Jul 11, 2024, updated at Jul 14, 2024 (UTC)

1177

MFA für Login auf administrator.de

Hallo liebe Forums-Betreiber,

ist irgendetwas in der Pipeline was es ermöglichen würde sich auf der Website hier mittels MFA anzumelden?

VG

Please also mark the comments that contributed to the solution of the article

Content-Key: 7801794400

Url: https://administrator.de/contentid/7801794400

Printed on: July 16, 2024 at 19:07 o'clock

22 Comments

Latest comment

was soll das bringen? sprich was genau soll der nutzen davon sein das man sich hier im forum MFA anmelden muss?
welche kritischen informationen möchtest du den schützen?

welche kritischen informationen möchtest du den schützen?

Kritisch sind die nicht.

Ich nutze nur generell gerne MFA wo immer es möglich ist

Zitat von @ThePinky777:

was soll das bringen? sprich was genau soll der nutzen davon sein das man sich hier im forum MFA anmelden muss?
welche kritischen informationen möchtest du den schützen?

Moin,

MFA wird immer mehr zum Standard, und warum sollte dies nicht auch hier umgesetzt werden, ach ja ist eben "nur" ein Forum...
Nutzen ganz einfach, viele haben hier die private Mailadresse drinnen, div. privaten Austausch mit anderen Usern, da ist mir auch lieber wenn den kein anderer Mitlesen kann... alleine wenn ich oder mir jemand ein Skript sendet....

Generell bin ich kein Freund von Multi Faktor Authentifizierung (MFA). Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden. Unsere Anmeldung soll so unauffällig und schnell wie möglich funktionieren, da wäre eine MFA genau das Gegenteil.

Was würde für ein MFA bei einem Webseiten-Login sprechen?

Gruß
Frank
Webmaster

Hi @Frank,

wie gesagt, ich habe die Frage deshalb explizit in die Feature-Wünsche Kategorie gepackt.
Ich - rein persönliche - nutze MFA wo es geht und deshalb die Frage ob etwas in der Pipeline ist.

Zitat von @Frank:

Generell bin ich kein Freund von Multi Faktor Authentifizierung (MFA).

Das hast du hiermit auch geklärt

Danke und VG

Bn da auch ganz bei @Frank
MFA bei Webseiten ist einfach nur nervig. Vor allem, wenn die Übermittlung des zweiten Faktors dann schonmal 15 Minuten dauert.
Sieht anders aus bei Diensten, bei denen auch wirklich schützenswerte Daten mitlaufen.

MFA bei Webseiten ist einfach nur nervig. Vor allem, wenn die Übermittlung des zweiten Faktors dann schonmal 15 Minuten dauert.

Ist mit passkey in 20 Sekunden erledigt

Zitat von @michi1983:

Ist mit passkey in 20 Sekunden erledigt

Wenn denn Passkey auch angeboten wird.
https://www.passkeys.io/who-supports-passkeys
https://passkeys.directory/
Ob die Liste vollständig ist? Keine Ahnung. Aber man sieht da eine Hausnummer wie verbreitet das zur Zeit ist.

Privat habe ich auch nicht immer einen Token dabei. Und ich bin auch froh, dass ich das nicht machen muss. Bin mir jetzt auch nicht sicher, wieviele Passkeys man pro Token haben kann. Man kann aber auch Passkeys in Passwortmanager speichern. Ist halt dann auch wieder so eine Art Gretchenfrage.
IMHO sind wir bei der Geschichte noch ziemlich am Anfang.

Aber wenns angeboten wird, gerne. Kann ja jeder wie er will.

Zitat von @michi1983:
Ich nutze nur generell gerne MFA wo immer es möglich ist

Ist immer möglich, multi - pliziere es so oft du möchtest:

Passwortmanager #1
Hinterlege Passwort für Passwortmanager #2

Passwortmanager #2
Hinterlege Passwort für Passwortmanager #3
... ... ...
Passwortmanager #9
Hinterlege Passwort für Passwortmanager #10

Passwortmanager #10
hinterlege Zugangsdaten für administrator.de

Zitat von @michi1983:

Hallo liebe Forums-Betreiber,

ist irgendetwas in der Pipeline was es ermöglichen würde sich auf der Website hier mittels MFA anzumelden?

Moin,

Zu welchem Zweck? 2FA ist zwar eine nette Spielerei, aber sowas nur sum Selbstzweck zu machen, ist unötig.

lks

Zitat von @michi1983:

Ich nutze nur generell gerne MFA wo immer es möglich ist

Dann Bau Dir doch einen Proxy, der Dich nochmal extra authentifizieren läßt. security ist nicht, wenn man etwas immer nutzt, sondern nur da, wo es sinnvoll ist.

lks

Zitat von @Frank:

Generell bin ich kein Freund von Multi Faktor Authentifizierung (MFA). Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden. Unsere Anmeldung soll so unauffällig und schnell wie möglich funktionieren, da wäre eine MFA genau das Gegenteil.

Was würde für ein MFA bei einem Webseiten-Login sprechen?

Ich wäre auch dagegen, hier beim Anmelden von einen MFA genervt zu werden. Insbesondere weil es überhaupt keinen Sicherheitsgewinn bringt. Gegen welche Angriffe sollte es denn überhaupt nützen? "Hacken" von dem Account? Schutz vor datenleak bei anderen Websites?

Wer hier unterwegs ist, soltle schon so drauf sein,daß er ein vernünftiges Paßwort benutzt und wenn jemand überall das gleiche Paßwort benutzt, ist dem eh nicht zu helfen.

Und wenn hier jemand Unsinn anstellen will, kann er sich einfach einen neuen Account aufmachen, wie man an den Spinner sieht, die heir immer wieder spammen wollen.

lks

Zitat von @michi1983:

MFA bei Webseiten ist einfach nur nervig. Vor allem, wenn die Übermittlung des zweiten Faktors dann schon mal 15 Minuten dauert.

Ist mit passkey in 20 Sekunden erledigt

Fast eine halbe Minute warten, bis man angemeldet ist? So ein Murks.

lks

Zitat von @Lochkartenstanzer:
Gegen welche Angriffe sollte es denn überhaupt nützen?

Du könntest mit meinem Accountnamen böse Beiträge verfassen, dann müsste ich einen neuen Account erstellen: "Lochkartengestanzter". Mein Kennwort ist das gleiche wie in Space Balls, zum Öffnen der Lucke.

Ich wiederhole mich gerne

Das soll keine Grundsatzdiskussion werden.
Ich habe die Frage explizit in dieser Kategorie gestellt und sie wurde mit der ersten Antwort von @Frank geklärt

Zitat von @michi1983:
Ich wiederhole mich gerne

Das soll keine Grundsatzdiskussion werden.

Nicht persönlich nehmen

Wenn andere ihre Meinung ablassen, einfach auf dich wirken lassen, zur Not über Nacht.

Zitat von @nachgefragt:

Zitat von @Lochkartenstanzer:
Gegen welche Angriffe sollte es denn überhaupt nützen?

Aber nur wenn Du mein Paßwort hast. Und das kannst Du gerantiert nicht erraten (oder errechnen). Außerdem müßtest Du dazu auch die passende Mailadresse haben, was zwar einfacher zu erraten sein könnte, aber nicht für Außenstehende.

Wenn jemand sorgfältig mit seiner Mailadresse und seinem Paßwort umgeht, ist das keine echte Gefahr.

lks

@Frank

Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden.

Da bin ich bei Dir. Jedoch kann dies durchaus kritisch sein. Stell Dir vor, Konten von Leuten wie @colinardo, die hier sehr viel super Code geteilt haben, werden durch einen Kennwortleak plöztlich dritten zugänglich und diese streuen dann Ihren eigenen Code statt @colinardo's Code. Nicht gänzlich an den Haaren herbeigezogen.

Wenn es optional wäre, würde ich nicht meckern, selbst nutzen würde ich es wohl auch nicht.

Zitat von @michi1983:

Ich wiederhole mich gerne

Das soll keine Grundsatzdiskussion werden.

Nein, aber sowas bietet immer mal wieder die gelegenheit, über den eigenen Tellerrand zu schauen und auch mal ander Standpunkte kennenzulernen. Manchmal lernt man sogar etwas dazu.

lks

Zitat von @DerWoWusste:

@Frank

Gerade bei "nicht kritischen" Diensten ist es eher nervig sich per MFA anzumelden.

Doch, das ist hier an den Haaren grebeigezogen. Wenn es hier einen Kennwortleak gäbe, dan wäre das Kennwort von @colinardo oder jedem anderen hier unerheblich, dann diejenigen die den Code ändern wollen, wären schon an einer ganz anderen stelle drin, wo man den Code viel einfacher manipulieren kann.

Un wenn der Kennwortleak woanders passiert heißt das nur, daß derjenige dessen kennwort hier auch funktioniert Mist gebaut hat. Wenn man also davon ausgeht, daß die Paßwörter von anderen Webseiten auch hier benutz werden könnten, könnte man das Paßwort ganz weglassen und einfach nur den anderen Faktor benutzen, z.B. SMS oder Email an den User.

Wie man es dreht und wendet. Für eine solche Seite wie Administrator.de isrt das overkill ohne echten Sicherheitsgewinn.

Es wäre mal interessant zu sehen, was passiern würde, wenn man die Paßwörter die heir verwendet werden, mal bei den Mailanbietern oder großen shops durchprobieren würde Und überall da, wo die Paßworte funktionieren, die Accoounts hier blockieren.

Deswegen man nimmt für jede "wichtige" Webseite ein anderes Paßwort als das was man woanders benuzt. Dann braucht man auch keinen weiteren Faktor zur Authentifizierung.

lks

Wenn es hier einen Kennwortleak gäbe, dan wäre das Kennwort von @colinardo oder jedem anderen hier unerheblich.

Wenn jemand sein Kennwort hat (und das kann ja durchaus komplex sein, aber er verwendet es eben bei z.B. gmx.de ebenso und bei gmx leakt was und jemand testet hier die gmx-leaks und kommt damit rein), dann wäre ein zweiter Faktor für den Angriff der nötige Stoppstein. Dass nicht jeder der Ansicht ist, für jede Site ein eigenes Kennwort zu erstellen, mag dir unsicher vorkommen, wird aber doch praktiziert.

PS: ich habe gerade Null Bock zu diskutieren

Wollte nur mitteilen, dass ich durchaus Wichtigkeit im Schutz von Forenkonten hier auf adm erkennen kann.

Zitat von @DerWoWusste:

PS: ich habe gerade Null Bock zu diskutieren

Wollte nur mitteilen, dass ich durchaus Wichtigkeit im Schutz von Forenkonten hier auf adm erkennen kann.

Ich bestreite nicht, daß auch die Forenkonten schutzwürdig sind. Allerdings sehe ich da die Schutützürdigkeit nicht hoch genug um den Mehraufwand für Frank und alle Mitglieder hier zu rechtfertigen.

lks

German IMHO Feature wishes