Untätige User sperren, wenn angemeldet, aber über Jahre keine Beiträge?

[pixelrichter]

Wäre es denkbar, Benutzerkonten automatisch zu sperren, wenn sich jemand registriert, anschließend aber über Jahre hinweg keinerlei Aktivität zeigt?
In solchen Fällen könnte man eine erneute Verifizierung verlangen, bevor der Account wieder genutzt werden kann.


Hintergrund: In letzter Zeit wurden offenbar mehrere lange inaktive Accounts kompromittiert und anschließend zum Anbieten von Teilen (u. a. M‑Lenkrad, Hydraulikteile und eine Lenksäule) missbraucht.
Aktuell betroffen scheinen folgende Nutzer zu sein: @Herr_Ing, @buwolf und vermutlich @mike191.

Weitere Infos.

Beitrag im Thema 'Betrug bei Kauf'

Mittwoch um 21:03

Ich bin mal so frei und verlinke hier auf @pixelrichters Beitrag und die nachfolgenden Beiträge:
Beitrag im Thema 'BMW Z4 E85-E86 Elektrische Lenksäule mit Servomotor (2003–2008)' BMW Z4 e85 - BMW Z4 E85-E86 Elektrische Lenksäule mit Servomotor (2003–2008)

-> es gibt auch hier im Forum offenbar vermehrt Betrüger!

-> kauft nicht von Unbekannten (oftmals seit Jahren registrierte Mitglieder ohne Beiträge) gegen Vorkasse (Überweisung oder PayPal Freunde)

-> eine Überweisung lässt sich NICHT später zurückbuchen (Echtzeitüberweisung gar nicht...

• Bumbum

• 

 

[Faaabian]

Die einfachste und zugleich wirkungsvollste Methode, um die User- und Account-Ownership über alle Accounts hinweg, insbesondere bei selten genutzten oder nahezu inaktiven Konten, signifikant zu erhöhen, war und ist der erzwungene periodische Passwortwechsel. (z.B. zweimal/jährlich). Die eingesetzte Forenplattform-Technologie gibt dies ohne Weiteres her und verursacht für die Anwender faktisch keinen zusätzlichen Aufwand.

Die Begründung ist ebenso pragmatisch wie wirksam:
1. Ein verpflichtender Passwortwechsel erzwingt eine regelmäßige Interaktion mit dem Account. Nur ein tatsächlicher Account-Owner ist in der Lage, das bestehende Passwort (seine eMail/Username) zu kennen, den Wechsel durchzuführen und den Zugriff anschließend weiterhin produktiv zu nutzen.
2. Konten ohne klaren Besitzer, verwaiste Accounts oder technisch „mitlaufende“ Zugänge fallen spätestens beim nächsten Wechselzyklus auf, da sie entweder nicht aktualisiert werden oder gezielt verlängert werden müssen.

Gerade bei Low-Usage-Accounts wirkt dieser Mechanismus wie ein natürlicher Filter:

• nicht mehr benötigte Accounts verlieren ihre Zugriffsfähigkeit,
• Verantwortlichkeiten werden sichtbar,
• Ownership wird aktiv bestätigt statt implizit angenommen.
• ... das alles automatisch!

Unabhängig von modernen Authentifizierungsansätzen bleibt der periodische Passwortwechsel damit ein niedrigschwelliger, skalierbarer und organisatorisch (Forum / Plattform, gibt das automatisch her) extrem effektiver Kontrollmechanismus, um Account-Hygiene, Verantwortlichkeit und Sicherheitsbewusstsein nachhaltig zu stärken.

 

[RobbiZ4]

Vielleicht wäre das eine gute Idee, zumindest die IP-Adresse zu prüfen, bevor ich einen Handel eingehe. Im oben genannten Fall kam die aus Latvia, das hätte mir schon zu denken gegeben.

Ich nehme an, daß Du das als Empfehlung für einen Käufer aus "unseren Reihen" formuliert hast und nicht als potentiellen Ablehnung von Neuanmeldungen aus seltenen/ungewöhnlichen Ländern btw. Regionen.

Bei Letzterem wäre dann möglicherweise auch @vova aus der Ukraine gescheitert, der uns über die Jahre interessante Einblicke gegeben hat.

Ansonsten:
Wer international kauft, muß sich selber über Risiken des Totalverlusts Gedanken machen, egal ob durch Zollprüfungen oder Betrug. Das kann ihm kein Admin abnehmen.

 

[RobbiZ4]

... und nicht als potentiellen Ablehnung von Neuanmeldungen aus seltenen/ungewöhnlichen Ländern btw. Regionen.

Ergänzend hierzu lade ich regelmäßig über meine weiteren, internationalen Accounts Leute aus allen Ecken der Welt ein, bzgl. global gleicher Verdeck- und Dachthemen, sich bei ZRoadster zu informieren UND, aufgrund der dann besserer Bildqualität, auch zu registrieren!

Auch in Litauen, Neuseeland, Arabien, Kanada, Thailand u.v.m. gibt es Zettifahrer mit den typischen Altersproblemen und vielfältigen Z4-Interessen. Die mögen mit ungewöhnlichen IP- und Mail-Adressen auftauchen.

 

[dwz8]

Ich nehme an, daß Du das als Empfehlung für einen Käufer aus "unseren Reihen" formuliert hast und nicht als potentiellen Ablehnung von Neuanmeldungen aus seltenen/ungewöhnlichen Ländern btw. Regionen.

korrekt.
Wenn man aber über mehrere Jahre hinweg Anmeldungen aus einer Region bekommen hat, die dann unmittelbar das Spammen anfangen, dann spielt das eine Rolle bei der Ablehnung. Das Gleiche gilt für email-Adressen, die auf Blacklisten stehen.

Ansonsten:
Wer international kauft, muß sich selber über Risiken des Totalverlusts Gedanken machen, egal ob durch Zollprüfungen oder Betrug. Das kann ihm kein Admin abnehmen.

So ist es.

 

[dwz8]

Auch in Litauen, Neuseeland, Arabien, Kanada, Thailand u.v.m. gibt es Zettifahrer mit den typischen Altersproblemen und vielfältigen Z4-Interessen. Die mögen mit ungewöhnlichen IP- und Mail-Adressen auftauchen.

Das sind für mich keine Länder mit erhöhtem Risiko. Allerdings kam der letzte Betrug über Latvia/Lettland zustande, das ist gleich neben Litauen.

 

[Dieterle]

Die einfachste und zugleich wirkungsvollste Methode, um die User- und Account-Ownership über alle Accounts hinweg, insbesondere bei selten genutzten oder nahezu inaktiven Konten, signifikant zu erhöhen, war und ist der erzwungene periodische Passwortwechsel. (z.B. zweimal/jährlich). Die eingesetzte Forenplattform-Technologie gibt dies ohne Weiteres her und verursacht für die Anwender faktisch keinen zusätzlichen Aufwand.

Die Begründung ist ebenso pragmatisch wie wirksam:
1. Ein verpflichtender Passwortwechsel erzwingt eine regelmäßige Interaktion mit dem Account. Nur ein tatsächlicher Account-Owner ist in der Lage, das bestehende Passwort (seine eMail/Username) zu kennen, den Wechsel durchzuführen und den Zugriff anschließend weiterhin produktiv zu nutzen.
2. Konten ohne klaren Besitzer, verwaiste Accounts oder technisch „mitlaufende“ Zugänge fallen spätestens beim nächsten Wechselzyklus auf, da sie entweder nicht aktualisiert werden oder gezielt verlängert werden müssen.

Gerade bei Low-Usage-Accounts wirkt dieser Mechanismus wie ein natürlicher Filter:

• nicht mehr benötigte Accounts verlieren ihre Zugriffsfähigkeit,
• Verantwortlichkeiten werden sichtbar,
• Ownership wird aktiv bestätigt statt implizit angenommen.
• ... das alles automatisch!

Unabhängig von modernen Authentifizierungsansätzen bleibt der periodische Passwortwechsel damit ein niedrigschwelliger, skalierbarer und organisatorisch (Forum / Plattform, gibt das automatisch her) extrem effektiver Kontrollmechanismus, um Account-Hygiene, Verantwortlichkeit und Sicherheitsbewusstsein nachhaltig zu stärken.

@Faaabian klingt überzeugend und machbar, mal sehen was die Betreiber dazu meinen. 2x Passwort Wechsel per anno und ein Wiederaktivierungsvorgang, falls man es wegen Urlaub / Krankheit etc. einmal verschläft, sind jedem user zumutbar und die "stillen Mitleser" würden auch nicht ausgesperrt. Den hierfür nötigen Aufwand auf Adminseite kann am Ende freilich nur Dieter beurteilen.

Auf vielen Plattformen hat sich inzwischen die 2FA durchgesetzt, teilweise auch wo es um Nichtigkeiten geht (chat Plattformen, gaming). Das kann aber lästig werden: Je nach Webzugang den man nutzt, kann das (je nach regelmäßiger Provider Sender Zwangstrennung, bisweilen tägliche) Neuregistrieren bei IP Wechsel aufwändig sein, zumindest für diejenigen, die es allein nicht schaffen, das Zusammenspiel zwischen LTE Sende- / Empfangstation, entsprechendem Router daheim, WLAN und PC so herzustellen, dass der PC immer dieselbe IP bekommt. Teilweise nutzt nicht einmal das, weil der LTE router die IP spätestens dann wechselt, wenn er eine andere Sende- / Empfangsstation anspricht. Die Mehrzahl der (privaten) Websurfer hat keine fixe IP. Eine Zwangs-Neuanmeldung mit 2FA bei IP Veränderung hielte ich daher für überzogen, es sei denn, das würde aus Gründen der Datensicherheit unbedingt als erforderlich angesehen.

 

[pixelrichter]

es sei denn, das würde aus Gründen den Datensicherheit unbedingt als erforderlich angesehen.

Wenn man hier von eigentlich keiner Datensicherheit ausgehen kann, ist die 2FA ein enormer Schritt. Diese 2FA kann der User hier selber einrichten, das habe ich bis dato aber noch gar nicht gekannt. . Daher danke @pixelrichter für diesen Thread

Ich würde die 2FA nur erneuert senden, wenn
- ein Logout durchgeführt wurde
- Cookie manuell gelöscht wurde.
- minimum alle 3 Monate, Startdatum ab 01.02.2026 (einmalig für alle User)
- für jeden, der sich länger diese 3 Monate nicht eingeloggt hatte, nur z.B. gelesen hatte ohne Login
- Zwangseinstellung für neue User

 

[Dieterle]

Ich würde die 2FA nur erneuert senden, wenn

Was spricht denn aus Deiner Sicht gegen die von @Faaabian angeregte Lösung mit dem regelmäßigen Passwortwechsel?

 

[FrEsch84]

Die 2FA läuft hier über nen Cookie. Nicht bei IP Wechsel. Und alle 30Tage muss man den Login erneuern. (Also den MFA Code neu eingeben.)

Wenn man hier von eigentlich keiner Datensicherheit ausgehen kann, ist die 2FA ein enormer Schritt. Diese 2FA kann der User hier selber einrichten, das habe ich bis dato aber noch gar nicht gekannt. . Daher danke @pixelrichter für diesen Thread

Ich würde die 2FA nur erneuert senden, wenn
- ein Logout durchgeführt wurde
- Cookie manuell gelöscht wurde.
- minimum alle 3 Monate, Startdatum ab 01.02.2026 (einmalig für alle User)
- für jeden, der sich länger diese 3 Monate nicht eingeloggt hatte, nur z.B. gelesen hatte ohne Login
- Zwangseinstellung für neue User

 

[pixelrichter]

Und Cookies werden bei mir grundsätzlich beim Browser-Schließen gelöscht. Da dürfte das schnell nervig werden.

Dann erstelle eine Ausnahme fürs Forum

 

[FrEsch84]

Und Cookies werden bei mir grundsätzlich beim Browser-Schließen gelöscht und das bei Parallelnutzung von Handy und Notebook. Da dürfte das schnell nervig werden.

Jo mach ich auch so gegen das Cookie Tracking. Wobei es da heute schon wieder andere Möglichkeiten gibt. Aber für sowas wie fürs Forum hab ich auch Ausnahmeregeln.

 

[pixelrichter]

Was spricht denn aus Deiner Sicht gegen die von @Faaabian angeregte Lösung mit dem regelmäßigen Passwortwechsel?

Ein regelmäßiges wechseln eines Kennworts wird auch negativ bewertet:
- derjenige ist genervt, ändert das Kennwort nur um eine Stelle, dann kann man es sich auch sparen
- das neue Kennwort wird auf einem Schmierblatt notiert
- das neue Kennwort wird vergessen
- die App "Passwortsafe" wird nicht gepflegt bzw. nicht synchronisiert, wenn man zwischen verschiedenen Geräten wechselt

Daher lieber ein komplexes Kennwort, welches nach aktuellen Berechnung 287 Jahre zum Entschlüsseln bräuchte

 

[dwz8]

Nochmals, bevor die Experten hier einen Riesenaufwand für alle User vorschlagen:

Ich versuche einmal, die Risiken eines Hacks abzuschätzen.
Ein direkter Schaden entsteht nur insoweit, dass die email-Adresse abgegriffen werden kann. Ob der Zugriff auf PNs ein echter Schaden ist, kann nur jeder für sich selbst bewerten.
Damit bleibt dann nur der Mißbrauch des Kontos. Die von Dennis genannte Variante, ein Konto wie bei Steam zu verkaufen, gibt es hier nicht. Das einzige Risiko, dass ich hier sehe, ist der Betrug durch Phishing oder Scheinverkäufe. Solche Fälle werden wirklich sehr selten bekannt, und dann sind es zum Teil noch Konten, die eben nicht lange ungenutzt blieben, sondern, die ganz normal mitgepostet haben.
Hab ich was vergessen?

Wo ist die Grundlage für diese Diskussion? Selbst wenn jetzt ein oder zwei Mal ein Konto gehackt worden sein soll, dann stellen die Vorschläge einen beachtlichen Aufwand für alle Beteiligten dar, ohne diese seltenen Fälle eines Betrugsversuchs zu eliminieren. Eingeschränkt würde lediglich die Möglichkeit, über längere Zeit ungenutzte Konten dafür zu benutzen.
Jeder kann aber ein neues Konto anlegen, um dann etwas anzubieten. Oder er wartet ein halbes Jahr, postet hier und da etwas, und macht es dann.
Wer 2FA machen will, kann das bereits heute tun, wenn er das Gefühl hat, sein Konto besonders sichern zu müssen. Dann lebt er aber auch mit dem Aufwand, der damit einhergeht.

 

[bastelbert]

Ich würde da wegen 2 Fällen in zig Jahren nicht anfangen mit schwerer Artillerie. Ist wie im realen Leben. Ein gewisses eigenverantwortliches Handeln sollte man praktizieren und Risiko kann man eh nie ausschließen.

....und das stattfindende vorherige Abchecken der IP sieht ja offenbar schomal recht erfolgreich die Masse der üblichen Spammer aus.

 

[dwz8]

In diesem Zusammenhang verweise ich auch auf die in der Weltliteratur festgehaltenen Erfahrungen...

 

[Burns]

festgehaltenen Erfahrungen...

 

[clemens]

Im M-Forum erhält man nach einem Jahr Inaktivität eine Info per Mail, dass man sich innerhalb von x Tagen im Forum anmelden soll. Ansonsten wird der User gesperrt/gelöscht.

Das M Forum ist aber auch vergleichsweise tod.

 

[darkwood]

Das M Forum ist aber auch vergleichsweise tod.

Daher habe ich auch die Mail bekommen

 

[DennisTheW]

2-Faktor Authentifizierung kann die Forensoftware her.

Ich nutze das seit Anfang an. Alle 30 Tage muss ich mich per Code neu anmelden. Bei Anmeldung von anderem (neuen) Gerät auch.

Danke für den Hinweis! Denke ich für mich mal drüber nach.

[Zwangspasswortwechsel] verursacht für die Anwender faktisch keinen zusätzlichen Aufwand.

Doch, und was für einen. Ständig was Neues ausdenken und es dann wieder in zig Geräte einspeichern

- ein Logout durchgeführt wurde
[...]
- minimum alle 3 Monate, Startdatum ab 01.02.2026 (einmalig für alle User)

Wieso denn beim Logout? Da gibts meist doch eher die Option, Geräten das Vertrauen zu entziehen.

Reicht nicht alle 2, 3 Jahre? Der Account ist dann ja nur noch knackbar, wenn wer auch das Gerät geklaut hat mit dem Cookie oder der Zweifaktorauthentifizierungs-Code-Generation. Mein Wunsch wäre immer: So wenig Aufwand wie möglich, damit möglichst viele mitmachen.

Ansonsten bin ich da bei @dwz8 Ist das wirklich notwendig?

 

[dwz8]

Noch eines zur Löschung:

Wird ein User gelöscht, dann wird auch der Name wieder freigegeben. Auf den Posts des gelöschten Users erscheint dann folgende Kennzeichnung:



Betrachten wir nun die über 25-jährige Geschichte dieses Forums. Da gibt es eine Vielzahl von Usern, die das Forum eine längere Zeit begleitet haben, um dann aus unterschiedlichsten Gründen nicht mehr zu posten.
Wenn diese User gelöscht werden, kann man auch gleich die dann sinnfreie Historie des Forums löschen. Ich würde das nicht wollen.

 

[DennisTheW]

Noch eines zur Löschung:

Wird ein User gelöscht, dann wird auch der Name wieder freigegeben. Auf den Posts des gelöschten Users erscheint dann folgende Kennzeichnung:

Anhang anzeigen 710540

Betrachten wir nun die über 25-jährige Geschichte dieses Forums. Da gibt es eine Vielzahl von Usern, die das Forum eine längere Zeit begleitet haben, um dann aus unterschiedlichsten Gründen nicht mehr zu posten.
Wenn diese User gelöscht werden, kann man auch gleich die dann sinnfreie Historie des Forums löschen. Ich würde das nicht wollen.

Gutes Argument. Also lieber "dauerhaft" sperren statt löschen?

 

[pixelrichter]

Wäre es denkbar, Benutzerkonten automatisch zu sperren, wenn sich jemand registriert, anschließend aber über Jahre hinweg keinerlei Aktivität zeigt?

@dwz8
Von einem löschen habe ich doch nie geschrieben

 

[Tom Ford]

In diesem Zusammenhang verweise ich auch auf die in der Weltliteratur festgehaltenen Erfahrungen...

Anhang anzeigen 710538

Gehört das nicht in den Witze-Fred *duckundweg*

 

[dwz8]

Gehört das nicht in den Witze-Fred *duckundweg*

Nein. Hier soll es den Zweck erfüllen, die Diskussionsteilnehmer mal wieder einzufangen. Hier werden große Änderungen vorgeschlagen, ohne dass ein wirklicher Anlass dafür besteht. Auch nach zweimaliger Nachfrage ist da nichts gekommen.
Natürlich könnten wir hier ein Fort Knox zusammenbasteln, schließlich bin ich selbst Softwareentwickler. Es muss aber auch ein Nutzen dabei entstehen, und den sehe ich in keinem Verhältnis zum Aufwand für alle Beteiligten.

 

[thorzzzten]

Hi,

danke für die guten Hinweiße!
Wir haben nun eine Maßnahme gemacht, die ältere Accounts schützen sollte.

Wie es geschrieben wurde, wollen wir es hier auch nicht aufwändiger als nötig machen.
Wenn man im Internet Sachen von Unbekannten kauft muss man sich schon selbst beschützen.
Das kann man nicht dem Forenbetreiber in die Schuhe schieben.