Auch. Denn wer Zugriff auf das Gerät erhält, hat ansonsten auch Zugriff auf die Onlinedienste. Durch gewisse Maßnahmen, beispielsweise eine wirksame Verschlüsselung, kann man einige aber nie alle möglichen Risiken stark reduzieren (Diebstahl), ein verschlüsselter Datenträger wäre allerdings auch unverschlüsselt, wenn gerade damit gearbeitet wird; ein Trojaner würde also trotzdem ein entschlüsseltes System vorfinden.
Abmeldung im ACP Fehlerhaft?
-
- Fixed
- 5.4.3
- MEGAbiker1971
-
-
Vorsicht mit solchen Aussagen, nach der bedeute es nämlich auch als wäre die V5.3. nicht sicher und WoltLab hat sie trotzdem veröffentlicht was ich nicht glaube.
Das sind doch zwei verschiedene paar Schuhe. Vielleicht solltest du dich mal damit gescheit auseinander setzen dann wüsstest du das.
Natürlich ist die Software vom Grund her sicher aber sie kann nicht Leute schützen die Love als Passwort nutzen oder oder …..
Die 2Fa gibt aber sogar solchen Leuten Sicherheit dann dann spielt das Passwort eine nicht mehr so große Rolle wie ohne. (Heißt jetzt nicht das das Passwort nicht ordentlich trotz alle dem gewählt werden sollte)
-
Auch. Denn wer Zugriff auf das Gerät erhält, hat ansonsten auch Zugriff auf die Onlinedienste.
Das ist genau so wie mit der Brieftasche die man nur zum zahlen heraus nimmt.
-
weil ich nicht wüsste, was ich dafür verwenden könnte, das ich zuverlässig immer griffbereit habe.
Ich weiß nicht welche Geräte du verwendest, daher nur ein allgemeiner Vorschlag:
Sofern möglich kannst du am Handy und deinem Gerät jeweils die native Unterstützung für WebAuthN hier nutzen. Zusätzlich kannst du TOTP über dein Handy konfigurieren. Die Wahrscheinlichkeit, dass du entweder dein Handy -+10m um dich rum hast oder eh am PC mit Windows Hello/Fingerabdruck/whatever sitzt, ist dann sehr hoch.
-
Ich.... Will hier nur auch noch einwerfen, das ich es auch aktiv habe (und auch sonst überall wo es nur geht)...
-
Muss ich bei Gelegenheit mal ausprobieren. Aber wenn wir schon dabei sind, und mag sein, dass das schon irgendwo stand, aber wenn ein Benutzer seine 2FA vergessen / verloren / ... hat, wie können wir ihn dabei unterstützen, seinen Zugriff wiederzuerlangen?
-
Ich meine gelesen zu haben das ein Admin die 2Fa deaktivieren kann. Und hinther wieder aktivieren dann kann der User das neu einrichten.
-
Ich meine gelesen zu haben das ein Admin die 2Fa deaktivieren kann. Und hinther wieder aktivieren dann kann der User das neu einrichten.
Das verfolgt aber nicht gerade den Zweck von 2FA. Wer sich seine Backup Codes nicht speichert, kann nur auf Kulanz des Betreibers hoffen.
-
Das steht natürlich außer Frage ich wollte auch nur darauf Hinweisen das der Betreiber es kann im Notfall.
Ps: aber so ist es überall wo es 2Fa gibt nach meinem Wissensstand.
-
Also manchmal habe ich das Gefühl, dass manche Benutzer ihre Passwörter generell nicht speichern, sondern einfach ein neues Passwort anfordern, wenn ihr Browser sie nicht mehr automatisch anmeldet. Gut, die werden jetzt vielleicht nicht unbedingt 2FA aktivieren, wenn man sie nicht dazu zwingt.
-
Also manchmal habe ich das Gefühl, dass manche Benutzer ihre Passwörter generell nicht speichern, sondern einfach ein neues Passwort anfordern, wenn ihr Browser sie nicht mehr automatisch anmeldet. Gut, die werden jetzt vielleicht nicht unbedingt 2FA aktivieren, wenn man sie nicht dazu zwingt.
Bei mir haben sie schon rum gemäckert wie verrückt als ich den Zusatz Code aktiviert habe den man per Mail bekommt und beim Login eingeben muss die meisten haben es direkt wieder deaktiviert 😂
-
Bei mir haben sie schon rum gemäckert wie verrückt als ich den Zusatz Code aktiviert habe den man per Mail bekommt und beim Login eingeben muss die meisten haben es direkt wieder deaktiviert 😂
Meine Rede, braucht/will kein Mensch
. Bei mir als Admin hab ich es angeschaltet, die andren können, müssen aber nicht. -
Für die Teammitglieder fände ich es eigentlich sehr viel angenehmer, wenn sie das Forum generell ganz normal nutzen könnten, ohne X Funktionen, die normale Benutzer nicht sehen, und sich nur bei Bedarf zusätzliche Rechte verschaffen, indem sie ein weiteres Passwort eingeben. Okay, das könnte man nachstellen, indem man mehrere Benutzer verwendet, aber das wirkt auf die Benutzer eher seltsam. Und jeder dieser Benutzer braucht ja auch eine eigene E-Mail-Adresse. So macht man das oft im Unternehmen. Domänen-Admins dürfen sich weder auf Server noch auf Clients anmelden, Server-Admins dürfen sich nicht auf Clients anmelden, Client-Admins dürfen sich ausschließlich auf Clients anmelden, etc. Würde ich instinktiv hier auch umsetzen wollen.
-
Meine Rede, braucht/will kein Mensch
. Bei mir als Admin hab ich es angeschaltet, die andren können, müssen aber nicht.Anscheinend nicht naja inzwischen ist es mir auch Wurscht jeder soll es so handhaben wie er mag aber zumindest besteht die Möglichkeit.
Damit’s nicht da noch was zu motzen gibt weils nicht da ist. Aber da merkt man wie egal den normalen User das Thema Sicherheit ist. Vielleicht wichtiger ist es denen es muss so einfach wie möglich sein und so wenig Klicks wie möglich.
-
Meine Rede, braucht/will kein Mensch
.Jetzt hör aber auf. Du musst nicht bei jeder Gelegenheit sagen, dass angeblich kein Mensch eine Zweifaktor-Authentifizerung bräuchte oder will. Ich glaube, in diesem Forum hat mittlerweile jeder verstanden, dass du nichts davon hältst.
-
Die Abmeldung hat immer noch einen Fehler, geht man ins ACP, dann auf Abmelden und man bestätigt das Abmelden ist man immer noch im Forum angemeldet
. -
Das ist denke ich kein Fehler, ACP-Session ist nicht gleich Frontend-Session.
-
Das ist denke ich kein Fehler, ACP-Session ist nicht gleich Frontend-Session.
Doch, sind sie seit dem 5.4
MEGAbiker1971 : Wenn du dich ausloggst hast du nun den folgenden Schirm:
Dort kannst du dann mit einem zweiten Klick die Session auch im Frontend beenden, bisher war es so dass man nach dem Abmelden direkt im Frontend gelandet ist, das wurde entsprechend angepasst.
-
Dort kannst du dann mit einem zweiten Klick die Session auch im Frontend beenden, bisher war es so dass man nach dem Abmelden direkt im Frontend gelandet ist, das wurde entsprechend angepasst.
Das weiß ich, aber soll das so sein? Das ist doch
und widerspricht jeder Logik. Einmal Anmelden und 2 mal Abmelden. -
Das weiß ich, aber soll das so sein? Das ist doch
und widerspricht jeder Logik. Einmal Anmelden und 2 mal Abmelden.Das ist genau jene Lösung, die von Tim Düsterhus angekündigt wurde.
Für den Großteil der Nutzer wäre es ein deutlicher Komfort Verlust, wenn Sie auch im Frontend abgemeldet würden, nur weil sie den ACP Zugang deaktivieren. Dass dies für dich nicht zutrifft, ist mittlerweile klar, jedoch zeigt sich auch anhand der Antworten in diesem Thread, wie ungewöhnlich dein Vorgehen ist und dass es eben nicht der Standard ist, den die meisten erwarten.
Participate now!
Don’t have an account yet? Register yourself now and be a part of our community!
