Lopoca

erklär bitte nochmal deinen zweiten Absatz genauer...

heißt das, "früher" konnten die Konten dadurch bewusst gesperrt werden, wenn ich z.b. den Username eines Mitgliedes kenne? Hat das was mit dem Capcha-Code zu tun?
Reine VERMUTUNG meinerseits: Es würde erklären, dass das Feature einfach deaktiviert wurde um nicht immer so viele Konten entsperren zu müssen !? !?

Oder ist die Sperrung nach mehrmaliger falschen Passwort-Eingabe immer noch möglich? Irgendwie fatal, man könnte ja die usernamen aus der IQ-gewinnerliste mit diesem Vorgang quasi sperren !? !?  

a) Sperrung des Benutzerkontos nach x falschen Eingaben - kein Captcha nötig.
b) Keine Sperrung bei x Falscheingaben - dafür Captcha

Ein Captcha und eine zusätzliche Sperrung wäre redundant.
Nichts von beidem wäre fahrlässig (brute-force).

Danke 228940539

Bin auf Deinen Bericht gespannt.  

a) Sperrung des Benutzerkontos nach x falschen Eingaben - kein Captcha nötig.   War früher so- Ja fremde Konten konnten so ganz einfach für mehrere Tage gesperrt werden.

b) Keine Sperrung bei x Falscheingaben - dafür Captcha   - Wird im Moment zwar angezeigt, aber nicht geprüft. Ob das Captcha nach mehrmaligen Fehlversuch forciert wird weiß ich (noch) nicht.
 

Auch mit aktivem Captcha war es möglich fremde Konten zu sperren. Es war lediglich zusätzlich notwendig das Captcha einzugeben um eine gültige Login Anfrage zu starten.
Sprich ein Bot konnte so zwar keine Konten sperren, ein Mensch sehr wohl.

 

Grundsätzlich finde ich Captcha Überprüfungen rein sicherheitstechnisch auch nicht wirklich gut! Da es bei vielen doch um relativ viel Geld geht hätte ich mich da schon lange für eine 2FA (2 Faktoren Authentifizierung) eingesetzt wie sie im gesamten Netz immer üblicher wird. Beispielsweise per SMS Code oder Apps ala Authy oder 2FA App von Google.

Selbst wenn man sagt Captcha ist überflüssig, so hätte man es zumindest entfernen können und durch z.B. 2FA ersetzen können.
Der derzeitige Sicherheitsstandard bei Lopoca mit Benutzername+Passwort ist halt wirklich mehr als unzureichend in meinen Augen.  

und genau das ist jetzt nicht mehr möglich?? ein fremdes Konto zu sperren? Wie ist das grundsätzlich bei anderen Web-Seiten bei den Anmeldungen? Frage an die IT-Experten...  

Gibt es auch für`s i-Phone

Mfg  

wo ?
in meinem appstore find ich unter Lopoca nichts.  

War für iPhone nur das Lied, sorry habe mich verschaut.

Mfg  

Hallo

Also das Captcha  wird dazu verwendet das sogenante Bot's/Roboter nicht unbegrenzt versuchen können sich an einem Konto anzumelden. In der Regel muss ein Text oder eine Zahl aus einem Bild manuell abgelesen und eingegeben werden. Die Zeichen sind dabei in verschiedenen Farben, Grössen, Format und übereinander angezeigt. Dadurch kann ein Bot's/Roboter diese nicht, oder nicht so einfach, auslesen.

Dadurch wird dem Angreifer extrem erschwert verschiedene Kombinationen durchzuprobieren. Ansonsten kann eine brute force Attacke gemacht werden. Bei einer brute force Attacke wird einfach immer wieder versucht mit verschiedenen Usernamen und Passwörtern anzumelden bis eines passt.

Dank des Captcha kann verhindert werden, dass solche brute force Attacken gefahren werden und so Accounts z.B. nach dem 5 falschen Versuch gespert werden.

Manuell lässt sich natürlich immer noch eine Sperrung erreichen aber dies ist natürlich viel, viel mühsamer. Dazu braucht es einmal den genauen Username, ich weis nicht ob man dies ggf. innerhalb der Seite ablesen kann was andere User für Namen haben, und muss dann z.B. 5 mal alles falsch eingeben und der User ist gespert.

Interessant wäre nun aus meiner Sicht ob eine Sperrung nach x-Falschen Versuchen erfolgt oder nicht. Sollte dies nicht erfolgen ist dies für mich ein extremes Sicherheitsrisiko und ich würde sofort mein Konto und alles bei denen löschen und vorallem alles Geld wegtransverieren.

Wenn es nach ca. 5 Versuchen gespert wird, dann ist das für mich auch kritisch. Zwar können die Angreiffer dann nicht in die Accounts einsteigen und z.B. Geld überweisen jedoch können z.B. viele User auf einmal gespert werden und somit haben dann nur noch spezielle User Zugriff auf den Nuggetmarkt und können sich ggf. daran bereichern.

Eine solche Anmeldung, Username/Passwart/Captcha ist aus meiner Sicht für ein solches Portal absolut unbrauchbar. Wenn eine Bank für das e-Banking dies verwenden würde, würde wohl keiner mehr dieses e-Banking verwenden und ich denke die Bank würde sich mit einem solch schlechten System sogar strafbar machen.

Mann kann das natürlich auch anders sehen, ist ja nur ein Spiel und die paar 100k Nuggets welche gewisse Personen auf Ihrem Konto haben ist ja nur Spielgeld. Gehört ja fast schon zum Spiel, dass sich da fremde daran bereichern.

Und bevor ich nun gelüncht werde von den Pro's, auch ganz viele andere Seiten zum welche Online-Casionos, Pokern, usw. anbieten vernachlässigen dieses Thema, da ist Lopoca nicht allein was aber den Umstand nicht beschönigt....

Hoffe ich konnte etwas zu dem Thema beitragen.

Grüsse Damian Meier  

und all den anderen welche zu meiner Frage was schreiben. Wirklich sehr informativ und interessant. Soll noch einer sagen in dem Forum lernt man nichts. Ich weiss, ist natürlich nicht für alle gleich spannend wie für mich als Laie. Aber man lernt ja bekanntlich nie aus.
Noch eine Bemerkung meinerseit:
Ist es nicht so, sollte es einem gelingen auf ein Konto zugriff zu erhalten, dass er zwar Nuggets kaufen und verkaufen, Lose erwerben, Sportwetten abschliessen u.s.w. kann, aber Geld kann man doch höchstens auf das eigene Konto des Users überweisen. Also kann man doch dem User und dem Spiel so höchstens schaden aber nicht Geld klauen. Oder liege ich da falsch?  

Hallo Luke

Das was ich jetzt schreibe ist ein wenig wie mit der Kristalkugel aber da ich die Lopoco Seite nur von aussen kenne, also ich habe keinen Acc, muss ich ein wenig raten und spekulieren und kann natürlich sein das nicht alles so stimmt:

1. Ich weis nicht ob das nur so möglich ist, also dass man das Geld nur an ein spezifisches Konto auszahlen kann. Ich kann mir auch nicht vorstellen, dass dies in Steingemeiselt ist. Es kann ja immer mal passieren, dass man sein Auszahlungskonto von Deutschland in die Schweiz oder Zypern verlegt... ;) Kann man das selber machen im Acc? Kann man das über ein internes Ticketsystem an den Support melden und das wird gemacht? usw... Das sind alles Detailfragen welche ich nicht beantworten kann, aber wenn Du einen Acc hast, kannst ja mal schauen was Du für Möglichkeiten hast zu hantieren, diese hätte ein Häcker genau auch.

2. Ja, er kann verkaufen, kaufen, usw.. Ich denke IQ-Lose oder so interessieren den aber nicht. Jetzt stell ich mir aber vor, dass der Häcker auf mehrere Hundert Acc's zugriff hat, Kauft auf einen Rutsch alle Nuggets im Markt auf, ist ja nicht sein Geld und selber stellt seine zu viel höheren Preisen, dann hätten wir ggf. plötzlich die 10 Euro und verkauft dann seine Nuggets zu dem Preis an Dich und anderer und wird dann wohl das Geld aus dem Spiel ziehen. Sobald das bekannt wird, schmiert der Kurs total in den Keller und du hast Nuggets im Wert von 10 Euro gekauft und der Wert ist dann bei 10 Cent. Ggf. gibt's ja in Lopoco Schutzmechanissmen die so was verhindern aber nach dem 6.11. glaub ich eher weniger daran.....

Hoffe dir ein wenig geholfen zu haben und sonst einfach wieder fragen.

Grüsse
Damian



 

Danke Damian für die erneut Intressanten Ausführungen.
Zu den Überweisungen kann ich Dir folgendes sagen, die sind grundsätzlich nur auf Konten von Inhabern möglich, die mit den KYC Dokoumenten übereinstimmen. Diese müssen zwingend für eine Auszahlung vorhanden sein und werden von Lopoca kontrolliert. Zudem muss jede Auszahlung von Lopoca frei gegeben werden. Wird also überprüft.
Somit bin ich der Meinung, ist eine Kontenänderung einfach so nicht möglich - ausser Häcker hätten da noch andere möglichkeiten.
Gruss LL  

Danke für die Erklärungen bezücglich Captcha und Sicherheitscode.

Fand es heute auch mal wieder sehr interessant hier im Forum und lehrreich, und endlich mal keine Beleidigungen!  

@ Lucky Luke - der 1/2 Punkt mit den IQ-Game-Regeln geht an Dich :-) hab diese in den FAQ gefunden - stimmt, sind nicht hochwissenschaftlich....bleibt wie gesagt das Prozedere der Ziehung an sich (wer sagt mir, dass nicht nur aktive Vertriebler bevorzugt werden - meine Paranoia - wahrscheinlich haben deshalb soviele Sponsoren um mich gewonnnen, weil die einfach mehrere Lose kaufen müssen) und die "notarielle Beglaubigung", die wir Ösis ja so gewohnt sind, wenn der Notariatskonzipient (am besten noch die junge Konzipientin) daneben steht und drauf schaut...aber ja, Asche auf mein Haupt: die Regeln sind vorhanden

@ Damian - mit den KYC-Sachen zu spielen sollte sich Lopoca nicht wagen, da ist man in EU sehr spießig - würde ich Lopoca zerstören wollen, würde ich als Behörde mal genauer schauen, welche "Accounts" übertragen wurden, also wo hat der Inhaber mal gewechselt :-) .... diese Daten finden sich bestimmt in den Servern auf Malta oder Zypern, bei einem ausreichenden Verdachtsmoment könnte Interpol versuchen darauf zurückzugreifen....Es ist aber anzunehmen, dass ähnlich wie die Liechtensteiner Behörden (bei Trust, Stiftungen und Konten) auch die Malteser oder Zyprioten sehr unkooperativ in Bezug auf Amtshilfe agieren....  

Ich denke wenn ein Hacker Zugriff haben würde auf ein Konto mit vielen Nuggets würde er wie schon von einem erwähnt den Kurs soweit beeinflussen versuchen, damit er mit seinem eigenen Konto Gewinn macht.
Wäre auch schwer nachweisbar, dass genau User X der durch diese Aktion Y Geld gemacht hat, das war. Da ja alle davon "profitieren" würden und somit ein Täter schwer auffindbar wäre.

Auf sein eigenes Konto auszahlen oder so ist denke ich wirklich auf gar keinen Fall möglich, hier lobe ich als Kritiker sogar Lopoca, weil sie da die Überprüfung meines Wissens wirklich sehr ernst nehmen!!

Ein ganz gemeiner Hacker kann natürlich auch Nuggets verschleudern und einfach alles in ne unmögliche Wette werfen und so dem User das Geld komplett vernichten. Wer aber sowas machen würde gehört ordentlich bestraft!!!! Denn das wäre unterste Schublade.

Aber in meinem Umfeld bzw. ich habe noch nie was von nem Hackangriff auf irgend nen Lopi gehört und ich hoffe es bleibt auch dabei.

Eine Absicherung der Konten mit 2FA würde ich allerdings trotzdem begrüßen.  

drei weise tauben    
 

                                      nicht alles              GLAUBEN!!!  

hi,
weiss wer wie man auf lopoca mit android pokern kann?  

Bitte gern geschehen. Muss aber zugeben habe die Regeln auch zuerst wo anders gesucht. Eigentlich gehörten diese meiner Meinung nach in die Download Area. Aber sei's drum.
Deiner "Paranoia" kann ich insofern entgegen wirken, dass ich Dir versichern kann, ich kenne persönlich sowohl Leute welche schon nach wenigen Wochen Mitgliedschaft gewonnen haben, als auch solche die jetzt definitiv keine aktiven Vertriebler sind. Ich selber bin ein lebendes Beispiel dafür, dass aktive (wenn auch nicht hyperaktiver) Vertriebler nicht bevorzugt werden. Schon so lange dabei und noch nichts direkt  gewonnen:( Aber was nicht ist kann ja noch werden - die Hoffnung stirbt bekanntlich zuletzt.
Wo Du natürlich recht hast, wer mehr Lose hat, hat auch naturgemäss grössere Gewinnchancen.
Das die Sponsoren mehr Lose kaufen müssen, haste auch recht. Ab Stufe Manager 2, ab Stufe International Direktor 4, ab Stufe General Direktor und höher 5 Lose. Natürlich müssen sie nicht Lose kaufen sondern nur für das Qualifikationskriterium Punkte erreichen. Dies wäre auch anders möglich, aber ich denke mal der Loskauf ist der einfachste Weg.

Und zum Schluss:
Finde es echt toll, dass wir es momentan geschafft haben, hier ein anständiges und respektvolles Niveau zu erreichen. Hoffe es geht so weiter. Allen eine gute Nacht.  

Nichts für ungut, aber die KYC-Dokumente bieten doch keine ernsthafte Sicherheit.

Wenn jemand die kriminelle Energie besitzt, um einen Bruteforce-Angriff auf Lopoca-Konten durchzuführen, bringt der das mit einem Freeware-Grafikprogramm auch sehr simpel hin, diese Dokumente zu faken.  

Hackern wäre das "fast" egal - ein paar private Daten könnte man rauslesen, eventuell Konten, wo die Stromrechnung eingezogen wird oder so....

und das wichtigste: wer sollte eine so völlig unterrepräsentierte Lopoca-Seite hacken wollen, knapp über 100.000 User - vermutlich 80% davon inaktiv und 97% davon keine echten Spieler???? ...wird allerdings der "traum" so mancher wahr, und bei Lopoca ist gerade der Beginn von "etwas ganz GROSSEM" (sorry für CAPS LOCK), dann wird es für Hacker interessant :-).....übrigens gibt es gerade ein sehr witziges Video eines großen Sponsors auf FB, der mit dem "ganz großen" wirbt - man muss nur dabei sein, die richtigen Informationen von den richtigen Leuten (...die alle keinen provisionstechnischen Hintergedanken haben - Anm. des Verfassers :-))  erhalten und schon ist die Zukunft gesichert - also für Kritiker des Systems, das Video von Hr. P. G. ist echt ein herzlich Lacher...

 

Kannst du das Video posten?? würde mich interessieren :)

Und ja sicher kann ein Hacker theoretisch die Dokumente auch fälschen. Aber ich denke wenn du zB Dokumente von Max Mustermann hinschickst und dann auf ein Konto von Heinrich Habsburg überweisen willst (wohin kann man eigentlich überall auszahlen?) werden sie nochmal genau drüber schauen.

Scheint als wären die Lopo's abgezogen btw.  

hab gerade das neue wettdesign gesehen. vielleicht bin ich dabei einfach verwöhnt aber ich finde die schriftart, die farben ... einfach hässlich

ist aber natürlich ne sehr subjektive meinung.