Hay,
Ich fände es super wenn man bestimmte Threads (mit z.B. vertraulichen Informationen) oder gar ganze Forenbereiche als besonders geschützten Bereich definieren könnte, wodurch dann diese ohne aktive 2-Faktor Authentifizierung (Mehrfaktor-Authentifizierung erzwingen) nicht betreten können.
Die Funktionalität existiert ja bereits, es fehlt lediglich das hinzufügen von besonders geschützten Bereichen.
und wie sehen das deine Nutzer? finden die das prickelnd mit jedem Login erst die 2-Faktor-tänzchen zu machen?
davon wird es nebenbei auch nicht "sicherer" nur umständlicher für die Nutzer, wenn sie jedes mal erst die 2-Faktor-tänzchen machen müssen um dann in einen Forenbereich zu kommen ..
BTW Gibt das nicht schon die Möglichkeit die 2-Faktor-Auth direkt für den Login zu erzwingen, warum dann noch extra für die Bereiche? Falls nicht, dann wäre das vlt. noch eine bessere Möglichkeit und weniger umständlich, als für das Betreten der einzelnen Forenbereiche jeweils extra?
Wenn man dann nämlich einmal, gezwungen-2-Faktor-Auth, auf der Seite ist, wäre ja in dem Sinn alles was dahinter liegt direkt geschützt und es wäre, denke ich mal, nicht mehr notwendig, das für die Bereiche einzeln noch mal zu machen ..
Solche Pauschalanfragen sind in sofern, aus meiner Sicht, bedenklich, wenn das dann ggf. doch mal umgesetzt würde, dann haben das auch wieder alle an der Backe, auch die die das nicht unbedingt benötigen, davon gibt es in der aktuellen Version schon mehr als genug, was alle ertragen müssen obwohl sie es nicht benötigen oder haben wollten.
Und pauschal für alle implementiert, bedeutet, das man das auch nicht problemfrei individuell wieder rauswerfen könnte ohne die gesamte Struktur umzuschreiben .. Dann hätte ich es persönlich lieber, wenn sowas als Plugin gelöst würde - optional - für die Interessierten - wie zB. die LDAP-Anbindung und das WebAuth - anstelle "fest verankert für alle" egal ob erwünscht oder unerwünscht
Es gibt zudem auch reihenweise qualifizierte Schreiberlinge, die sowas sicher auf die Spur bringen könnten, ohne das es dann alle an der Backe haben müssten
Man kann Bereiche auch für einzelne Mitglieder freigeben und alle anderen inkl. der Gründergruppe und dem Seitenbetreiber etc. aus den Bereichen heraus halten, auch das ist bereits mit Boardmitteln möglich
Anthrazit du nutzt offensichtlich bisher nicht 2fa in der WoltLab Suite.
Der zweite Faktor wird ausschließlich beim Login abgefragt. Ihn zu erzwingen bedeutet lediglich, dass ein zweiter Faktor eingerichtet sein muss um die Seite dann beteten zu dürfen - nicht, dass du dauernd einen Code eingeben musst.
Man kann höchstens eine Reauthentifierung anfordern, dann muss man das Passwort eingeben. Das sind aber zwei getrennte Dinge.
Ich lese im Eingangsbeitrag auch nicht, dass bei jedem Aufruf ein zweiter Faktor abgefragt werden soll, sondern lediglich, dass 2fa auf dem Account aktiv bzw. eingerichtet sein soll/muss.
Aber gibt es nicht bereits die Möglichkeit, 2FA für Benutzergruppen vorzuschreiben, die man dann wiederum für den geschützten Bereich freischalten könnte?
Das wirkt sich standardmäßig nur auf den Zugriff aufs ACP aus.
Ich habe ein Paket, mit dem man das pro Seite im Frontend erzwingen kann, aber das hat keine Differenzierung zwischen Objekt 1 und 2, sondern gilt dann für alle Objekte, die über diese Seite ausgeliefert werden.
Man müsste sich effektiv in die Seite einklinken, die ID prüfen und dann anhand dessen 2fa erzwingen. Aktuell habe ich aber leider genug anders um die Ohren und keine Zeit das in mein Paket einzubauen. Eventuell denke ich da in ein paar Monaten dran. 😅
Echt? Und wenn ich für die Benutzer eine 2FA vorgeben möchte?
Das musst du per PHP-Code explizit anfordern; dann wird geprüft, ob eine der Gruppen 2fs zwangsweise haben muss und wenn ja, muss man 2fa konfigurieren.
Wie gesagt standardmäßig wird im Frontend vom WSC nirgends 2fa erzwungen, lediglich für den Zugriff zum ACP.
Schade, hatte eigentlich drüber nachgedacht, das für die Moderatoren vorzugeben.
Hallo,
Schade, hatte eigentlich drüber nachgedacht, das für die Moderatoren vorzugeben.
die Einstellung stellt nichtsdestotrotz sicher, dass entsprechende Gruppenmitglieder die MFA nicht wieder deaktivieren können, sobald sie einmal aktiv ist:
Die erstmalige Aktivierung für eine Handvoll von Moderatoren „sicherzustellen“ wäre dann ein Problem, dass man sicherlich auf menschlicher statt technischer Basis lösen könnte.
In Sicherheitskonzepten werden technische Lösungen gegenüber organisatorischen Lösungen klar bevorzugt. 
Display Moreund wie sehen das deine Nutzer? finden die das prickelnd mit jedem Login erst die 2-Faktor-tänzchen zu machen?
davon wird es nebenbei auch nicht "sicherer" nur umständlicher für die Nutzer, wenn sie jedes mal erst die 2-Faktor-tänzchen machen müssen um dann in einen Forenbereich zu kommen ..
BTW Gibt das nicht schon die Möglichkeit die 2-Faktor-Auth direkt für den Login zu erzwingen, warum dann noch extra für die Bereiche? Falls nicht, dann wäre das vlt. noch eine bessere Möglichkeit und weniger umständlich, als für das Betreten der einzelnen Forenbereiche jeweils extra?
Wenn man dann nämlich einmal, gezwungen-2-Faktor-Auth, auf der Seite ist, wäre ja in dem Sinn alles was dahinter liegt direkt geschützt und es wäre, denke ich mal, nicht mehr notwendig, das für die Bereiche einzeln noch mal zu machen ..
Solche Pauschalanfragen sind in sofern, aus meiner Sicht, bedenklich, wenn das dann ggf. doch mal umgesetzt würde, dann haben das auch wieder alle an der Backe, auch die die das nicht unbedingt benötigen, davon gibt es in der aktuellen Version schon mehr als genug, was alle ertragen müssen obwohl sie es nicht benötigen oder haben wollten.
Und pauschal für alle implementiert, bedeutet, das man das auch nicht problemfrei individuell wieder rauswerfen könnte ohne die gesamte Struktur umzuschreiben .. Dann hätte ich es persönlich lieber, wenn sowas als Plugin gelöst würde - optional - für die Interessierten - wie zB. die LDAP-Anbindung und das WebAuth - anstelle "fest verankert für alle" egal ob erwünscht oder unerwünscht
Es gibt zudem auch reihenweise qualifizierte Schreiberlinge, die sowas sicher auf die Spur bringen könnten, ohne das es dann alle an der Backe haben müssten
Man kann Bereiche auch für einzelne Mitglieder freigeben und alle anderen inkl. der Gründergruppe und dem Seitenbetreiber etc. aus den Bereichen heraus halten, auch das ist bereits mit Boardmitteln möglich
Es würde lediglich die Personen betreffen bei denen die Mehrfaktor Authentifizierung erzwungen wird. So wie es derzeit beim ACP sofern diese Option eingeschalten ist stattfindet. Hast du keine 2-Faktor-Authentifizierung aktiviert so bleibt der Zugang zu diesen Bereichen solange verwehrt bis du diese aktivierst.
Ich hab den Vorschlag hier gepostet, da in meinen Augen dies einen Mehrwert für Alle hätte wenn man die besonders geschützten Bereiche erweitern könnte. Einfach aus der Sicht des Datenschutzes kann man damit z.B. Kundendaten o.ä. nochmal sicherer machen. Auch wäre z.B. in meinen Augen der Moderationsbereich ein besonders geschützter Bereich, welcher auch nur bei aktiver 2-Faktor-Authentifizierung betreten werden dürfte.
Wie gesagt es geht hier nicht darum, dass man jedes mal wenn man derartige Bereiche betritt sich mittels der 2-Faktor-Authentifizierung neu authentifizieren muss. Es geht lediglich darum die bestehende Funktion der besonders gesicherten Bereiche zu erweitern, welche dann einfach den Zugriff verwehrt solang keine 2-Faktor-Authentifizierung aktiv ist.
Siehe Screenshot hier:
Don’t have an account yet? Register yourself now and be a part of our community!
