Trophy für Mehrfaktor-Authentifizierung

  • Hallo

    Vielleicht bin ich blind, aber wäre toll wenn man eine Trophy vergeben könnte wenn jemand die Mehrfaktor-Authentifizierung aktiviert hat.

    Tim hatte bereits an anderer Stelle geschrieben warum das von WoltLab nicht kommen.

    Edit: finde nur leider gerade den Beitrag nicht mehr.

    Edit2: war Joshua: https://www.woltlab.com/article/229-ne…6/response45981

  • Ja aber ich spreche von 5.4


    Die Argumentation ist Sorry einfach mal dahingeklatscht...

    Warum? Wenn jemand Zugang zu einem Konto haben will dann hat er die Möglichkeit sich einen Namen aus der Mitgliederliste zu suchen und sich da mal dran zu versuchen. Ist also Quasi eine 50/50 Chance dass der Ausgewählte User keine 2FA an hat.

    Zudem auch noch ganz Ehrlich Hand aufs Herz, wieviele haben denn wirklich 2 FA an? Wiviele kennen denn wirklich 2FA? Wiviele hatten im WSC das Plugin im Betrieb. Ich würde sagen ein Bruchteil der Kunden von Woltlab.

    Wenn wir solche Muster angehen dann gäbe es einige Trophys und Funktioen die man dann nicht mehr haben kann, zb. Benutzergruppen. Ja wenn der Angreifer weiss wer der Anmin ist und wer aus dem Team kommt dann ist es auch Offensichtlich wo er Anfängt zu graben.

  • Die verlinkte Begründung gegen eine Trophäe verstehe ich ehrlich gesagt auch nicht. Mal Plugins außen vorgelassen, hatte bislang niemand 2FA aktiviert, weil es die Software schlicht und ergreifend nicht angeboten hat. Ein Angreifer, der nach Nutzern ohne 2FA sucht, hätte also eine 100-prozentige Erfolgsquote gehabt. Nach dem Update auf 5.4 werden nicht plötzlich alle Nutzer 2FA nutzen. Mit einer Trophäe könnte ein symbolischer Anreiz geboten werden, weil das menschliche Gehirn bekanntlich auf Belohnungen reagiert. Klar bringt das auch nicht alle dazu, sicher nicht einmal ansatzweise, aber vielleicht doch den einen oder anderen Nutzer, dem es ansonsten völlig egal wäre. In meinen Augen kann eine mögliche Trophäe dafür das allgemeine Sicherheits-Niveau höchstens verbessern, aber keinesfalls verschlechtern. Denn wie gesagt, selbst wenn ein Angreifer explizit nach Nutzern sucht, die 2FA deaktiviert haben, sind das am Ende des Tages ja weniger Nutzer, die gefunden werden, sobald es 2FA gibt, und potentiell noch weniger, wenn es für die Aktivierung einen Anreiz gibt.

    Einmal editiert, zuletzt von Cadeyrn (1. Juli 2021 um 19:57)

  • Danke Hanashi ! <3

    Mir war bisher nicht bewusst, dass es von Hause aus eine solche Trophäe nicht gibt / geben wird. Die Begründung finde ich auch eher mau. Bei mir sehen Gäste schon ewig keine Mitgliederlisten oder gar Trophäenlisten. Es ist auch in Themen nicht zu erkennen, wer welche Trophäe besitzt. Woher soll also ein vermeintlicher Angreifer überhaupt wissen, wer 2FA aktiviert hat und wer nicht. Zumal wie Cadeyrn schon schrieb, bisher von Hause aus eh niemand 2FA nutzen konnte.

    Außerdem haben bei mir von knapp 6.500 angemeldeten Benutzern nur 51 die per Plugin eingebaute 2FA-Funktionalität überhaupt aktiviert. Was soll sich da dann beim WSC 5.4 ändern?

    Die Möglichkeit, eine solche Trophäe vergeben zu können, wäre schon wünschenswert.

  • Generell wären deutlich mehr Kriterien hilfreich, um eben genau diese oben angesprochenen Trophäenjäger zu motivieren, denn sonst ist halt auch schon wieder Schluss, bevor es richtig losgeht...

    Ja klar dem stimme ich zu, aber gerade im Pluginbereich gibt es ja das eine oder andere was man anbieten kann. Würde mir aber auch generell mehr wünschen.

    • Offizieller Beitrag

    Hallo,
    wir haben uns, bewusst, gegen eine Implementation dieser Bedingung für Trophäen entschieden.

    Mehrfaktor-Authentifizierung ist etwas privates und geht mit dem Passwort einher. Aus unserer Sicht sollte niemand durch Gamification (=> Trophäen) dazu genötigt werden Mehrfaktor-Authentifizierung anzuschalten. Jeder der den Sinn und Zweck dahinter versteht, aktiviert das sowieso von sich aus, auch ohne die Trophäe.

    Alle anderen, die das Verfahren nicht verstanden haben, gehen damit, aus unserer Erfahrung heraus, tendenziell eher weniger sorgfältig mit um und sperren sich wohlmöglich selber aus, weil bspw. das Handy mit der Mehrfaktor-App ausgetauscht wird und sich die Notfall-Codes nicht notiert werden.

    Ja, es ist sinnvoll, dass immer mehr Menschen an Mehrfaktor-Authentifizierung herangeführt werden, aber das sollte nicht auf Grundlage von Gamification passieren. Es würde bspw. mehr Sinn machen, einen Hinweis beim bearbeiten des Benutzerprofils zu schalten (die Bedingung ist explizit für Hinweise verfügbar), falls die Mehrfaktor-Authentifizierung nicht angeschaltet ist, welcher auf weitere Informationen zu dem Thema verweist. Dann kann der Nutzer sich immer noch damit auseinander setzen und es ggf. aktivieren (oder aber bewusst zu ignorieren).

    Außerdem ist es möglich, dass man den Zugang zum ACP auch nur mit aktivierter Mehrfaktor-Authentifizierung ermöglicht. Jeder, der also weiterreichende Rechte hat, kann sowieso dazu gezwungen werden die Authentifizierung zu aktivieren.

    Zusammenfassend: Nur weil es möglich ist, ist es nicht sinnvoll den Benutzer dazu zu zwingen. Sichere Passwörter sind auch möglich (und sinnvoll), es ist aber bisher bspw. auch noch keiner auf die Idee gekommen Trophäen auf Grundlage von sicheren Passwörtern zu vergeben. Das muss der Benutzer schlussendlich auch selber entscheiden. Falls man sich entgegen unserer Empfehlung dazu entscheiden sollte, Trophäen für die Aktivierung der Mehrfaktor-Authentifizierung zu vergeben, kann das Plugin von Hanashi genutzt werden.

  • Mehrfaktor-Authentifizierung ist etwas privates und geht mit dem Passwort einher. Aus unserer Sicht sollte niemand durch Gamification (=> Trophäen) dazu genötigt werden Mehrfaktor-Authentifizierung anzuschalten. Jeder der den Sinn und Zweck dahinter versteht, aktiviert das sowieso von sich aus, auch ohne die Trophäe.

    Und warum nicht einfach dem jeweiligen Admin die Wahl überlassen, ob eine solche Trophäe angeboten wird, oder nicht? Das verstehe ich nicht. Die Trophäe ist doch nicht automatisch für alle aktiviert. Dazu gehört doch immer noch ein manuelles Anlegen einer solchen Trophäe durch den Admin. Der Admin, der genau eurer Meinung ist, muss diese Trophäe dann ja gar nicht nutzen. :/

    Alle anderen, die das Verfahren nicht verstanden haben, gehen damit, aus unserer Erfahrung heraus, sowieso eher fahrlässig um und sperren sich wohlmöglich selber aus, weil bspw. das Handy mit der Mehrfaktor-App ausgetauscht wird und sich die Notfall-Codes nicht notiert werden.

    Das musst du mir nicht sagen. Ein solches 2FA Plugin gibt es ja nicht erst seit gestern! Und obwohl ich die 2FA für Teammitglieder zwingend eingestellt hatte, musste ich diesen Zwang wieder entfernen, weil selbst Teammitglieder es nicht verstanden haben, wie eine solche 2FA funktioniert und sich teilweise dann bei jedem Login mit einem der Backup-Codes angemeldet haben. Und hier konnte (kann?) man als Admin dann ja zum Glück eingreifen und die 2FA für einen bestimmten Account zurücksetzen.

    es ist aber bisher bspw. auch noch keiner auf die Idee gekommen Trophäen auf Grundlage von sicheren Passwörtern zu vergeben

    Weil genau das auch einfach gar nicht möglich ist vielleicht? :/

    Einmal editiert, zuletzt von PoooMukkel (2. Juli 2021 um 13:27)

  • Eben. Dürfte ja auch stark von der Community abhängen. 2FA würde ich bei uns bspw. nicht aktivieren, weil wir den Supportaufwand nicht leisten können, reicht ja schon wenn mal wieder jemand sein Passwort vergessen hat und auch keinen Zugriff auf seine damalige E-Mail-Adresse mehr besitzt. E-Mail-Adressen wechseln viele nicht ganz freiwillig regelmäßig. Aber bspw. in einer Community zum Thema Netzwerksicherheit...

    • Offizieller Beitrag

    Und warum nicht einfach dem jeweiligen Admin die Wahl überlassen, ob eine solche Trophäe angeboten wird, oder nicht? Das verstehe ich nicht. Die Trophäe ist doch nicht automatisch für alle aktiviert. Dazu gehört doch immer noch ein manuelles Anlegen einer solchen Trophäe durch den Admin. Der Admin, der genau eurer Meinung ist, muss diese Trophäe dann ja gar nicht nutzen. :/

    Uns ist selbstverständlich bewusst, dass die reine Existenz der entsprechenden Checkbox nicht dazu führt, dass automatisch Trophäen entstehen. Direkt verfügbare Optionen führen aber dennoch leicht dazu, dass diese unbedacht aktiviert werden. Im Falle von Hanashis Community, der ein entsprechendes Plugin anbietet, war eine derartige Trophäe sicherlich sinnvoll, um potentiellen Kunden ein Aha-Erlebnis zu bieten. In nahezu allen anderen Communities erscheint eine solche Trophäe aber wenig sinnvoll bis schädlich. Bei der Entwicklung der Mehrfaktor-Authentifizierung ist eines unserer Design-Ziele gewesen, dass diese ohne fehleranfällige oder gefährliche Optionen auskommt. Tim hat das ganze in einem früheren Thema bereits angesprochen.

    Zitat von PoooMukkel

    Das musst du mir nicht sagen. Ein solches 2FA Plugin gibt es ja nicht erst seit gestern! Und obwohl ich die 2FA für Teammitglieder zwingend eingestellt hatte, musste ich diesen Zwang wieder entfernen, weil selbst Teammitglieder es nicht verstanden haben, wie eine solche 2FA funktioniert und sich teilweise dann bei jedem Login mit einem der Backup-Codes angemeldet haben. Und hier konnte (kann?) man als Admin dann ja zum Glück eingreifen und die 2FA für einen bestimmten Account zurücksetzen.

    Das zeigt doch ganz gut das Problem, wenn man die Aktivierung der Mehrfaktor-Authentifizierung versucht extern zu motivieren. Sei es durch technischen Zwang oder durch den „Spieltrieb“ einer Trophäe. Aus unserer Erfahrung heraus versteht das Konzept die Hälfte der Benutzer nicht (gerade im Hinblick auf Communities mit einer Zielgruppe, welche nicht technisch so affin ist) und ist über kurz oder lang auf Hilfe angewiesen (was sich ja auch mit deinen Beobachtungen deckt). Hier gibt es dann noch ein weiteres Problem. Wie kann der Benutzer, der seinen zweiten Faktor „verloren“ hat diesen wiederherstellen? Er muss zwangsläufig den Administrator kontaktieren und diesen bitten, die Mehrfaktor-Authentifizierung für den Benutzer zu deaktivieren (was standardmäßig im ACP möglich ist, um die Frage schonmal abzuhaken). Der Administrator muss nun verifizieren, ob der Benutzer wirklich der Benutzer ist, für den er sich ausgibt. Das ist bspw. anhand einer E-Mail praktisch unmöglich. Die E-Mail könnte durch eine dritte Partei übernommen worden sein, welche sich nun das Passwort für die Community zurückgesetzt hat und den Code haben möchte. Eine Verifikation beim Verlust eines zweiten Faktors sollte also anders ablaufen. Hetzner hat bspw. die Möglichkeit den zweiten Faktor durch eine postalische Verifikation aufzuheben (die Kundendaten sind dort ja hinterlegt). Anders ist es dort meines Wissens auch nicht möglich.

  • Joshua Rüsweg 2. Juli 2021 um 15:18

    Hat das Label Nicht geplant hinzugefügt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!