Hilfe:Anmeldebenachrichtigungen

Hallo, sind Sie hier, weil Sie eine Benachrichtigung über einen Anmeldeversuch für Ihren Account bekommen haben? Machen Sie sich keine Sorgen! Ihr Account ist immer noch sicher.

Sie haben eine Benachrichtigung bekommen, weil jemand versucht hat, sich unter Ihrem Benutzeramen anzumelden (und das fehlgeschlagen ist). Wenn dieser Anmeldeversuch von einem Gerät oder einem Browser erfolgte, den Sie vorher noch nicht benutzt haben, dann wird nach jedem Fehlversuch eine Benachrichtigung verschickt. Sind Gerät oder Browser bereits bekannt, dann wird die Benachrichtigung nach fünf erfolglosen Anmeldeversuchen ausgelöst.

Wenn Sie diesen Anmeldeversuch unternommen haben, müssen Sie derzeit keine Maßnahmen ergreifen, sollten jedoch stets ein sicheres und einzigartiges Passwort für Ihr Konto verwenden. Wenn Sie glauben, dass Ihr Passwort nicht sicher genug ist, sollten Sie es so schnell wie möglich ändern. Nach einer Studie über offengelegte Zugangsdaten haben fast 17% von 10 Millionen verschiedenen Internet-Nutzerkonten das Passwort „123456“.^[1] Seien Sie keiner von ihnen!

Wenn Sie diesen Anmeldeversuch nicht durchgeführt haben und vermuten, dass jemand anderes versucht hat, auf Ihr Konto zuzugreifen, sollten Sie Ihr Passwort trotzdem ändern, auch wenn Sie ein sicheres Passwort verwenden.

Es kann auch eine gute Idee sein, Ihrem Konto eine E-Mail-Adresse zuzuordnen, falls Sie den Zugriff auf Ihr Konto verlieren und wieder zugreifen möchten. Die Einstellungen zur E-Mail können im Nutzerkonto unter dem ersten Reiter der Einstellungsseite vorgenommen werden. Vielleicht willst du auch nachlesen, wie man Internetkonten vor böswilliger Übernahme schützen kann. Die Tipps dort solltest du im Hinterkopf behalten, wenn du das Netz benutzt.

Die Erweiterung verfolgt bekannte Browser, indem sie ein HTTP-Cookie im Browser platziert. Dieses Cookie läuft automatisch nach 180 Tagen ab. Wenn ein fehlgeschlagener Anmeldeversuch von einem neuen Browser aus erfolgt, wird eine Echo-Benachrichtigung generiert, die den Benutzer über den Anmeldeversuch informiert. Eine weitere Möglichkeit, bekannte Geräte zu identifizieren, besteht darin, das aktuelle IP-Adress-Subnetz mit den kürzlich verwendeten IP-Adressen (die in einem temporären Server-Cache gespeichert sind) zu vergleichen. Keine der Informationen wird in einer Datenbank gespeichert, und zu keinem Zeitpunkt werden private Informationen öffentlich bekannt gegeben, einschließlich der IP-Adresse/des Standorts des Angreifers. The WMF Legal and Security teams have reviewed the implementation for both compliances with our Privacy Policy and security considerations.

Bekannten Geräten/IPs erlauben wir bis zu 5 Loginversuche, bevor der Benutzer benachrichtigt wird, denn es ist einigermaßen normal, sich zu vertippen oder ein Passwort zu vergessen. Nach 5 oder mehr fehlgeschlagenen Versuchen wird eine Meldung erscheinen: „Seit Ihrer letzten Anmeldung gab es 5 fehlgeschlagene Anmeldeversuche bei Ihrem Benutzerkonto. Falls dies nicht Sie waren, stellen Sie bitte sicher, dass Ihr Benutzerkonto ein sicheres Passwort besitzt.“ Nach 10 Versuchen kommt wieder eine Meldung, nach 15 wieder, und so weiter.

Bei unbekannten Geräten/IPs benachrichtigen wir über jeden fehlgeschlagenen Versuch. Die Erweiterung bündelt diese Meldungen, um Benutzer nicht mit zu vielen Nachrichten zu nerven. Zum Beispiel würden 3 Fehlanmeldungen von einem unbekannten Gerät nur eine einzige Nachricht auslösen, welche lautet: “Seit deiner letzten Anmeldung gab es von einem neuen Gerät 3 fehlgeschlagene Anmeldeversuche bei deinem Benutzerkonto. Falls dies nicht du warst, stelle bitte sicher, dass dein Benutzerkonto ein sicheres Passwort besitzt.” Bei weiteren Versuchen würde die Nachricht geändert zu “4 fehlgeschlagene Versuche”, “5 fehlgeschlagene Versuche”, und so weiter.

Benutzer erhalten diese Benachrichtigungen auf zwei Wegen – per Echo-Benachrichtigung im Web oder per Email. Standardmäßig sind beide Varianten für jeden eingeschaltet. Das kann in den Einstellungen unter „Benachrichtigungen“ konfiguriert werden.

Die Erweiterung kann Ihnen eine E-Mail senden, wenn sich ein Benutzer erfolgreich von einem unbekannten Gerät und einer unbekannten IP-Adresse einloggt. Das ist vor allem für Admins oder andere Funktionäre nützlich, die Missbrauch ihrer Berechtigungen befürchten. Diese Benachrichtigung ist standardmäßig eingeschaltet. Beachten Sie jedoch, dass die Benachrichtigung im Web für dieses Feature ausgeschaltet ist. Der Mailtext lautet: „Jemand (vermutlich du selbst) hat sich mit einem neuen Gerät bei deinem Benutzerkonto angemeldet. Falls dies du warst, kannst du diese Nachricht ignorieren. Falls nicht, empfehlen wir dir, dein Passwort zu ändern und die Aktivität deines Benutzerkontos zu prüfen.“. Sie können das in Ihren Einstellungen deaktivieren.

Es gibt einiges an Empfehlungen online, wie man ein starkes Passwort findet. Ein paar grundsätzliche Ratschläge zu Passwörtern:

• "Select strong passwords – eight or more characters long, and containing letters, digits, and punctuation". (Source: Security/Password reset on Meta). Know more about passwords and security.
• "As a rule of thumb, a password that is reasonably long, with a mixture of upper and lowercase letters and numbers, and not mostly made up of dictionary words or names or personal information (date of birth, cat's name, etc.) is likely to be reasonably strong for everyday use. Passwords that consist of just lowercase letters can also be reasonably strong, but they must be significantly longer". (Source: User account security on English Wikipedia).

Two-factor authentication can improve the security of your account. You can enable two-factor authentication using a physical key or authenticator app. See two-factor authentication on Meta-Wiki for further details.