Web LoginLog

Hey,

Ich würde gerne mal hören was ihr zu einem Projekt von mir haltet.

Die Idee ist; sämtliche Zugriffe auf Accounts im Web zentral Aufzuzeichnen, und dem User transparent zu präsentieren, um die Aufdeckung von Accountmissbrauch einfacher zu machen.

Zudem wurden, sozusagen als Bonus, noch ein paarSicherheits funktionen implementiert z.b.(alle Zugriffe werden heuristisch Geprüft (Land/Browser/os/host) und markiert (warn) oder verweigert (block).)

Das ganze ist noch weit davon entfernt ausgereift zu sein. Aber da Domains gerade so billig sind, hat das ganze schon ne Website wos noch ein bisschen ausführlicher Beschrieben ist.

Ich bin natürlich auf Leute angewiesen die meine API in ihre Webseiten integrieren, und da würde ich gerne mal wissen was ihr von dem ganzen haltet .

Wie immer ein Danke im Vorraus.
 
Juhu, noch eine Maßnahme hin zum Überwachungsstaat!

Ne ich finde diese Idee total kacke, weil die Mißbrauchsgefahren extrem viel höher sind als der Nutzen.

Falls sie einen Eindringling in ihrem Account bemerken können sie den Account bei der Website sofort aus LoginLog heraus sperren lassen. Ein Mitarbeiter der Website wird sie dann Umgehend kontaktieren.
Klasse, wenn LoginLog Allmächtig über alle meine Accounts ist.

LoginLog schützt automatisch vor dem blinden Ausprobieren von Passwortkombinationen. Nach 5 falschen Passworteingaben wird der Account gepserrt und muss manuell Freigeschaltet werden. Dieses bei Onlinebanking bewährte verfahren erhöht die Accountsicherheit enorm.
Juhu, ich ärgere Markz und throjan indem ich jeweils 5 falsche Passwörter für deren Accounts eingebe und schon ist dieses Board frei von lästigen Admins ;)


Sie wissen das sie ein paar Tage / Wochen ohne Internet sind ? Dann versetzen sie LoginLog in den Urlaubsmodus und alle Zugriffe auf ihre Accounts werden automatisch verhindert.
Ich geh mal davon aus, dass wenn ich mich auf Seite X einloggen möchte, dieser bei LoginLog nachfragt, ob ich im Urlaubsmodus bin oder ob der Acc gesperrt ist, richtig?
Hmm, da ist ja der Mißbrauch vorprogrammiert.
Und was macht die Seite, wenn LoginLog mal ausfällt? Alles blocken?


Naja von so einem zentralem Schnicknack halte ich reichlich wenig.
 
I
Überwachungsstaat sehe ich da nicht.
Loginlog hat ja nicht mehr möglichkeiten Daten aufzuzeichnehn als der Websitenbetreiber selber, eher weniger (nur Logins). Anstatt das die Website nun "heimlich" ein Log anfertigt ist es doch besser dem User die Logs zur verfügung zu stellen. Aus meiner Sicht ändert sich da nichts, außer das der User die Möglichkeit des Einblicks hat bzw überhaupt Nutzen daraus trägt.

Zudem ist LoginLog für den user keine Pflicht, wenn er einen loginLog account besitzt werden seine Daten transparent übertragen, wenn nicht dann bemerkt er von LoginLog nichts. Zudem muss der User alle Websiten authorisieren die Daten übertragen wollen. (so kann man die Pr0nseite aus den logs ausnehmen)

II
Stimmt, Misbrauch beim Brute Force Schutz ist möglich, aber die Option (wie alles) ist Optional. Mag jetzt Blöd klingen, aber: beim Onlinebanking funktionierts ja auch ...


III
Nicht nur um zu Prüfen ob der Urlaubsmoduis aktiv ist, sondern sämtliche Infos werden über den einen Aufruf beim Login geregelt. Anhand dieses Aufrufes wird Live entschieden ob der Zugriff ok ist. Loginlog will kein Accountersatz wie OpenId, sein, sondern ein optionales Aufzeichnen von Accountaktivitäten. Wenn der Server mal ausfällt ? Dann fällt der optionale Service halt einfach weg ... stören tuts keinen.

EDIT:

Es werden nur Informationen über Logins an LoginLog übertragen und Sicherheitsempfehlungen zurückgegeben

Villeicht hilft ja ein blick uin die flüchtig zusammengetippte API Beschreibung weiter. http://www.loginlog.de/pages/api
 
Hallo,
zu I:
Das Gefährliche ist meistens nicht die Erhebung der Daten für den jeweiligen Zweck, sprich für den Login auf der einzelnen Seite, sondern fast immer die Vernetzung und das wiederverwenden[1] von Datenbeständen.
Sprich, wenn jede Seite Login-Logs anlegt, ist dies relativ unproblematisch, wenn aber alle Seiten ihre Logs zusammenführen, ergeben sich daraus wunderbare Nutzerprofile.
Du, bzw. jmd. mit Zugang zu LoginLog-Daten, kann genau analysieren, welche Vorlieben der User X hat, wie oft er welche Seite besucht und was er sonst noch alles macht im Internet.

Zu sagen, dass ja LoginLog keine Pflicht ist, hilft dort auch nicht weiter. Treusysteme/Punktesysteme wie HappyDigit und ähnliches ist ja auch keine Pflicht, dennoch machen es zuviele Personen, die sich nicht bewusst darüber sind, was für Gefahren sie sich dadurch ausetzen.


[1] Risk of Data Reuse


Bei jeder Aktion prüft Loginlog den Anfragenden Computer und versucht ihn zu Identifizieren. Weichen z.B. das Betriebsystem, Heimatland oder der Provider von den vom User eingestellten Werten ab, wird der Zugriff je nach festgelegter Sicherheitsstufe abgewiesen oder der User per eMail informiert.
Würde ich schon ärgerlich finden, wenn mir die Seite X den Zugriff verweigert, nur weil ich diesmal nicht von zuhause aus darauf zugreife sondern z.B. an der Uni mich versuche einzuloggen (anderes OS, anderer Browser etc.)
Und ob jeder User dann weiß, dass es an der Heuristik liegt...

Und ganz neben bei:
User hassen es i.d.R., wenn Sicherheit deren Komfort beeinträchtigt, sowie jeden Mehraufwand für mehr Sicherheit, besonders dann, wenn sie keine große Gefahr erkennen können.
Klar, wenn es um mein Bankkonto geht, bin ich durchaus bereit, eine TAN aus der Liste zu suchen.
Aber bei jedem Post im Habo eine TAN verwenden? Nein, danke!

Ich glaub, dieses Projekt wird auf keinen fruchtbaren Boden fallen, da es dem User immernoch zu umständlich ist ;)
 
Version 2.0

nach langerzeit habe ich das Projekt mal wieder reaktiviert und sämtlichen code neugeschrieben. Die api wurde extrem vereinfacht. Man kann nun beliebig viele Browser provider etc registrieren. Meine aktuelle Zielgruppe liegt momentan in den usa wo ich schon ein paar communities auf meiner Seite habe. Die Website ist Zurzeit noch auf englisch was sich aber ändern wird. Immoment ist die Version noch closed Beta ich freue ich mich immer über Interessenten . Die privacy policy ist noch nicht fertig uebersetzt aber ist sehr restriktiv.

http://www.loginlog.com oder de (Identisch)
bei Interesse bitte in diesen thread Posten.

--
auf Mobilgerät (scheiß tastertur) geschrieben
 
Zurück
Oben