Geschwätz Zwei-Faktor-Authentifizierung und Sicherheitsverbesserungen

[Delazar]

Zwei-Faktor-Authentifizierung und Sicherheitsverbesserungen

Hallo liebe Bürger,

wir werden demnächst auf die Version XenForo 1.5 updaten.
Eine neue Sache ist die "Zwei-Faktor-Authentifizierung".
Den Übersetzungstext könnt ihr unten lesen. Ihr müsst nun entscheiden, ob ich die "Zwei-Faktor-Authentifizierung" aktivieren soll oder nicht.

Im Wesentlichen geht es hierbei um eine Zwei-Faktor-Authentifizierung, die Einzug in die Forumsoftware halten wird. Bei der Zwei-Faktor-Authentifizierung bzw. Zwei-Schritte-Authentifizierung benötigt ihr zwei Parameter, um euch im System einloggen zu können. Im XenForo wird es das Passwort und ein Authifizierungscode sein - sobald man sich mit der richtigen Kombination aus Benutzernamen und Passwort angemeldet hat, greift der zweite Weg und man braucht eine Bestätigung.

Diese neue Authentifizierungsart kann der Benutzer aktivieren, nachdem er sich im Forum angemeldet hat. Den generierten Code erhält mal wahlweise via App oder als E-Mail. Die App (wie Google Authenticator oder Authy) erstellt einen sechstelligen Code, der 30 Sekunden aktiv bleibt und im Forum eingegeben muss. Damit man sich nicht immer neu so anmelden muss, kann man die Zwei-Wege-Authentifizierung für 30 Tage auf dem Endgerät speichern, was aber auch über das Benutzerkontrollzentrum zurückgesetzt werden kann.

Entscheidet man sich für die E-Mail, erhält man einen Code via E-Mail, der nur einmal genutzt werden kann. Laut Angaben der Entwickler ist diese Methode die "Besser-als-Nichts"-Methode, da man so auch einen Code erhalten kann, wenn ein Hacker sich in die E-Mailadresse eines Nutzers gehackt hat.

Weiter ist die Authentifizierung erweiterbar, sodass Entwickler weitere Dienste hinzufügen können. Eine dritte Methode ist der Backup-Code, der genutzt werden kann, wenn gar nichts mehr geht, man also nicht sein Smartphone bei der Hand hat oder auch nicht auf die E-Mailadresse zurückgreifen kann. Der Backup-Code ist automatisch aktiv, wenn die Zwei-Faktor-Authentifizierung aktiviert wird. Wurde dieser Code verwendet, erhält man außerdem eine E-Mailinformation.

Zur weiteren Verbesserung der Sicherheit erhält man jetzt bei Änderungen von Passwörtern und E-Mailadressen eine E-Mail mit einem entsprechenden Hinweis. Im selben Zug wurde auch die Passwort vergessen-Routine überarbeitet: Man bekommt jetzt kein generiertes Passwort mehr, sondern kann dieses direkt selbst über ein Formular neu erstellen.

Bei Fragen stehe ich zu Verfügung.

VG,
Delazar

 

[puck]

Kling sicherer als bisher aber auch nervig. Ich bin also eher abgemeigt.

Bleibt tapfer,

puck

 

[SoulReaper]

Geht mir ähnlich. Mir fallen jetzt auch keine besonders kritischen Daten ein, die den zusätzlichen Aufwand nötig machen. Oder übersehe ich da irgendwas, Delazar?

 

[Delazar]

@SoulReaper
Du übersiehst nichts
Ich werde es Aktivieren, aber nur für das Kontrollzentrum des Adminbereichs.

VG,
Delazar

 

[Screw]

Mail-Account kann gehackt werden, klar ... aber so wie ich das bisher mitbekommen habe ist es mittlerweile sogar fast einfacher ein Smartphone zu kapern.

Ergo sehe ich keine sonderliche Verbesserung der Sicherheit aber ein deutliches Mehr an Aufwand und evtl. sogar Kosten. Bin also dagegen.

cul8r, Screw

 

[Delazar]

@Screw
Was für zusätzliche Kosten?

 

[Screw]

Weiß ich nicht, deshalb habe ich ja "evtl." hinzugefügt, für den Fall, dass uns das Feature etwas kostet ...

 

[Delazar]

Das ist beim Update auf XenForo 1.5 gleich mit dabei

 

[Tufir]

Ich weiß, dass es möglicherweise keinen interessiert, aber mal ehrlich. 2-Faktor Ident mache ich dort, wo ich Kreditkartendaten oder andere sensible persönliche Daten hinterlege. Hier ist das doch vollkommen irrelevant.

Außerdem: Welche Auswirkungen hätte das auf die Funktionalität beim Haken "Angemeldet bleiben"? Keine? Wozu dann in Betrieb nehmen?