2-Faktor-Authentifizierung verpflichtend beim ersten Seitenaufruf

  • Hay,

    Ich fände es super wenn man ein Plugin entwickeln würde, was simpel gesagt beim ersten Seitenaufruf nach dem Hinzufügen zu einer geschützten Benutzergruppe (2FA-Pflicht), den User auffordert die 2FA zu aktivieren bevor er/sie das Forum richtig nutzen kann. Sprich dass er/sie permanent nach /account-security weitergeleitet wird mit entsprechendem Hinweis.

    Warum?

    Ich persönlich bin einfach ein Fan davon Dinge technisch direkt auszuschließen anstatt händisch immer nachzuprüfen. So müsste jeder der z.B. in eine Moderatorgruppe gepackt wird erst ein mal die 2FA aktivieren um das Forum zu nutzen. Durch das bereits bestehende Benutzerrecht kann man dann verhindern dass die 2FA deaktiviert wird.

    MfG

  • hm .. wenn die Geschichte solcher Ideen eins gezeigt hat, dann das der Zwang keine gute Idee ist, zumal wenn nicht jeder ein dafür erforderliches Gerät hätte und dauernd die emails erst abzurufen um dann den Code einzutragen ist mehr lästig als sicher, aber wer sowas braucht ... mir wäre das zu umständlich, erhöht ja auch kein Stück die Sicherheit ...

    Hunde die bellen, beißen nicht? -> nun, ich bin kein Hund. -> Ich belle nicht. - Ich Beiße! 8o

  • zumal wenn nicht jeder ein dafür erforderliches Gerät hätte

    TOTP kann zum Beispiel jeder moderne Passwort-Manager. Dafür braucht es nicht immer ein Smartphone.

    dauernd die emails erst abzurufen um dann den Code einzutragen ist mehr lästig als sicher, aber wer sowas braucht

    Sicherheit sollte IMMER oberste Priorität haben. Egal ob man bisschen mehr Aufwand hat.

    mir wäre das zu umständlich, erhöht ja auch kein Stück die Sicherheit ...

    Völlig falsch. Es erhöht die Sicherheit deutlich wenn man 2FA aktiviert hat.

  • Ich zitiere mal:

    Bitte nicht: Die Zwei-Faktor-Authentisierung deaktivieren

    Einen Online-Account ausreichend abzusichern ist manchmal unbequem. Das BSI rät jedoch in jedem Fall davon ab, die Zwei-Faktor-Authentisierung zu deaktivieren. Sobald dies bei einem Online-Dienst möglich ist, sollte man sie anwenden. Gerade beim Online Banking, dem Online Shopping und Accounts mit weitreichenden Rechten und Möglichkeiten (z.B. E-Mail und Social Media) lohnt sich das Mehr an Sicherheit. Identitätsdiebstahl, fremde Accountübernahmen oder die Veröffentlichung sensibler Daten muss also nicht sein.

    Aktuelle Empfehlungen und Risiken

    Empfehlungen:

    • Wenden Sie eine Zwei-Faktor-Authentisierung an, sobald ein Online-Dienst dies ermöglicht.
    • Viele Dienste haben die Funktion standardmäßig deaktiviert, bieten sie aber dennoch an. Eine Überprüfung der Log-In-Verfahren lohnt sich.
    • Gelangt Ihr Passwort oder Ihre PIN in die falschen Hände, sind Ihre sensiblen Daten dennoch gut gesichert, wenn sie durch die weitere Barriere eines zweiten Faktors vor fremdem Zugriff abgeschirmt werden.

    Nachteile:

    • Eine Mehrfaktor-Authentisierung verlängert den Anmeldevorgang geringfügig. Auf vertrauenswürdigen Geräten kann sie zwar unter Umständen auch übersprungen werden, dies verringert dann aber wiederum die Sicherheit.
    • Wenn Sie keinen Zugriff auf Ihren besitzbasierten Faktor mehr haben oder er kaputt geht, verlieren Sie in der Regel den Zugang zum entsprechenden Dienst oder seine Funktionalität wird eingeschränkt. Sorgen Sie für diesen Fall vor, indem Sie – wenn möglich – mehrere "zweite Faktoren" hinterlegen (z.B. ein weiteres Token, eine weitere TAN-App oder eine weitere Mobiltelefonnummer für mTAN).
  • Grundsätzlich halte ich eine Zwei-Faktor-Authentisierung für sinnvoll denn sie trägt zur Sicherheit, insbesondere bei Zahlungen über Kreditkarte, PayPal, usw.

    Dennoch muss ich zugeben, dass es mich zuweilen auch nervt, wenn mir ein Dienst in dem erwähnten Zusammenhang eine SMS sendet und mein Handy z. B. im anderen Stockwerk liegt.

    In einem Forum sehe ich aber eine gezwungene Zwei-Faktor-Authentisierung eher abschreckend.

    Gruß Markus

    WoltLab Suite 5.5.22

  • Grundsätzlich halte ich eine Zwei-Faktor-Authentisierung für sinnvoll denn sie trägt zur Sicherheit, insbesondere bei Zahlungen über Kreditkarte, PayPal, usw.

    Dennoch muss ich zugeben, dass es mich zuweilen auch nervt, wenn mir ein Dienst in dem erwähnten Zusammenhang eine SMS sendet und mein Handy z. B. im anderen Stockwerk liegt.

    In einem Forum sehe ich aber eine gezwungene Zwei-Faktor-Authentisierung eher abschreckend.

    Diese Pflicht möchte ich wie o.g. natürlich nicht für jeden sondern nur für Nutzer mit Moderationsrechten oder administrativen Rechten aktivieren. Da ich als Betreiber dort ein Interesse dran hab dass diese Rechte nicht in die falschen Hände geraten durch Phishing o.ä.

  • Ich verstehe durchaus dein Anliegen.

    Dennoch verstehe ich aber nicht weshalb dafür ein spezielles Plugin notwendig sein soll?

    Die WoltLabSuite 5.4 hat bereits die Mehrfaktor-Authentifizierung an Board und aus meiner Sicht sollte zu der von dir erwähnten Moderatorengruppe so viel Vertrauen bestehen, dass deren Mitglieder aufgrund deiner Bitte diese Option auch aktivieren.

    Gruß Markus

    WoltLab Suite 5.5.22

  • Dazu gibt es doch bereits die Option

    "Mehrfaktorauthentifizierung erzwingen"

    Quote

    Benutzer, die Mitglied dieser Benutzergruppe sind, können die Mehrfaktor-Authentifizierung nicht deaktivieren und können besonders geschützte Bereiche erst betreten, wenn sie die Mehrfaktor-Authentifizierung eingerichtet haben.

    OK, der Wunsch diese User direkt auf die entsprechende Seite zu zwingen und keinerlei Aktionen zu ermöglichen besteht nicht. Aber sie haben auch keinen Zugriff auf wichtige Bereiche bevor die 2FA eingerichtet wurde.

  • Authentifizierungs-Helfer für Seiten - MysteryCode

    in Kombination mit der oben genannten Checkbox in den Gruppenrechten.

    Dazu gibt es doch bereits die Option

    "Mehrfaktorauthentifizierung erzwingen"

    Das bringt dir halt im Frontend außer im VieCode Shop bei entsprechender Einstellung nichts, da hier nirgendwo 2fa angefragt wird. Das einzige, wo das "erzwungen" wird ist, wenn man versucht das ACP aufzurufen. Aber alleinstehend ist die Option für das Frontend relativ nutzlos. :P

  • https://update.mysterycode.de/package/111-au…%C3%BCr-seiten/

    in Kombination mit der oben genannten Checkbox in den Gruppenrechten.

    Das bringt dir halt im Frontend außer im VieCode Shop bei entsprechender Einstellung nichts, da hier nirgendwo 2fa angefragt wird. Das einzige, wo das "erzwungen" wird ist, wenn man versucht das ACP aufzurufen. Aber alleinstehend ist die Option für das Frontend relativ nutzlos. :P

    Ein rießen Dankeschön für die Umsetzung!:) Das ist genau das wo nach ich gesucht hab!:)

  • https://update.mysterycode.de/package/111-au…%C3%BCr-seiten/

    in Kombination mit der oben genannten Checkbox in den Gruppenrechten.

    Das bringt dir halt im Frontend außer im VieCode Shop bei entsprechender Einstellung nichts, da hier nirgendwo 2fa angefragt wird. Das einzige, wo das "erzwungen" wird ist, wenn man versucht das ACP aufzurufen. Aber alleinstehend ist die Option für das Frontend relativ nutzlos. :P

    Selbst beim Accountmanagement nicht? War mir nicht bewusst. Dann ein Riesendank dass du dich Mithilfe des Plugins schon dem "Problem" angenommen hast.

  • Selbst beim Accountmanagement nicht?

    Nein, hier wird lediglich eine Re-Authentifizierung verlangt.

    Indikator 2fa (Zwang, sofern der Haken in der Gruppe gesetzt ist):

    Indikator Re-Authentifizierung (allgemeiner Zwang nach einer bestimmten Zeitspanne nach der letzten Re-Authentifizierung):

  • https://update.mysterycode.de/package/111-au…%C3%BCr-seiten/

    in Kombination mit der oben genannten Checkbox in den Gruppenrechten.

    Das bringt dir halt im Frontend außer im VieCode Shop bei entsprechender Einstellung nichts, da hier nirgendwo 2fa angefragt wird. Das einzige, wo das "erzwungen" wird ist, wenn man versucht das ACP aufzurufen. Aber alleinstehend ist die Option für das Frontend relativ nutzlos. :P

    Das ist ja cool :)

    Guck ich mir auf jeden fall mal an. Hab's grad nur überflogen....

    Kurze Frage: Kann ich damit z.B. die "Eintrag bearbeiten"-Seite von einem Dritthersteller "hinter die 2FA setzen" ?

    mfg

    "Cigarettes are like squirrels...

    They're perfectly harmless until you put one in your mouth and light it on fire"

  • Hallo,

    Das bringt dir halt im Frontend außer im VieCode Shop bei entsprechender Einstellung nichts, da hier nirgendwo 2fa angefragt wird.

    das ist nicht ganz korrekt: Wie ich hier

    Tim Düsterhus
    October 25, 2021 at 2:43 PM

    bereits erklärt habe, führt die Einstellung dazu, dass die Mehrfaktor-Authentifizierung nicht wieder deaktiviert werden kann – und genau das ist der primäre Mehrwert der Option. Eine echte Pflicht zur Aktivierung ist unter anderem deshalb nicht implementiert, weil es bereits diverse Plugins gibt, die für sich selbst beanspruchen den Nutzer auf die eigene Seite umzuleiten (bspw. Nutzungsbestimmungen) – mit entsprechenden Problemen bei Konflikten. Auch ist der Mehrwert für eine verpflichtende Mehrfaktor-Authentifizierung zum Lesen von Beiträgen wohl eher gering – ich könnte mir aber durchaus vorstellen, dass man die echte Pflicht zusätzlich auf die Moderation*-Seiten ausweitet.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!