Sicherheitsfunktionen auswählbar machen

  • Die mit 5.4 hinzugefügten Sicherheitsfeatures sind definitiv keine schlechte Sache. Es wäre allerdings (sollte das noch nicht der Fall sein) wünschenswert, dass der Betreiber die einzelnen Sicherheitsfunktionen deaktivieren kann. Sei es, um seine User nicht unnötig zu überfordern (z.B. bei überwiegend älterem und/oder technisch weniger versiertem Publikum), oder aufgrund (berechtiger) Bedenken, z.B. bei der E-Mail-Funktion.


    Ist das Ganze eigentlich erweiterbar? Also könnte ich noch eigene Sicherheitsfunktionen hinzufügen? Oder ist das eher nicht vorgesehen?

  • Das ist die einzige Option, die ich dazu gefunden habe. Erzwingbar per Usergruppe. Aber einzelne Methoden sind wohl immer aktiv.

  • Das ist die einzige Option, die ich dazu gefunden habe. Erzwingbar per Usergruppe. Aber einzelne Methoden sind wohl immer aktiv.


    Gut, unter der Voraussetzung, dass man das erzwingen kann, muss dann halt bei der Möglichkeit, einzelne Funktionen zu deaktivieren, sichergestellt sein, dass mindestens eine Funktion aktiv bleiben muss. Welche, bliebe dann dem Betreiber überlassen.

    • Official Post

    Hallo,

    Ist das Ganze eigentlich erweiterbar? Also könnte ich noch eigene Sicherheitsfunktionen hinzufügen? Oder ist das eher nicht vorgesehen?

    Meinst du mit „Sicherheitsfunktionen“ die „Mehrfaktor-Authentifizierung“? Dann: Selbstverständlich. Wie funktioniert wohl die WebAuthn-Integration? :)


    Dokumentation ist hier: https://docs.woltlab.com/5.4/m…ding-multi-factor-methods


    Eine Deaktivierung der von (standardmäßigen) Mehrfaktor-Verfahren ist aber nicht vorgesehen:

    • Backup-Codes sind für eine korrekte Implementierung essentiell und bekommen an einigen Stellen eine Sonderbehandlung (z.B. ist die Deaktivierung durch den Benutzer unmöglich).
    • TOTP ist der Standard für Mehrfaktor-Authentifizierung. Das möchte man eher nicht deaktivieren.
    • Bleibt die „E-Mail-Bestätigung“. Diese bietet für Laien einen echten Mehrwert gegenüber dem reinen Kennwort. Erfahrene Benutzer können diese einfach abgeschaltet lassen und haben ein sicheres Konto.

    Ich halte die Standardliste mit den 2 Verfahren (Backup-Codes tauchen nicht auf, wenn noch nichts aktiviert ist) auch nicht für zu überladen.

  • Ich halte die Standardliste mit den 2 Verfahren (Backup-Codes tauchen nicht auf, wenn noch nichts aktiviert ist) auch nicht für zu überladen.


    Du bist ja auch noch jung :D Mir ging es bei dem Vorschlag vor allem um die Möglichkeit, TOTP (nur in Kombination mit Backup-Codes) und WebAuthN optional (de-)aktivierbar zu machen.


    Meinst du mit „Sicherheitsfunktionen“ die „Mehrfaktor-Authentifizierung“?


    Ja (die Bezeichnung kommt von dem neuen Menüpunkt). Aber gut zu wissen, denn ich hätte da ggf. noch 1-2 Dinge hinzuzufügen.

    • Official Post

    Hallo,

    nur in Kombination mit Backup-Codes

    Den Satz verstehe ich nicht.

    WebAuthN optional (de-)aktivierbar zu machen.

    WebAuthn (btw: kleines n!) wird von uns als separates Paket angeboten. Entsprechend installiert man das Paket einfach nicht, wenn die Zielgruppe dafür nicht geeignet erscheint. Wobei WebAuthn gerade durch die native Integration in beispielsweise das Apple-Ökosystem äußerst bequem ist.

  • WebAuthn (btw: kleines n!) wird von uns als separates Paket angeboten. Entsprechend installiert man das Paket einfach nicht, wenn die Zielgruppe dafür nicht geeignet erscheint. Wobei WebAuthn gerade durch die native Integration in beispielsweise das Apple-Ökosystem äußerst bequem ist.


    Achja, stimmt. Das hatte ich vergessen.


    Den Satz verstehe ich nicht.


    Jetzt, wo du es sagst, verstehe ich ihn auch nicht mehr. Ich hatte bisher halt immer nur die Kombination aus TOTP und Backup-Code im Kopf.


    Dann passt das soweit für mich :D

  • Bleibt die „E-Mail-Bestätigung“. Diese bietet für Laien einen echten Mehrwert gegenüber dem reinen Kennwort. Erfahrene Benutzer können diese einfach abgeschaltet lassen und haben ein sicheres Konto.

    Könnte man da dann noch eine Info in die Richtung packen, dass dies nun einen gewissen Schutz bietet weil sofern der Zugriff auf das E-Mail Konto besteht weil gleiche Passwörter ist das jetzt nicht so unbedingt mehr sicher.



    bzw: Einen Indikator was jetzt sehr sicher ist und was etwas weniger? Damit das dann auch Laien verstehen?

    • Official Post

    Hallo,

    Könnte

    „können“ kann man vieles. Die Frage ist nur wie sinnvoll das in Anbetracht der Zielgruppe ist:

    • Erfahrene Nutzer sind sich über die Konsequenzen im Klaren: Wenn man sich das Kennwort zurücksetzen lässt, dann geht das in das gleiche E-Mail-Postfach wie die E-Mail-Bestätigungen.
    • Unerfahrenen Nutzern denen das nicht klar ist, werden durch einen solchen Hinweis womöglich abgeschreckt und aktivieren in Folge gar keines der Mehrfaktor-Verfahren.

    Die E-Mail-Bestätigung ist aber gerade für die Zielgruppe dieser unerfahrenen Benutzer gedacht: Sie bietet genau dort einen echten Mehrwert, weil E-Mail-Konten typischerweise auch bei Laien verhältnismäßig gut gesichert sind. Beispielsweise durch ein Kennwort, das nur im E-Mail-Konto verwendet wird oder weil der E-Mail-Anbieter eine gute Missbrauchserkennung hat (hier wäre beispielsweise Google / Gmail zu nennen).

  • Sei es, um seine User nicht unnötig zu überfordern (z.B. bei überwiegend älterem und/oder technisch weniger versiertem Publikum), oder aufgrund (berechtiger) Bedenken, z.B. bei der E-Mail-Funktion.

    Sehr berechtigter Einwand!

    Erfahrene Nutzer sind sich über die Konsequenzen im Klaren: Wenn man sich das Kennwort zurücksetzen lässt, dann geht das in das gleiche E-Mail-Postfach wie die E-Mail-Bestätigungen.

    Tim die meisten Nutzer sind aber Dau. Ich glaube, Sascha ist das deutlich bewusster als den meisten Entwicklern.

  • Tim die meisten Nutzer sind aber Dau.

    Das würde ich für mein Forum auch so einschätzen. Ausnahmen bestätigen natürlich die Regel, aber ich bekomme auch immer wieder Mails von Usern, die es nicht schaffen sich überhaupt zu registrieren. Nur mal als Beispiel wo da die Schwierigkeiten bei einigen beginnen.

    Liebe Grüße
    Susi

  • Das würde ich für mein Forum auch so einschätzen. Ausnahmen bestätigen natürlich die Regel, aber ich bekomme auch immer wieder Mails von Usern, die es nicht schaffen sich überhaupt zu registrieren. Nur mal als Beispiel wo da die Schwierigkeiten bei einigen beginnen.

    Bei uns ist die Hanashi-Erweiterung installiert und bei jedermann ist die Option aktiviert, das der User eine Emailbenachrichtigung erhält, wenn er sich von einem "neuen" Gerät einloggt.

    Das hat bei einigen Usern zu Panik geführt, weil der Einwahlknoten nicht identisch mit ihrem Wohnort war; stellenweise wollten sie sich löschen lassen, weil sie "gehackt"wurden. Es hat viel Zeit und Nerven gekostet, diesen Usern die Funktionen und die Hintergründe des Internets zu erklären.

    Also ja, man sollte einzelne Optionen unbedingt schaltbar machen.

  • Modellbahn mit Spass Es wäre vermutlich einfacher gewesen, den Leuten zu erklären, das es höchst unwahrscheinlich ist, dass sie genau in dem Augenblick gehackt wurden, in dem sie sich selbst eingeloggt haben 😂 Oder einfach den E-Mail Text bearbeiten und dort noch einmal etwas genauer erklären.

  • das es höchst unwahrscheinlich ist, dass sie genau in dem Augenblick gehackt wurden, in dem sie sich selbst eingeloggt haben 😂

    Ich hab's versucht - nur ist das bei Personen mit mangelhaften technischen Verständnis nicht immer ganz einfach ;)

    Oder einfach den E-Mail Text bearbeiten und dort noch einmal etwas genauer erklären.

    Ich bin Modellbahner, kein Programmierer :P

  • Sascha manchmal wundere ich mich über dich ...


    Warum? Wenn mich jemand deswegen gefragt hätte, hätte ich genau das auch gesagt. Vielleicht nur etwas anders ausgedrückt alà "Wenn du die E-Mail unmittelbar nach deiner Anmeldung erhalten hast, ist alles tutti. Wenn du die Seite schon länger nicht mehr besucht- aber eine solche E-Mail erhalten hast, hat sich eventuell ein Dritter in deinen Account Zugang zu deinem Account verschafft. Wenn sich allerdings der in der E-Mail angegebene Standort in der Nähe deines tatsächlichen Standortes befindet, hat sich vermutlich niemand wildfremdes in deinen Account eingeloggt. Es wäre beispielsweise möglich, dass jemand die Seite mit einem Gerät aufgerufen hat, über welches du dich vor einiger Zeit selbst eingeloggt hast."


    So, oder so ähnlich :D

  • Wobei die Standortdaten öfter mal vollkommen daneben greifen. Laut denen bin ich gerne mal in Karlsruhe oder Frankfurt – beides über eine Stunde Autofahrt von meinem tatsächlichen Standort entfernt. Wie willst du das erklären? ^^

  • Dass es nicht genauer durch die Dienste bestimmbar ist ;) .


    Bei uns ist die Hanashi-Erweiterung installiert und bei jedermann ist die Option aktiviert, das der User eine Emailbenachrichtigung erhält, wenn er sich von einem "neuen" Gerät einloggt.

    So habe ich das bei uns auch laufen. Fragen gab es zuerst, die waren dann aber schnell beantwortet. Außerdem habe einen Hinweis platziert, der sagt, dass wir bei uns die Geräteverifizierung einsetzen. Dann hatte sich das schnell erledigt und je mehr Seiten so etwas einsetzen, desto weniger Fragen wird es auch geben.


    Aber den eigentlichen Vorschlag finde ich schon ganz gut. Ich mag es z.B. nicht, wenn ich als Admin etwas anbiete, was ich selber gar nicht ausprobieren kann und ich besitze bisher keinen YubiKey oder ähnliches. Hat da jemand Probleme, kann ich eben auch nicht helfen und sowas gefällt mir dann nicht so. Aber wer weiß, bis ich 5.4 nutze habe ich vielleicht einen ;) .


    Warum bestehen bei der E-Mail Funktion Bedenken?

    Liebe Grüße
    Susi