ACP-Login mit 2. Faktor statt Passwort

  • Hallo zusammen,


    Ich würde mir wünschen, dass man für die "erneute Authentifizierung" für den ACP-Login (also mit existierenden Session mit ACP-Berechtigung) optional/alternativ auch den 2. Faktor statt der PW-Eingabe nutzen kann.


    Vorteile:

    • PW-Eingabe entfällt
    • einen Hauch mehr Sicherheit
    • komfortabler (da wahlweise)

    Was haltet ihr davon?

    VG

    Fr33chen

  • Ihr habt scheinbar die aktuelle Umsetzung nicht verstanden :/ Wer im Frontend eingeloggt ist, hat die 2-Faktor-Authentifizierung bereits durchlaufen. Ein 2. Mal ist wenig sinnvoll und bringt nicht mehr Sicherheit.


    Und ohne existierende Session sieht es nach dem Login im ACP so aus:


  • Ich bin da sicherlich kein Experte und kenne auch die aktuelle Umsetzung nicht im Detail.

    Das die Sicherheit damit nicht wirklich (oder nur unwesentlich) erhöht wird, ist mir auch klar... daher auch "einen Hauch mehr Sicherheit".


    Mir gehts aber ja um etwas anderes - nehmen wir mal Banking:

    1. Login mit PW
    2. Aktivität die einen 2 Faktor erfordert

    Schritt 2 wiederholt sich beliebig oft, bpsw. bei jeder Überweisung. Und genauso stelle ich mir die Umsetzung auch vor:

    1. Login im Front-end mit PW
    2. 2. Faktor zur Bestätigung
    3. ACP-Login mittels 2. Faktor

    Es spielt in meinen naiven Augen nämlich keine Rolle, ob ich die Reauthentifizierung mit einem PW (1. Faktor) oder - nehmen wir mal obiges Beispiel - mit einem Smartphone (2. Faktor) durchführe. Es geht ja nur darum, dass der wirkliche Inhaber des Admin-Kontos seine Identifität bestätigt. Ob das nun ein PW oder ein Code ist, sollte beliebig austauschbar sein.

    VG

    Fr33chen

  • Post by SoftCreatR ().

    This post was deleted by Tim Düsterhus: Inhalt durch Autor entfernt. ().
  • Es spielt in meinen naiven Augen nämlich keine Rolle, ob ich die Reauthentifizierung mit einem PW (1. Faktor) oder - nehmen wir mal obiges Beispiel - mit einem Smartphone (2. Faktor) durchführe. Es geht ja nur darum, dass der wirkliche Inhaber des Admin-Kontos seine Identifität bestätigt. Ob das nun ein PW oder ein Code ist, sollte beliebig austauschbar sein.

    Jain. Mal angenommen der zweite Faktor ist ein TOTP übers Smartphone: Dann wüsste ich, obwohl ich aus Bequemlichkeit angemeldet bleibe, jederzeit, dass jemand versucht, dieser Sitzung höhere Rechte zuzuweisen. Mein Passwort können Angreifer abgreifen. Aber der zweite Faktor ändert sich fortlaufend und ist ausschließlich mir bekannt. Da müsste man schon mein Smartphone entwenden und entsperren.

  • Wen ich auf mein Bank/Postfinance Einlogen geht so. Zu erst Login Zahl, dann Pin dann kommt Nächster Schritt Fingerscan. 2 Sicherheit wen man über Smartphone ein Logt. Auch auf PC muss zu Erst Zahlen, Pin, dann muss auf Smartphone Bestätigen dann Fingerscan Das ist ein Hauch Sicherheit

    !!! Sorry wegen der Rechtschreibfehler, ich bin Legastheniker !!!