (ansonsten bräuchte man ja gar nicht hashen, wenn sowieso alles sicher ist). Und auch 15-stellige Telefonnummern ändern nichts an der Größenordnung. Naja, soll die Forenadministration machen, was sie möchte. Ich weise nur darauf hin, dass soetwas keine "Rechtssicherheit" irgendeiner Art gewährleistet. Im Gegenteil, Speicherung zusätzlicher Daten (besonders Telefonummern) macht es streng monoton riskanter.
|
| Zeit:
01.12.2024 04:58:48 |
Zitat von gnika7 Zitat von lukashen [...] Also meine sind 11-Stellig. Und ich kann auch SMS auf meine 5 Festnetznummer schicken. Das heißt, ich kann mich mindestens 7 mal anmelden. Außerdem geht es ja nicht um einen eindeutigen Hash. SMS zur Verhinderung von Mehrfachanmeldung kann man zwar machen, ist aber keine[...] Deine Mobilnummer ist ohne Vorwahl 11-stellig? Wenn man eine 40Bit breite Zahl hasht, dann bekommt man 2^40 Hashes. Da nützt es nix, wenn der Hashwert eine 2^256 große Zahl ist.
|
| Zeit:
01.12.2024 09:48:50 |
Zitat von lukashen Zitat von gnika7 [...] Deine Mobilnummer ist ohne Vorwahl 11-stellig? Natürlich mit Vorwahl... Da hier aber Österreicher, Schweizer und auch mal Spanier (etc) unterwegs sind.... Man kann ja auch einen 2³² Hash machen. Man kann das schon mit Hashes machen. Nur helfen die Mobilfunknummer, egal ob gehasht oder nicht, gegen vorsätzliche Mehrfachanmeldung nicht. Daher ist es auch sinnbefreit über den Sinn der Hashes zu diskutieren.
|
| Zeit:
01.12.2024 10:37:18 |
Zitat von gnika7 Nur helfen die Mobilfunknummer, egal ob gehasht oder nicht, gegen vorsätzliche ... schauen wir noch mal, was der Zweck ist: "Thema Mobilnummer: Sie wird benutzt, um Mehrfachanmeldungen schwieriger zu machen." also nicht die Verunmöglichung der Mehrfachanmeldungen, sondern die Erschwerung. Dieses Ziel kann man durchaus mit der Speicherung der Mobilnummer erreichen. Ich schätze, dass die überwiegende Mehrheit eines HTD Forums nicht weiß, wie man so eine Maßnahme unterläuft bzw. ihnen der Aufwand dafür zu groß ist.
|
| Zeit:
01.12.2024 10:41:52 |
Das ist klar. Bin da wohl zu pessimistisch. Ich fürchte, gerade diejenigen, die unerwünscht sind, haben die meiste Energie für so eine Mehrfachanmeldung. Der Aufwand für eine temporäre Onlinenummer ist nicht anders als für eine Mail-Adresse
|
| Zeit:
01.12.2024 11:30:28 |
Zitat von SayonaraZetsubo Martin, bleib doch lieber bei deinem Steckpferd. Was sollen solche nutzlosen Beiträge? Erstens ist soetwas nicht vorgesehen. Und zweitens aus gutem Grund, denn es ist völlig unpraktibale eine Ziffer wegzulassen (oder gar mehr) oder andere, ähnliche Reduktionen vorzunehmen. Denn statistisch gesehen schließt du damit auch 90% der Teilnehmer aus (denn von 10 Telefonnummern kann dann nur noch eine verwendet werden). Falls es Dein "Experten-Stolz" nicht verhindert, geh doch einfach nochmal ein paar Beiträge zurück und versuche, zu verstehen, worum es geht ... BTW: Man schließt nicht 90% der Teilnehmer aus, man schließt die aus, deren Telefonnummer bis auf diese eine Ziffer identisch ist mit der Telefonnummer eines bereits angemeldeten Nutzers. Ist unwahrscheinlich, dass das jemals passiert und wenn doch kann man diesen einen Nutzer problemlos nach Email-Kontakt freischalten.
|
| Zeit:
01.12.2024 12:14:30 |
Ich enthalte mich mal weiterer Kommentare zu diesem Aspekt, damit es hier nicht völlig ausartet.
|
| Zeit:
01.12.2024 12:17:27 |
Kann dieser Kleinkampf eingestellt werden?
Es bleibt zusammen zu fassen, dass HTD sich bezüglich Rechtssicherheit und adäquater Umsetzung beraten lassen sollte. Wie die Realisierung dann aussieht, ist alleinige Entscheidung des Betreibers.
Neuausrichtung bedeutet doch im Kern auch, dass inhaltlich eine Verschiebung von reinen SHK-Themen weg stattfindet. Und da interessiert mich ehr, wie die historische Beitragsdatenbank PLUS zukünftiger neuer Beiträge in erweiterte Themengebiete gruppiert und evtl. auch verschlagwortet wird.
Ich sehe da noch ein paar andere Notwendigkeiten, wie z. B. die Korrektur offensichtlicher Schreibfehler mindestens in Überschriften.
|