Wie sichert ihr eure Admin Profile ab

  • Betroffene Version
    WoltLab Suite 3.1

    EIn fröhliches m00 in die Runde :)

    Da woltlab keine 2 Wege Authentifizierung mitbringt und ich immer etwas bauchschmerzen vor Fremden Zugriffen habe, würde mich interessieren, wie ihr eure Admin Accounts absichert? Sicheres Kennwort ist das eine aber sonst jemand noch Ideen?

    thanks

    KuhN

  • Für jedes ACP ein individuelles 64-stellungen Passwort mit einer Kombination aus alphanumerischen Zeichen mit Sonderzeichen. Das ist de facto nicht knackbar. Gäbe es noch einen zweiten Faktor, würde ich den mitnehmen. Ansonsten gehe ich nicht davon aus, dass noch mehr Schutz sein muss.

  • Kommt immer drauf an was du vor hast, wie viel Zeit du investieren willst und wie "einfach" es funktionieren soll.

    Nen normaler htpasswd schutz dürfte den meisten schon helfen, damit hat man dann den von vielen gewünschten zweiten Login bevor man ins ACP kommt schon vom Webserver selbst erzwungen.

    Etwas aufwendiger (vorrausgesetzt man hat nen NGINX den man frei konfigurieren kann, bin unsicher ob Apache es auch kann) wären client certifikate die für jeden ACP Zugang benötigt werden.

    Dann das was ich (in umgekehrter Richtung) mittlerweile nutze um meine mysql adminer installation abzusichern: subrequest authentification wie hier von Cyperghost erwähnt wurde: Warum gibt es kein Schutz für die Bilder?

  • 2 Wege Authentifizierung

    Ich schalte überall die 2-Wege-Auth ab. Wenn man ein gutes, langes, schwieriges PW gewählt hat, braucht man sich wirklich keine Gedanken zu machen. Jeder Server hat auch nur ein Passwort. Dieses Geschäft mit der Angst boykottiere ich vehement. Es ist jedoch wichtig für Menschen, die sich kurze, einprägsame PW machen, mit Name von sich, Ehepartner, Kind und dann noch ihr Geburtsdatum dahintersetzen.

    Sich lieber einmal hinsetzen und richtig Gedanken machen, ein schweres, gemeines PW wählen, als ständig doppelte, nervige Einlogg-Arbeit.

  • Aber Dank unserer "dummen" Politiker wird nach der Attacke garantiert was passieren, sie schreien ja schon das 2 Wege_Auth zur Pflicht werden soll

    2-Faktor-Login-Pflicht: Es rumort heftig bei gehackten Politikern & Co.

    Strafverfolgungsbehörden bemühen sich aktuell darum, die Hintergründe des massiven Datenlecks um Politiker und Prominente zu klären. In der Zwischenzeit wird über mögliche Konsequenzen diskutiert - dabei wird unter anderem auch eine Pflicht zur Zwei-Faktor-Authentifizierung (2FA) ins Spiel gebracht. Eines scheint klar: Schwache Passwörter und Schutzmaßnahmen haben viele der Betroffenen zu leichten Opfern gemacht.

    • Offizieller Beitrag

    Hallo,

    bin unsicher ob Apache es auch kann

    selbstverständlich. Für den ACP-Zugang sogar im Apache als einziges sinnvoll nutzbar, da nur dieser die notwendige Renegotiation kann, damit man einzelne Pfade schützt. Eigentlich möchte man aber keine TLS-Renegotiation.

    Dann das was ich (in umgekehrter Richtung) mittlerweile nutze um meine mysql adminer installation abzusichern: subrequest authentification

    Adminer authentifiziert gegen was? Die WoltLab Suite?

    Wenn man ein gutes, langes, schwieriges PW gewählt hat, braucht man sich wirklich keine Gedanken zu machen.

    Nein, es gibt leider immer noch zu viele Dienste die Passwörter im Klartext oder nicht mit Hilfe einer für Passwörter geeigneten Hash-Funktion speichern. Wenn das dann Abhanden kommt …

    Siehe auch: Smalltalk - Labern, reden, diskutieren...

  • Adminer authentifiziert gegen was? Die WoltLab Suite?

    Jap, die gesammte subdomain ist nur erreichbar wenn man im WSC selbst eingeloggt ist (und meine userID hat :P ).

    selbstverständlich. Für den ACP-Zugang sogar im Apache als einziges sinnvoll nutzbar, da nur dieser die notwendige Renegotiation kann, damit man einzelne Pfade schützt. Eigentlich möchte man aber keine TLS-Renegotiation.

    Ich muss ehrlich sein dass ich es selbst noch nie eingesetzt habe, daher habe ich mich nur am Rande damit beschäftigt, wollte es aber als Möglichkeit zumindest genannt haben...

  • Und wer sagt mir, dass diese dort genannte Seite nicht nur meine E-Mail Adresse will, wenn ich sie dort eingebe, um zu checken, ob sie auf der Liste steht? Ich mag meine da nicht eingeben ...

    Liebe Grüße
    Susi

  • Zu WBB 2.x Zeiten hatte fast jeder Betreiber das ACP via HTTP Authentication gesichert. Lag aber unter anderem auch daran dass die unsalted MD5 Passwort doch "relativ" einfach zu knacken waren und es auch deutlich mehr Sicherheitslücken in der Software / Hacks gab.

    Ich persönlich hatte auch schon mit GeoIP und IP Netzmasken rumexperimentiert, seit WCF 2.1 nur noch die reine Passwortabfrage.

    • Offizieller Beitrag

    Hallo,

    Und wer sagt mir, dass diese dort genannte Seite nicht nur meine E-Mail Adresse will, wenn ich sie dort eingebe, um zu checken, ob sie auf der Liste steht? Ich mag meine da nicht eingeben ...

    Sprechen wir von Have I been pwnd? Die Seite wird von einem Informatiker betrieben, der einen sehr guten Ruf zu verlieren hat. Deine E-Mail-Adresse hat er aller Wahrscheinlichkeit nach ohnehin schon aus einem der Leaks. Absolute Sicherheit gibt es natürlich, wie generell im Leben, nicht.

  • Für das Forum selbst arbeite ich aktuell an einem 2fa Plugin und das sollte aus meiner Sicht grundsätzlich reichen (wenn es von der Moderation dann richtig verwendet wird). Leider brauche ich ein eigenes Plugin, da ich das Forum alles zentralen Punkt für die Authentifizierung nutze (Spieleserver, Control Panel, usw) und natürlich auch bei diesen Services den gleichen Token nutzen möchte (funktioniert über eine eigene API).

    Bei den Servern selbst kann man sich _nur_ mit SSH einloggen (kein FTP) und auch nur mit SSH-Keys. Beim Hoster wird dann auch nochmals 2fa Authentifizierung genutzt und auch dort zu verhindern das jemand das System in den Rescue-Modus bootet und dort auf Daten zugreift.

    https://hanashi.eu/filebase/file/15-two-step-verification/ <- Hatte dieses Plugin mal getestet und es fehlen leider Funktionen wie Backup Codes etc.

  • Für das Forum selbst arbeite ich aktuell an einem 2fa Plugin und das sollte aus meiner Sicht grundsätzlich reichen

    Dann kann jeder Seinen Account mit 2FA absichern wenn er möchte? Verfahren dann OAUTH?

    Habe sehr großes Interesse daran!!!

    Wann wird es da was geben?

    Gruß

    Hajö

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!