[StefanT]

Derzeit schaue ich immer nach, wer sich registriert hat und wann er das Forum nach der Freischaltung wieder besucht hat.

Ich halte eine manuelle Freischaltung nur in besonderen Fällen für sinnvoll. Wenn sich jemand registriert, dann will meist in direkt irgendwas machen (deswegen hat er sich ja angemeldet) und nicht erst Stunden oder Tage warten. Das entspricht nicht der Erwartung und einige Leute haben nicht die nötige Geduld.

viel interessanter ist da oft die Mailadresse! lieschen.müller971003 @ eigene Domain ist da sicherlich regulärer als lgadykanf96352 @ großer Massenanbieter.com

Das ist richtig, aber auch nur ein Indiz. Ich habe schon echte User mit recht merkwürdigen E-Mail-Adressen gesehen und anders herum. Auch mit meiner Erfahrung kann ich das nicht sicher erkennen.

Wenn jemand ernsthaftes Interesse an meinem Forum hat, dann meldet er sich auch per Mail (ist bereits einige Male geschehen). Im übrigen geht es mir nicht um User sammeln. Ich verdiene ja kein Geld damit. Wichtiger sind mir da schon aktive User. Bislang klappt das ganz gut.

Auch wenn sich ein paar Personen durchaus per E-Mail melden, geben viele auch einfach schnell auf und melden sich nicht einmal bei offensichtlichen (technischen) Problemen. Ich habe es schon oft hier im Forum erlebt, dass sich Leute registrieren, eine Frage stellen und, wenn sich nach 2 Stunden noch keine Antwort bekommen haben, nie wieder kommen.

Spammer legen in der Regel sofort los und kloppen ihren Mist rein; wie gesagt, in 6 Jahren gerade mal 2, wovon ich den zweiten schon geblockt hatte, ehe er seinen Beitrag abschicken konnte.
Der andere war ein "Schläfer". Hat sich registriert, den Account 4 Monate liegen lassen und sich dann als Spammer entpuppt; etwas, was ich in 20 Jahren bisher noch nie erlebt hatte

Meine Erfahrung hat gezeigt, dass es nichts gibt, das es nicht gibt. Viele Spammer fallen direkt mit der Tür (Werbung) ins Haus, andere versuchen durch halbwegs seriöse Beiträge erst einmal nicht aufzufallen und wieder andere sind nach der Registrierung erst einmal inaktiv und kommen später wieder. Ganz aktuell gibt es Bots, die echte Accounts kapern (vermutlich mit Zugangsdaten aus Leaks).

[UweJ]

als Themeneröffner stelle ich nunmehr fest, dass es keine sichere Lösung gibt, verschiedene Möglichkeiten zur Eindämmung vorhanden sind und Erfahrung und Kontrolle hilfreich sein können.

Danke für die vielen Meinungen.

[bv64]

@Stefan ich würde mit meinen konstruierten Mailadressen sicher auch öfter als Bot verfemt werden, wenn die Seiten das prüfen würden
Das mit dem Schläfer war für mich wirklich mal eine neue Erfahrung, normal teilgenommen und sich dann zum Spammer gewandelt hat sich in 20 Jahren noch nie einer!

Ist aber wirklich so, es gibt keine 100%igen Methoden nur Erfahrungswerte und sicher sein kann man sich erst, wenn derjenige seinen Mist ablädt, dass man einen übersehen hat. Löschen, sperren, fertig!
Aber davon geht die Welt auch nicht unter, wozu hat MyBB StopForumSpam an Bord? Das bremst schon sehr viel aus, was gar nicht erst bis zur Registrierung durch kommt.

Also Uwe, Ruhe bewahren und einfach auf dich zukommen lassen, vielleicht kommen ja auch nette Leute mit "seltsamen" IPs und kuriosen Mailadressen und noch seltsameren Usernamen. Man steckt nicht drin.
Als Forum für eine dt. Band haben wir auch Mitglieder aus den USA und Australien, die Welt ist klein in der heutigen Zeit und man weiß nie, was einen für positive Überraschungen erwarten. Bei unserer US-Userin war ich beim Usernamen auch erstmal ziemlich sicher: Spammer

[UweJ]

Also Uwe, Ruhe bewahren und einfach auf dich zukommen lassen, vielleicht kommen ja auch nette Leute mit "seltsamen" IPs und kuriosen Mailadressen und noch seltsameren Usernamen. Man steckt nicht drin.
Als Forum für eine dt. Band haben wir auch Mitglieder aus den USA und Australien, die Welt ist klein in der heutigen Zeit und man weiß nie, was einen für positive Überraschungen erwarten. Bei unserer US-Userin war ich beim Usernamen auch erstmal ziemlich sicher: Spammer

ich bin da absolut relaxt. Mir ging es im wesentlichen um eure Erfahrungen und Sichtweisen.
Da ich mehrfach täglich die Anmeldungen prüfe, haben Spammer schnell ein Schloß davor ;-)
Wer sich registriert hat und innerhalb einiger Tage keine Aktivität entwickelt, fliegt und kann sich ja neu anmelden.

[schauan]

Hallöchen,

wir hatten in den letzten 3 Monaten nach nun schon 9 Jahren Forumsbetrieb erstmalig zwei Fälle, wo vermutlich useraccounts missbraucht wurden. Da bin ich mit meiner Meinung bei Stefan und den Leaks ...

Was tun wir?

Wir sind als Mod- und Admin-Team aktiv, lesen dadurch praktisch ständig die Beiträge und greifen ggf. manuell ein

Wir haben u.a. StopForumSpam usw. aktiv, mit einem relativ niedrigen Schwellwert, allerdings hat der Automatismus dann wohl auch den Nachteil, den einen oder anderen "guten" zu blocken, wenn man das denn an einer scheinbar guten Mailadresse festmachen will.

Daneben lösche ich regelmäßig per Hand User mit 0 Beiträgen, die längere Zeit nicht im Forum waren.
(Änderung der Gruppenzuordnung per SQL im phpAdmin und anschließend Löschen im AdminCP)

Wir sperren die user, die "durchschlüpfen" manuell 

...

Was wünschen wir uns? (möglichst mal irgendwann direkt in mybb)

eine Möglichkeit, user nach einstellbarer Zeit Inaktivität automatisch zu deaktivieren, sodass sie sich neu registrieren müssen

eine Möglichkeit zur zyklischen Aufforderung zur Passworterneuerungen, analog wie z.B. in Firmennetzen
(ggf. mit EMail-Bestätigung wie bei Registrierung)

optionale 2FA - Authentifizierung auch im Forumsbereich

ggf.. beim Löschen von usern optional die Möglichkeit, dass der Username automatisch durch die uid ersetzt wird - mach ich derzeit manuell bei usern, die eine Löschung wünschen - damit über Nickname und Beitragsinhalt dann nicht mehr zu einfach auf die Person geschlossen werden kann

[StefanT]

eine Möglichkeit, user nach einstellbarer Zeit Inaktivität automatisch zu deaktivieren, sodass sie sich neu registrieren müssen

So ein Forum würde ich persönlich meiden. Ich selber nutze manche Foren nur sehr sporadisch und würde mich nach einer Deaktivierung ziemlich sicher nicht neu registrieren.

eine Möglichkeit zur zyklischen Aufforderung zur Passworterneuerungen, analog wie z.B. in Firmennetzen
(ggf. mit EMail-Bestätigung wie bei Registrierung)

Solche Passwort-Regeln sind überholt und werden unter anderem vom BSI und NIST nicht mehr empfohlen. Das hat oft eher den gegenteiligen Effekt, da die Passwörter bei häufigen erzwungenen Wechseln eher schwächer werden.

optionale 2FA - Authentifizierung auch im Forumsbereich

2 Faktor-Authentifizierung ist für viele eher lästig. Bei einem Online-Shop ist das sicher sinnvoll, bei den meisten Foren eher nicht. Gegen Spam hilft das nicht.

ggf.. beim Löschen von usern optional die Möglichkeit, dass der Username automatisch durch die uid ersetzt wird - mach ich derzeit manuell bei usern, die eine Löschung wünschen - damit über Nickname und Beitragsinhalt dann nicht mehr zu einfach auf die Person geschlossen werden kann

Das hilft auch nicht gegen Spam und gar nicht einfach umsetzbar, da der Benutzername auch häufig zitiert wird.

[schauan]

Hallo Stefan,

bei den Zeiten gehe ich nicht von ein paar Tagen aus. Für die beschriebene Löschaktion z.B. nehme ich 2 Jahre. Sind ca. 250 User pro Quartal.
Für so eine Neuregistrierung würde ich ggf. ein Jahr oder 6 Monate nehmen. Im Moment bin ich am Überlegen, die im phpAdmin in eine Gruppe "Pausiert" zu schieben.
Problem hier ist für mich, dass sich User wegen einer Frage vielleicht mit einem Passwort 1a2b3c oder was die Einstellung erlaubt, im Forum anmelden und dann wahrscheinlich nie wieder erscheinen oder sich beim nächsten mal wg. fehlender Erinnerung und Wegwerf-Email sowieso neu registrieren

Das mit den Passwörtern wäre auch eine Alternative zur Neuregistrierung. Wir haben z.B. zwischenzeitlich die Passwortlänge erhöht, das wirkt nun ja nicht auf bisherige Registrierungen.

2FA hilft zumindest gegen korrumpierte Eindringlinge. :-)
Soll zwar nur optional für besonders vorsichtige sein, aber die sind wahrscheinlich so vorsichtig dass sie nicht oder zumindest nicht so einfach geknackt werden können.

Beim Nutzernamen geht es nur um den Namen an sich, der als Beitragsautor angezeigt wird. Es geht nicht um die Nennung von Namen in anderen Beiträgen.

[StefanT]

Das Problem mit schwachen oder mehrfach verwendeten Passwörtern lässt sich technisch kaum lösen. Da es äußerst selten vorkommt, dass fremde in einen Account "einbrechen", würde ich mir da wenig Gedanken machen.