2-Step-Verification (E-Mail, Google Authenticator, U2F, OTP, ...)

  • Was ich mir dabei gedacht habe

    Ich glaube das 2-Step-Verification direkt von WoltLab mitgeliefert sein sollte (mittlerweile ist es schon ziemlicher Standard). Hierbei hilft mir das vorgestellte Plugin „Erweiterer Login” nicht, da nur eine E-Mail gesendet wird und sonst nur third party Logins möglich sind. „Yubikey” von der Yubico AB („Yubico”) könnte man auch unterstützen da mit den Yubikeys der Google Authenticator, U2F, OTP und vieles mehr „ersetzt” wird. Außerdem könntet ihr ein Vorsprung bekommen da Konkurrenten wie z.B. Xenforo solche Features standardmäßig nicht anbietet.

    Vorteile für die WoltLab GmbH

    1. Vorsprung gegen die Konkurrenten (z.B. Xenforo)
    2. Aufsehen für die Unterstützung von U2F (oder etwas anderes)
    3. Guten Ruf verbessern weil die WoltLab GmbH mehr Sicherheit für Konsumenten bietet
    4. Konsumenten werden wahrscheinlich das neues Sicherheitsfeature weiterempfehlen was wiederum für mehr Konsumenten sorgt und mehr Einkommen

    Vorteile für Konsumenten

    1. Mehr Sicherheit
    2. Ein sicheres Gefühl das ihre Online-Identität nicht gestohlen wird

    Ich hoffe das sind genügend Gründe um ein Feature hinzuzufügen. :thumbup:

    ~ Lukas Haigner

  • Mir würde es schon reichen, wenn man endlich TwoFactor à la Google Authenticator nutzen kann, so wie es mittlerweile bei den meisten Diensten möglich ist. Yubikey, halte ich für übertrieben, da diese nicht so einen große Verbreitung haben. Ein Smartphone mit Authy oder GoogleAuthenticator hat aber eigentlich jeder :)

  • Mir würde es schon reichen, wenn man endlich TwoFactor à la Google Authenticator nutzen kann, so wie es mittlerweile bei den meisten Diensten möglich ist. Yubikey, halte ich für übertrieben, da diese nicht so einen große Verbreitung haben. Ein Smartphone mit Authy oder GoogleAuthenticator hat aber eigentlich jeder :)

    Lustigerweise würde WoltLab damit auch Support für den Yubikey erstellen, wofür gibt es den sonst den „Yubico Authenticator” (ein Programm von einer Hand voller Programme von Yubico, alle sind Open-Source auf GitHub). Das ist sozusagen eine Desktop-Version von den Google Authenticator, nur das du einen Yubikey brauchst um die Codes zu bekommen ;).



  • Gut, das man dann rumtricksen kann ist das eine, das sehe ich aber nicht als klassische Unterstützung von YubiKey, so wie er eigentlich gemacht ist ;)

  • Oh doch, das ist ein offizielles Programm von Yubico, falls Webseiten sonst Nichts Unterstützen. Nicht zu vergessen das man viel mehr einstellen kann wie zum Beispiel die Code-Aktualisierungs-Zeit.

  • Hi,


    prinzipiell stehe ich voll hinter deinem Vorschlag und unterstütze diesen, finde die Argumente dazu jedoch schwammig bzw. unbegründet / realitätsfern.

    Außerdem könntet ihr ein Vorsprung bekommen da Konkurrenten wie z.B. Xenforo solche Features standardmäßig nicht anbietet.

    https://invisioncommunity.com/…ctor-authentication-r995/

    https://invisioncommunity.com/…-authy-integration-r1022/

    Ein sicheres Gefühl das ihre Online-Identität nicht gestohlen wird

    Das hängt von vielen weiteren Faktoren ab.

    Aufsehen für die Unterstützung von U2F (oder etwas anderes)

    Nein, dafür kriegst du kein Aufsehen.

    Guten Ruf verbessern weil die WoltLab GmbH mehr Sicherheit für Konsumenten bietet

    Schwierig messbar, eher Nebensache, die Software hat viel wichtigere Sicherheitsmerkmale, die grundlegender sind.

    Konsumenten werden wahrscheinlich das neues Sicherheitsfeature weiterempfehlen was wiederum für mehr Konsumenten sorgt und mehr Einkommen

    Die Forensoftware aufgrund eines einzelnen Sicherheitsfeatures zu bestimmen halte ich für realitätsfern.

  • Danke für dein Feedback!

    Ich möchte nur zu ein paar Dinge dazu korrigieren bzw. halbwegs richtig stellen:


    „Außerdem könntet ihr ein Vorsprung bekommen da Konkurrenten wie z.B. Xenforo solche Features standardmäßig nicht anbietet.”, zugegeben wusste ich nicht das schon eine (oder mehrere) Foren-Software(s) gibt die so etwas ohne Plugins schaffen, immerhin hast du ein Forum dafür gefunden. Vielleicht wird WoltLab ja das Nächste:thumbup:.


    „Ein sicheres Gefühl das ihre Online-Identität nicht gestohlen wird”, das ist sozusagen ein weiterer Faktor (falls es implementiert wird).


    „Aufsehen für die Unterstützung von U2F (oder etwas anderes)”, ich muss zugeben das es ein ziemlich lächerliches Argument ist, Hauptsache es wird implementiert.


    „Guten Ruf verbessern weil die WoltLab GmbH mehr Sicherheit für Konsumenten bietet”, vielleicht wirklich wenige, aber wenigstens ein paar neue Konsumenten (und ein wenig mehr Einkommen).


    „Konsumenten werden wahrscheinlich das neues Sicherheitsfeature weiterempfehlen was wiederum für mehr Konsumenten sorgt und mehr Einkommen”, es gibt einfach Personen die hassen die E-Mail Bestätigungen und alles andere weil sie einfach zu faul sind die Codes abzutippen oder was auch immer. Ich jedoch bin Programmierer und auch Linux Benutzer (Linux Mint 18.2 Sonya) und freue mich über Sicherheitsfeatures wie diese.


    Ich glaube dass sollte so ausreichend sein. Sollte das Feature nicht hinzugefügt werden, muss ich mich mal in die WoltLab Docs einlesen und ein eigenes Plugin dafür schreiben. Es wird schon ziemlich von der Community empfohlen, mal sehen was als nächstes passiert! ;)

  • Tim Düsterhus

    Set the Label from Planned to Implemented