2 Faktor Authentifizierung für das Forum

[kpwn]

Hallo,
gibt es die Option??? Wenn ja finde ich sie Irgendwie nicht. Sinnvoll wäre es....

[Sir_Death]

ernsthaft?

2-Faktor interessiert mich nur dort, wo es um mein Geld oder meine privaten Daten geht. Das Forum ist ein öffentlicher Ort, wo sowieso jeder alle Texte lesen kann, die ich hier verbrochen habe.
Gab es hier ein Problem, warum du fragst?

[kpwn]

Gab kein Problem alles gut.
Ich frage weil ich das Forum so ziemlich der einzige Online-Ort ist wo ich es nicht aktiviert habe weil ich es nicht finde .
Sicherheitstechnisch ist es sinnvoll und heutzutage auch nicht kompliziert oder unbequem.

[Finger]

Gibt es hier auch nicht, ich wil so wenig Daten wie möglich von euch sammeln. Mir persönlich wäre das auch viel zu Umständlich.

[Marsupilami72]

2 Faktor Autorisierung hat jetzt nicht wirklich etwas mit Datensammeln zu tun...ich fände es fürs Forum allerdings auch übertrieben.

Wichtig ist eigentlich nur, dass die Forensoftware aktuell ist und keine groben Sicherheitslücken hat.

P.S.: es gibt für phpBB ein entsprechendes Plugin, dort kann man 2FA auch als optional für die Nutzer anbieten - man kann es also nutzen, muss es aber nicht. Vielleicht wäre das ja was.

[duese]

Und wie sollte der 2. Faktor dann aussehen? Ist dann auch immer mit signifikant Aufwand und/oder Kosten verbunden.

Und wofür? Wenn jemand den Account knackt und Blödsinn macht, ist das auch schnell wieder repariert. Der Draht zur Administration ist ja kurz und einfach. Ist ja kein Dienstleistungsunternehmen hier

[Marsupilami72]

Und wie sollte der 2. Faktor dann aussehen? Ist dann auch immer mit signifikant Aufwand und/oder Kosten verbunden.

Das genannte Plugin unterstützt u.a. TOTP, z.B. per Google Authenticator App.

[Matt]

2 Faktor-Authentifizerung ist für mich extrem nervig (Niveau: notwendige Übel) . Ich beschränke das nur auf Bank/Geldgeschichte.
Aber Datensammeln-Panik finde ich lächerlich.

[berferd]

Ich finde es sehr löblich dass Finger das im Auge hat, Stichwort "Datensparsamkeit" (https://de.wikipedia.org/wiki/Datenverm ... parsamkeit). Wo keine Daten sind, können auch keine abhanden kommen. Spart im Ernstfall (Hack) Ärger, und die Datenschützer sitzen einem auch nicht so im Nacken.
Zudem bringt two-factor bei einem phpBB-basierten Forum wohl eher wenig, das kommt mir so vor wie ein Scheunentor mit einem 16-stelligen Code zu sichern...

[Matt]

gelöscht, passt mittweile nicht zu Thema

[Senf]

2 Faktor-Authentifizerung ist für mich extrem nervig

Also mit Keepass XC geht das ohne wirklich Mehraufwand. Keepass XC hat auch ne benutzbare GUI. Ich benutze 2FA täglich (TOTP und Smartcard) und habe keine Nachteile dadurch, eben weil ich einen gescheiten Passwortmanager benutze.

(Das mache ich aber sowieso, weil ich überall ein anderes Passwort habe. Außer natürlich dort, wo das Passwort im LDAP oder Kerberos liegt.)

Wie sinnvoll 2FA hier im Forum ist, darf ja jeder für sich beurteilen. Jedes Stück mehr an Software ist auch eventuell mehr Angriffsfläche.

[MSG]

Früher hatten die Admins ein oder mehrere PW, das/die sie auswendig konnten. Dafür wurde es nie gewechselt.


Heute müssen wir Passwörter monatlich geändert werden und sind so kompliziert, dass man einen Passwortmanager braucht und bei uns Keepass nehmen muss.
Bei dem muss man das PW übrigens nicht monatlich wechseln und die Anforderungen für das Passwort sind viel einfacher.
Da jeder morgens erst mal nach dem Anmelden sein Passwort für KP eingibt reicht ein einfacher Tastaturlogger um erst das Windows-PW mitzuprotokollieren und gleich danach das PW für Keepass.

Findet den Fehler....

[Sven]

Wie schon Finger geschrieben hat, wirds kein 2FA geben. Das kann doch am Ende keiner mehr warten. Das Forum mit zig Plugins zugeschissen, die spätestens beim nächsten Backup final inkompatibel sind. Dann funktioniert das nicht etc. etc.
Solange das nicht irgendwann als Kernfunktion von phpBB kommt: No way.

[Matt]

Danke, Sven

[MSG]

Danke - KISS Keep it simple, stupid

Ist ja kein Onlinebanking hier...

[Zummmsel]

Ach was, wird ganz einfach umgesetzt.
Alle Accounts werden deaktiviert. Will man ins Forum so muss man den Admin oder einen Mod anrufen, die schalten den Account dann für 15 Minuten frei.
2FA mit Bordmitteln

[zauberkopf]

Das ganze ist ein schönes Beispiel, wie "Sicherheit" Unsicherheit erzeugen kann.
Also ich bin nie davon ausgegangen, das das Forum jemals "richtig wichtig" und daher sehr sehr sicher ist.

Also nutze ich mein "Standard Forenpasswort".
Ich habe ca 4 verschiedene Passwörter-Klassen :
Foren,
Shops,
Banking
System

Was kann denn schon passieren, wenn jemand Fingers Welt knackt ?
Im schlimmsten fall, das jemand rassistische Posts über meinen Account sendet.
(die dann hoffentlich niemand ernst nimmt. )

Im übrigen, wurden schon Foren geknackt, und ich erhielte darauf hin Lustige Erpressungs-Emails.