Smalltalk - Labern, reden, diskutieren...

  • Mit der Mehrfaktor-Authentifizierung gibt es jetzt einen zuverlässigen Ersatz.

    Ich habe das vielleicht bisher überlesen, aber greift die 2FA auch, wenn ich ins ACP gehe?

    Bei dem Plugin von Hanashi greift diese bisher nur, wenn ich mich ins Forum einlogge. Logge ich mich dann oder direkt ins ACP ein, greift das bisher nicht.

  • Mit der Mehrfaktor-Authentifizierung gibt es jetzt einen zuverlässigen Ersatz.

    Naja, das Hauptkennwort schützt ja nicht das jeweilige Benutzerkonto, sondern die Plattform selbst, indem es nochmals eine spezielle Authentifizierung erfordert, um kritische Änderungen vorzunehmen. Nicht gegenüber der Benutzerverwaltung, sondern gegenüber der Systemverwaltung. :/

    • Official Post

    PoooMukkel Die MFA greift auch für das ACP, das war mit einer der Gründe für die sorgfältige Überarbeitung des Session-Systems.


    Geronimo Das Hauptkennwort stellt konzeptionell eine zweite Verteidigungslinie gegen gestohlene Zugangsdaten dar. Mit der MFA haben wir eine noch wirksamere Methode, die nicht mehr auf geteilten Passwörtern basiert. Zusätzlich kann auf Benutzergruppenbasis der Einsatz von MFA erzwungen werden, um damit beispielsweise den Zugriff auf das ACP dahingehend abzusichern. Gleichzeitig schützt die MFA das gesamte ACP und nicht nur Teile davon, auch im Hinblick auf den Datenschutz erhält man damit ein deutlich höheres Schutzniveau.

  • Gibt es denn schon das Zusatzpaket zum Testen für Webauthn für das WSC 5.4? Konnte bisher noch nichts diesbezüglich finden :/


    Ich denke nicht, dass es das geben wird. Gab es für ES und LDAP ja auch nicht.

  • Geronimo Das Hauptkennwort stellt konzeptionell eine zweite Verteidigungslinie gegen gestohlene Zugangsdaten dar. Mit der MFA haben wir eine noch wirksamere Methode, die nicht mehr auf geteilten Passwörtern basiert. Zusätzlich kann auf Benutzergruppenbasis der Einsatz von MFA erzwungen werden, um damit beispielsweise den Zugriff auf das ACP dahingehend abzusichern. Gleichzeitig schützt die MFA das gesamte ACP und nicht nur Teile davon, auch im Hinblick auf den Datenschutz erhält man damit ein deutlich höheres Schutzniveau.

    Das kann ich nicht so recht nachvollziehen, denn der Benutzer hat sich bereits authentifiziert, egal ob mit einem oder mit mehreren Faktoren, möchte aber irgendwann eine kritische Einstellung anpassen, die aktuell mit dem Hauptkennwort abgesichert ist: Inwiefern sorgt hier die MFA für ein vergleichbares oder gar höheres Schutzniveau, denn wie gesagt über den Punkt sind wir längst hinaus, dass er sich mit MFA anmeldet?

  • In WoltLab Suite 5.4 existieren die Prüfungen noch, das Hauptkennwort ist aber mit Infoboxen versehen. Mit WoltLab Suite 5.5 ist die Hauptkennwort-Funktionalität entfernt und die Methode wird nicht mehr benutzt.

    Ja, es wurde nur als deprecated markiert.


    viel hilft viel, oder was wird das? :D Mit 16 Bytes aus einem CSPRNG bist du schon bei 128 Bit Entropie, was in Form von AES-128 als ausreichend sicher für data-at-rest gilt.

    Ich habe einfach nur den Passwort-Generator angeschmissen und genommen, was ohne Sonderzeichen raus kam. So fällt es aber auf jeden Fall im Script auf. :D


    (nämlich praktisch gar nicht)

    • Official Post

    Hallo,

    Ich habe einfach nur den Passwort-Generator angeschmissen und genommen, was ohne Sonderzeichen raus kam. So fällt es aber auf jeden Fall im Script auf. :D

    Komischer Passwort-Generator, der 2048 Zeichen-Kennwörter generiert. Das stinkt nach Security Theater und macht das Programm nicht vertrauenswürdiger.

    Das ist Bitbucket, oder? Warum macht man so etwas? =O


    Ansonsten sind 48 Dateien in einem Plugin auch nicht unbedingt verwunderlich. Wenn man Bescheid weiß, dann nutzt man es natürlich auch konsequent.

  • Komischer Passwort-Generator, der 2048 Zeichen-Kennwörter generiert. Das stinkt nach Security Theater und macht das Programm nicht vertrauenswürdiger.

    https://passwordsgenerator.net/ - ein Generator, kein Manager

    Select öffnen, Ende drücken, Enter drücken, Generate Password drücken. Solange der String nicht zu lang für die Plattform ist und es sicherheitstechnisch keinen Nachteil bietet, ist mir relativ egal wie lang genau der String schlussendlich ist. :P

    Schlussendlich ist für die Seriosität nicht davon abhängig, wie lang der String generiert wird, da es für die Software absolut keinen Unterschied darstellt, ob jetzt 10 oder 1000 Zeichen generiert werden - von der Rechenzeit mal abgesehen, die sich in Grenzen hält.


    Warum macht man so etwas? =O

    Da fragst du den Falschen. Wobei ich mit GitLab auch nicht viel besser bin. :D

    • Official Post

    Hallo,

    Solange der String nicht zu lang für die Plattform ist und es sicherheitstechnisch keinen Nachteil bietet, ist mir relativ egal wie lang genau der String schlussendlich ist. :P

    Schlussendlich ist für die Seriosität nicht davon abhängig, wie lang der String generiert wird, da es für die Software absolut keinen Unterschied darstellt, ob jetzt 10 oder 1000 Zeichen generiert werden - von der Rechenzeit mal abgesehen, die sich in Grenzen hält.

    Jein. Es bringt den Punkt nicht gerade nach Hause, wenn der Generator offenbart, dass der Entwickler nicht weiß was er da tut. Dazu gehört zum einen diese Optionen für absurd lange Passwörter und zum anderen die Tatsache, dass da Math.random() zum Einsatz kommt.


    In Bezug auf BCrypt bringen dich zusätzliche Zeichen nach 72 aber ohnehin nicht weiter, weil BCrypt nur 72 Zeichen hasht. Aber da bist du selbst mit Diceware-Passwörtern bei jenseits von 100 Bit.


    Je nach Implementierung verstärken längere Secrets aber auch die Gefahr für Seitenkanal-Angriffe. Diesbezüglich ist AES-256 IIRC oftmals schlechter als AES-128.


    Insofern: Für automatisch generierte Secrets, die nur Computer zu Gesicht bekommen reichen 16 Byte aus einem CSPRNG, diese dann passend enkodiert (Hex / b64). Bei Kennwörtern greife ich zu 20 oder 40 Zeichen alphanumerisch ohne Sonderzeichen (Länge je nach genauem Einsatzzweck). Damit kann man Kennwörter im Notfall auch über langsame Verbindungen mit komischem Tastatur-Layout tippen (also über die iLO des Servers).

    Da fragst du den Falschen.

    Na, du wirst dich doch wohl bewusst für BitBucket entschieden haben? Ich habe alle drei großen git-Hoster durch und bin da absolut bei SoftCreatR. GitHub ist mit großem Abstand der beste von denen.

  • Na, du wirst dich doch wohl bewusst für BitBucket entschieden haben?

    Ich meine damit: Es ist nicht mein Projekt und nicht die von mir genutzte Software. ;)

    Ich habe mich damals zu GitLab entschieden, weil es kostenlos private Projekte bereitstellen kann und es mit vom UI am ehesten zugesagt hat. Dazu noch das Adäquat zu Travis. Inzwischen fahre ich die Instanz über die bereitgestellten Pakete und apt statt selbst gebaut; das macht weniger Arbeit.

    BitBucket ist kostenpflichtig ab einem gewissen Punkt und war für mich schon immer grauenhaft im UI. GitHub hat (zumindest meine ich das) damals private Repositories auf 5 pro Account limitiert.

  • GitHub hat (zumindest meine ich das) damals private Repositories auf 5 pro Account limitiert.

    Seit Übernahme durch MS nicht mehr... Glaube ich :/ ich hab ja ein GH Abo.... Und 95% meiner Repos sind privat.

    Projekte:

    XIVDATA - Eorzea Database


    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...


  • Hallo,

    für SCSS nutzen wir eine externe Bibliothek, die wir jeweils in neuen Versionen aktualisieren. Die Unterstützung einzelner Feature hängt also direkt daran, ob die Bibliothek diese unterstützt.

    Ok, das heißt dann wohl immer mal wieder testen ob es funktioniert.

    @import wird ja laut sass-lang noch ein paar Jährchen unterstützt, sie "raten" aber schon @use & @forwards zu verwenden (find es auch besser). Für die meisten wohl eh uninteressant.

    Danke für die Info :thumbup:

  • Ok, das heißt dann wohl immer mal wieder testen ob es funktioniert.

    @import wird ja laut sass-lang noch ein paar Jährchen unterstützt, sie "raten" aber schon @use & @forwards zu verwenden (find es auch besser). Für die meisten wohl eh uninteressant.

    Danke für die Info :thumbup:

    Darf man den Unterschied erfahren :huh:

    Projekte:

    XIVDATA - Eorzea Database


    A red dragon falls from the heavens... Ah, that memory has been lost. A shame. It was a favorite of mine...


Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!