michi1983
Goto Top

MFA für Login auf administrator.de

Hallo liebe Forums-Betreiber,

ist irgendetwas in der Pipeline was es ermöglichen würde sich auf der Website hier mittels MFA anzumelden?

VG

Content-ID: 7801794400

Url: https://administrator.de/contentid/7801794400

Printed on: November 10, 2024 at 08:11 o'clock

ThePinky777
ThePinky777 Jul 11, 2024 at 10:57:55 (UTC)
Goto Top
was soll das bringen? sprich was genau soll der nutzen davon sein das man sich hier im forum MFA anmelden muss?
welche kritischen informationen möchtest du den schützen?
michi1983
michi1983 Jul 11, 2024 at 11:07:48 (UTC)
Goto Top
welche kritischen informationen möchtest du den schützen?

Kritisch sind die nicht.

Ich nutze nur generell gerne MFA wo immer es möglich ist face-smile
MrHeisenberg
MrHeisenberg Jul 11, 2024 at 11:14:17 (UTC)
Goto Top
Zitat von @ThePinky777:

was soll das bringen? sprich was genau soll der nutzen davon sein das man sich hier im forum MFA anmelden muss?
welche kritischen informationen möchtest du den schützen?

Moin,

MFA wird immer mehr zum Standard, und warum sollte dies nicht auch hier umgesetzt werden, ach ja ist eben "nur" ein Forum...
Nutzen ganz einfach, viele haben hier die private Mailadresse drinnen, div. privaten Austausch mit anderen Usern, da ist mir auch lieber wenn den kein anderer Mitlesen kann... alleine wenn ich oder mir jemand ein Skript sendet....
Frank
Frank Jul 11, 2024 at 11:16:21 (UTC)
Goto Top
Generell bin ich kein Freund von Multi Faktor Authentifizierung (MFA). Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden. Unsere Anmeldung soll so unauffällig und schnell wie möglich funktionieren, da wäre eine MFA genau das Gegenteil.

Was würde für ein MFA bei einem Webseiten-Login sprechen?

Gruß
Frank
Webmaster
michi1983
michi1983 Jul 11, 2024 at 11:42:52 (UTC)
Goto Top
Hi @Frank,

wie gesagt, ich habe die Frage deshalb explizit in die Feature-Wünsche Kategorie gepackt.
Ich - rein persönliche - nutze MFA wo es geht und deshalb die Frage ob etwas in der Pipeline ist.

Zitat von @Frank:
Generell bin ich kein Freund von Multi Faktor Authentifizierung (MFA).
Das hast du hiermit auch geklärt face-smile

Danke und VG
kpunkt
kpunkt Jul 11, 2024 at 11:48:00 (UTC)
Goto Top
Bn da auch ganz bei @Frank
MFA bei Webseiten ist einfach nur nervig. Vor allem, wenn die Übermittlung des zweiten Faktors dann schonmal 15 Minuten dauert.
Sieht anders aus bei Diensten, bei denen auch wirklich schützenswerte Daten mitlaufen.
michi1983
michi1983 Jul 11, 2024 at 11:49:52 (UTC)
Goto Top
MFA bei Webseiten ist einfach nur nervig. Vor allem, wenn die Übermittlung des zweiten Faktors dann schonmal 15 Minuten dauert.

Ist mit passkey in 20 Sekunden erledigt
kpunkt
kpunkt Jul 11, 2024 at 12:01:24 (UTC)
Goto Top
Zitat von @michi1983:

Ist mit passkey in 20 Sekunden erledigt

Wenn denn Passkey auch angeboten wird.
https://www.passkeys.io/who-supports-passkeys
https://passkeys.directory/
Ob die Liste vollständig ist? Keine Ahnung. Aber man sieht da eine Hausnummer wie verbreitet das zur Zeit ist.

Privat habe ich auch nicht immer einen Token dabei. Und ich bin auch froh, dass ich das nicht machen muss. Bin mir jetzt auch nicht sicher, wieviele Passkeys man pro Token haben kann. Man kann aber auch Passkeys in Passwortmanager speichern. Ist halt dann auch wieder so eine Art Gretchenfrage.
IMHO sind wir bei der Geschichte noch ziemlich am Anfang.

Aber wenns angeboten wird, gerne. Kann ja jeder wie er will.
nachgefragt
nachgefragt Jul 11, 2024 at 12:29:35 (UTC)
Goto Top
Zitat von @michi1983:
Ich nutze nur generell gerne MFA wo immer es möglich ist face-smile
Ist immer möglich, multi - pliziere es so oft du möchtest:

Passwortmanager #1
Hinterlege Passwort für Passwortmanager #2

Passwortmanager #2
Hinterlege Passwort für Passwortmanager #3
... ... ...
Passwortmanager #9
Hinterlege Passwort für Passwortmanager #10

Passwortmanager #10
hinterlege Zugangsdaten für administrator.de
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 12:37:16 (UTC)
Goto Top
Zitat von @michi1983:

Hallo liebe Forums-Betreiber,

ist irgendetwas in der Pipeline was es ermöglichen würde sich auf der Website hier mittels MFA anzumelden?

Moin,

Zu welchem Zweck? 2FA ist zwar eine nette Spielerei, aber sowas nur sum Selbstzweck zu machen, ist unötig.

lks
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 12:38:29 (UTC)
Goto Top
Zitat von @michi1983:

Ich nutze nur generell gerne MFA wo immer es möglich ist face-smile

Dann Bau Dir doch einen Proxy, der Dich nochmal extra authentifizieren läßt. security ist nicht, wenn man etwas immer nutzt, sondern nur da, wo es sinnvoll ist.

lks
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 12:42:21 (UTC)
Goto Top
Zitat von @Frank:

Generell bin ich kein Freund von Multi Faktor Authentifizierung (MFA). Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden. Unsere Anmeldung soll so unauffällig und schnell wie möglich funktionieren, da wäre eine MFA genau das Gegenteil.

Was würde für ein MFA bei einem Webseiten-Login sprechen?


Ich wäre auch dagegen, hier beim Anmelden von einen MFA genervt zu werden. Insbesondere weil es überhaupt keinen Sicherheitsgewinn bringt. Gegen welche Angriffe sollte es denn überhaupt nützen? "Hacken" von dem Account? Schutz vor datenleak bei anderen Websites?

Wer hier unterwegs ist, soltle schon so drauf sein,daß er ein vernünftiges Paßwort benutzt und wenn jemand überall das gleiche Paßwort benutzt, ist dem eh nicht zu helfen.

Und wenn hier jemand Unsinn anstellen will, kann er sich einfach einen neuen Account aufmachen, wie man an den Spinner sieht, die heir immer wieder spammen wollen.

lks
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 12:43:18 (UTC)
Goto Top
Zitat von @michi1983:

MFA bei Webseiten ist einfach nur nervig. Vor allem, wenn die Übermittlung des zweiten Faktors dann schon mal 15 Minuten dauert.

Ist mit passkey in 20 Sekunden erledigt

Fast eine halbe Minute warten, bis man angemeldet ist? So ein Murks.

lks
nachgefragt
nachgefragt Jul 11, 2024 at 12:57:06 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:
Gegen welche Angriffe sollte es denn überhaupt nützen?
Du könntest mit meinem Accountnamen böse Beiträge verfassen, dann müsste ich einen neuen Account erstellen: "Lochkartengestanzter". Mein Kennwort ist das gleiche wie in Space Balls, zum Öffnen der Lucke.
michi1983
michi1983 Jul 11, 2024 at 12:57:12 (UTC)
Goto Top
Ich wiederhole mich gerne face-smile Das soll keine Grundsatzdiskussion werden.
Ich habe die Frage explizit in dieser Kategorie gestellt und sie wurde mit der ersten Antwort von @Frank geklärt face-wink
nachgefragt
nachgefragt Jul 11, 2024 at 12:59:53 (UTC)
Goto Top
Zitat von @michi1983:
Ich wiederhole mich gerne face-smile Das soll keine Grundsatzdiskussion werden.
Nicht persönlich nehmen face-wink
Wenn andere ihre Meinung ablassen, einfach auf dich wirken lassen, zur Not über Nacht.
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 13:04:27 (UTC)
Goto Top
Zitat von @nachgefragt:

Zitat von @Lochkartenstanzer:
Gegen welche Angriffe sollte es denn überhaupt nützen?
Du könntest mit meinem Accountnamen böse Beiträge verfassen, dann müsste ich einen neuen Account erstellen: "Lochkartengestanzter". Mein Kennwort ist das gleiche wie in Space Balls, zum Öffnen der Lucke.

Aber nur wenn Du mein Paßwort hast. Und das kannst Du gerantiert nicht erraten (oder errechnen). Außerdem müßtest Du dazu auch die passende Mailadresse haben, was zwar einfacher zu erraten sein könnte, aber nicht für Außenstehende.

Wenn jemand sorgfältig mit seiner Mailadresse und seinem Paßwort umgeht, ist das keine echte Gefahr.

lks
DerWoWusste
DerWoWusste Jul 11, 2024 at 13:06:01 (UTC)
Goto Top
@Frank
Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden.
Da bin ich bei Dir. Jedoch kann dies durchaus kritisch sein. Stell Dir vor, Konten von Leuten wie @colinardo, die hier sehr viel super Code geteilt haben, werden durch einen Kennwortleak plöztlich dritten zugänglich und diese streuen dann Ihren eigenen Code statt @colinardo's Code. Nicht gänzlich an den Haaren herbeigezogen.

Wenn es optional wäre, würde ich nicht meckern, selbst nutzen würde ich es wohl auch nicht.
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 13:07:28 (UTC)
Goto Top
Zitat von @michi1983:

Ich wiederhole mich gerne face-smile Das soll keine Grundsatzdiskussion werden.

Nein, aber sowas bietet immer mal wieder die gelegenheit, über den eigenen Tellerrand zu schauen und auch mal ander Standpunkte kennenzulernen. Manchmal lernt man sogar etwas dazu.

lks
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 updated at 13:15:56 (UTC)
Goto Top
Zitat von @DerWoWusste:

@Frank
Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden.
Da bin ich bei Dir. Jedoch kann dies durchaus kritisch sein. Stell Dir vor, Konten von Leuten wie @colinardo, die hier sehr viel super Code geteilt haben, werden durch einen Kennwortleak plöztlich dritten zugänglich und diese streuen dann Ihren eigenen Code statt @colinardo's Code. Nicht gänzlich an den Haaren herbeigezogen.

Doch, das ist hier an den Haaren grebeigezogen. Wenn es hier einen Kennwortleak gäbe, dan wäre das Kennwort von @colinardo oder jedem anderen hier unerheblich, dann diejenigen die den Code ändern wollen, wären schon an einer ganz anderen stelle drin, wo man den Code viel einfacher manipulieren kann.

Un wenn der Kennwortleak woanders passiert heißt das nur, daß derjenige dessen kennwort hier auch funktioniert Mist gebaut hat. Wenn man also davon ausgeht, daß die Paßwörter von anderen Webseiten auch hier benutz werden könnten, könnte man das Paßwort ganz weglassen und einfach nur den anderen Faktor benutzen, z.B. SMS oder Email an den User.

Wie man es dreht und wendet. Für eine solche Seite wie Administrator.de isrt das overkill ohne echten Sicherheitsgewinn.

Es wäre mal interessant zu sehen, was passiern würde, wenn man die Paßwörter die heir verwendet werden, mal bei den Mailanbietern oder großen shops durchprobieren würde Und überall da, wo die Paßworte funktionieren, die Accoounts hier blockieren. face-smile

Deswegen man nimmt für jede "wichtige" Webseite ein anderes Paßwort als das was man woanders benuzt. Dann braucht man auch keinen weiteren Faktor zur Authentifizierung.

lks
DerWoWusste
DerWoWusste Jul 11, 2024 updated at 13:31:53 (UTC)
Goto Top
Wenn es hier einen Kennwortleak gäbe, dan wäre das Kennwort von @colinardo oder jedem anderen hier unerheblich.
Wenn jemand sein Kennwort hat (und das kann ja durchaus komplex sein, aber er verwendet es eben bei z.B. gmx.de ebenso und bei gmx leakt was und jemand testet hier die gmx-leaks und kommt damit rein), dann wäre ein zweiter Faktor für den Angriff der nötige Stoppstein. Dass nicht jeder der Ansicht ist, für jede Site ein eigenes Kennwort zu erstellen, mag dir unsicher vorkommen, wird aber doch praktiziert.

PS: ich habe gerade Null Bock zu diskutieren face-wink Wollte nur mitteilen, dass ich durchaus Wichtigkeit im Schutz von Forenkonten hier auf adm erkennen kann.
Lochkartenstanzer
Lochkartenstanzer Jul 11, 2024 at 15:32:17 (UTC)
Goto Top
Zitat von @DerWoWusste:

PS: ich habe gerade Null Bock zu diskutieren face-wink Wollte nur mitteilen, dass ich durchaus Wichtigkeit im Schutz von Forenkonten hier auf adm erkennen kann.

Ich bestreite nicht, daß auch die Forenkonten schutzwürdig sind. Allerdings sehe ich da die Schutützürdigkeit nicht hoch genug um den Mehraufwand für Frank und alle Mitglieder hier zu rechtfertigen.

lks