2FA

[mumpel23]

Hallo!

Da bin ich. Möge es hier so gut werden wie das alte Forum.

Aber wie wäre es mit der Implementation von 2FA? Damit das Forum etwas sicherer wird.

Gruß, René

[mmk]

Hallo René, sei auch Du herzlich willkommen!

Ob es so (gut) wird, wie das "alte", weiß ich nicht. Es wird auf jeden Fall anders. Vielleicht in den einen Bereichen etwas schlechter, in anderer evtl. besser. Sollte das Forum langfristig "angenommen" werden, auch unter Berücksichtigung geplanter zusätzlicher Informations-Bereiche "drumherum", ist ein späterer Wechsel zu einer anderen, professionelleren Forensoftware, die noch mehr Möglichkeiten bietet, nicht ausgeschlossen.

Und: 2FA hatte ich anfangs auch schon in Überlegung, zumindest für Admin- und Moderatorenaccounts, da diese ja höhere Rechte haben. Sowie ggf. für User, die es auf Wunsch für sich selbst aktivieren können, aber nicht müssen. Dieser Punkt kommt auf jeden Fall auf meine Evaluierungsliste.

[mumpel23]

zumindest für Admin- und Moderatorenaccounts

Das ist schon eine ganz große Hürde für Hacker. Die vereinbarten Secrets sollten aber trotzdem verschlüsselt sein. Aber angeblich gibt es bei phpBB kein 2FA. Bin mal gespannt ob ihr das (trotzdem) hinbekommt.

[The Downloader]

Vielleicht erklärt mir mal jemand was 2FA überhaupt ist?

[mmk]

2-Faktor-Authentifizierung zum Login: Neben dem Passwort wird ein weiterer Legitimierungsfaktor für den Login benötigt, z.B. eine App auf einem Smartphone.

[mumpel23]

Vielleicht erklärt mir mal jemand was 2FA überhaupt ist?

2FA = Zwei-Faktor-Authentisierung. Hast Du sicher schon gehört.

[The Downloader]

2FA = Zwei-Faktor-Authentisierung. Hast Du sicher schon gehört.

Und auch schon oft durchgeführt, aber die Abkürzung war mir nicht geläufig. Danke für die Aufklärung.

[Vista64]

Wenn man statt des Forenpseudonyms einen Benutzernamen eingeben müsste, der nur dazu da ist, sich anzumelden , so wie bei Heise?
Also bspw. melde ich mich nicht mit vista64 xxxxxx an, sondern mit Karl Otto xxxxxx. Im Forum erscheint Vista64, Karl Otto kennt nur die Forensoftware. So muss der Hacker 2 Unbekannte erraten. Mit dem Pseudonym ist nur noch eine Unbekannte erforderlich.
Mit Email ist es auch sicherer, wenn man sie nicht öffentlich macht.

[mumpel23]

Das kann aber alles erraten werden. Mit TOTP ist es noch sicherer.

[roket]

solange die 2FA nicht nur per app sondern z.b. per mail geht hab ich nix dagegen,
ich hasse es ständigmein smarpthone suchen zu müssen weil ich es schlicht wenn ich zu hause bin nicht nutz.

[mumpel23]

solange die 2FA nicht nur per app sondern z.b. per mail geht hab ich nix dagegen,

Dann musst Du aber sicherstellen, dass die Hacker keinen Zugriff auf Dein Emailkonto bekommen.

ich hasse es ständigmein smarpthone suchen zu müssen weil ich es schlicht wenn ich zu hause bin nicht nutz.

So richtig sicher ist 2FA m.E. mit Geräten, mit denen man nicht den Dienst nutzt. Empfehlenswert ist, dass man den TOTP-Code mit einem anderen Gerät erzeugt, nicht mit dem Gerät mit dem man den geschützten Dienst nutzt. Ich nutze einen Generator von Reiner-SCT, diese Geräte funktionieren autark ohne Anbindung ans Internet, und sind somit sicher vor Hackerangriffen. Diese Geräte kann man auch mit PIN schützen (nach 5-maliger Falscheingabe setzt sich das Gerät automatisch zurück) und somit am PC-Arbeitsplatz liegenlassen. Zudem gibt es auch für Windows einen TOTP-Generator (WinOTP).

[Vista64]

Das kann aber alles erraten werden. Mit TOTP ist es noch sicherer.

Wie soll denn ein 14-stelliges PW mit Benutzername erraten werden?
Wenn das im Klartext auf dem Server abgelegt ist schon, aber dann ist ein grundsätzliches Problem vorhanden.
Oder du erklärst mir Step by Step wie der Hacker an die Daten kommen will...

2FA ist m.E. nur dazu da, um die Last auf den Benutzer abzuwälzen. Mit ordentlichen Passwörtern und Benutzernamen, die nicht sichtbar auf dem Server abgelegt werden, ist das IMHO nicht knackbar.
Ordentliche Passwörter kann der Server auch kontrollieren und zu schwache ablehehnen. Habe ich alles schon gesehen.

Ich habe keine Lust, mich mit 2FA herumzuplagen. Reicht schon, wenn die Bank das verlangt.
Und wenn 2FA, dann müssen verschiedene Wege offen sein, wie Reiner SCT Authenticator, USB-Stick per Knopfdruck, aber nichts mit (nur) Handygefummel oder derartiges.

[miezi71]

Ich stimme da Vista zu.

Ich denke hier wäre 2FA overdressed. Ein langes Passwort ist meines Erachtens ausreichen.

[roket]

Zudem gibt es auch für Windows einen TOTP-Generator (WinOTP).

schön was es alles tolles irgendwo irgendwie gibt.

faktum ist die meisten dienste nutzen google authentihicator, oder andere apps für iOS oder android. und damit smartphone gebunden. den sinn dass teil im falle von gogole auth eventuell nocha uf dem pc zu installieren, erschließt sich mir nicht, weil dann kann ich genauso gut mein mail account nutzen.

[mumpel23]

Ein langes Passwort ist meines Erachtens ausreichen.

Das haben die bei CHIP auch mal gedacht, ihr erinnnert euch sicher.

[mumpel23]

Ich habe keine Lust, mich mit 2FA herumzuplagen.

Man muss den Code ja nicht jedes Mal eingeben. Man kann das so einstellen, dass der Code z.B. nur einmal alle 30 Tage abgefragt wird, oder nur bei der ersten Anmeldung je Gerät (oder dann beim Löschen der Cookies).

[Vista64]

Ein langes Passwort ist meines Erachtens ausreichen.

Das haben die bei CHIP auch mal gedacht, ihr erinnnert euch sicher.

Langes Passwort bedeutet nicht zwingend sicheres Passwort. Der Übertragungsweg wäre die einzige Schwachstelle (mitm), wenn der Server das PW als sicher genug betrachtet. Aber bietet nicht jeder Router heute, ein verschlüsselten DNS-Server zu aktivieren?
2FA muss vor allem eins sein: Unkompliziert. Also so ein Stick mit Knopfdruck ließe ich mir noch gefallen. So was kann man auch jedes mal abfragen.
Sowas wie der Reiner SCT Authenticator ist für mich nur die 2. Wahl.

Da ich die Cookies nach jeder Sitzung lösche, wäre die "Erleichterung" alle 30 Tage keine.

[mumpel23]

Wenn die Administratoren und Moderatoren 2FA nutzen ist das schon mal sicher, sofern nicht der Foren-Standard (den kennen auch die Hacker und somit die Schwachstellen) genutzt wird.