2FA Trophäenvoraussetzung

  • App
    WoltLab Suite Core

    Hallo zusammen,


    um das Sicherheitsbewusstsein in Communities zu stärken, sollte es mehr Möglichkeiten mit der 2-Faktor-Authentifizierung geben wie zum Beispiel Trophähen zu vergeben, wenn man sie nutzt.

    Gerade in Punkto Sicherheit kann man so spielerisch die Communities besser aufklären.

  • Ein Trophäen-Plugin gibt es von Hanashi. Allerdings sollte Gamification nicht als Anreiz zur besseren Absicherung des Accounts verwendet werden. Wer seinen Account nur wegen einer Trophäe zusätzlich absichert, hat das Prinzip nicht verstanden und verwendet vermutlich auch dasselbe Kennwort seit 10 Jahren auf sämtlichen Plattformen. Das sind meistens auch die ersten Leute, die den Zugang zu ihrem 2. Faktor verlieren und dann darum bitten, diesen wieder zu deaktivieren, was das System ad-absurdum führt.


    Von einer Trophäe haben die Leute nichts, sondern von Auf- und Erklärung.

  • Allerdings sollte Gamification nicht als Anreiz zur besseren Absicherung des Accounts verwendet werden. Wer seinen Account nur wegen einer Trophäe zusätzlich absichert, hat das Prinzip nicht verstanden und verwendet vermutlich auch dasselbe Kennwort seit 10 Jahren auf sämtlichen Plattformen.


    Dem widerspreche ich komplett. Gamification schafft Anreize für Nutzer, die ansonsten vermutlich keine 2FA nutzen würden. Der Vorschlag kann also dabei helfen, das allgemeine Sicherheit-Niveau zu heben.


    Der Zusammenhang, dass Nutzer, die das zum Anlass nehmen, 2FA zu nutzen, vermutlich seit zehn Jahren auf sämtlichen Plattformen das gleiche Kennwort verwenden, ist an den Haaren herbei gezogen. Das eine hat mit dem anderen schlicht und ergreifend nichts zu tun. Auch ich nutze zwar teilweise, aber längst nicht überall 2FA, wo es möglich wäre. Und ich nutze tatsächlich überall ein unterschiedliches Passwort. Ich sehe mich da auch keineswegs als Ausnahme. Klar, die Mehrheit verwendet vermutlich nicht überall unterschiedliche Kennwörter. Aber der Grund, wieso kein 2FA genutzt wird, ist häufig ganz einfach der, dass es umständlich ist. Mangelndes Verständnis ist nicht unbedingt ausschlaggebend und vor allem nichts Schlimmes. Man kann ja dazu lernen. Und wieso sollte man als Betreiber nicht dabei helfen, indem man Anreize schafft?


    Das sind meistens auch die ersten Leute, die den Zugang zu ihrem 2. Faktor verlieren und dann darum bitten, diesen wieder zu deaktivieren, was das System ad-absurdum führt.


    Das ist auch schon wieder so verallgemeinernd und verurteilend. Das kann jedem passieren. Ich sehe es auch nicht als belegt, dass jemand, der zu 2FA motiviert wird, anfälliger dafür ist. Ich könnte mir sogar das Gegenteil vorstellen: Wenn man es schafft, jemanden frisch zu motivieren, ist das vielleicht der beste Zeitpunkt für denjenigen, sich mit der Thematik auseinanderzusetzen. Das ist genauso wenig belegt wie deine These, aber genauso möglich. Die Wahrheit liegt am Ende vermutlich wie immer irgendwo in der Mitte: Es gibt solche und solche Nutzer.


    Von einer Trophäe haben die Leute nichts, sondern von Auf- und Erklärung.


    Von Trophäen haben Nutzer generell nichts. Damit kannst du das komplette Feature für überflüssig erklären. Darum geht's aber auch nicht. Es geht wie gesagt um Anreize, die Trophäe ist Mittel zum Zweck.


    Nur beim letzten Halbsatz stimme ich dir zu. Es braucht Auf- und Erklärung. Das eine schließt das andere aber nicht aus. Im Gegenteil: Das kann man durch Kommunikation prima miteinander kombinieren: Die Ankündigung dieser „Belohnung“ bietet gleichzeitig eine super Plattform für Erklärungen zum Thema 2FA und Sicherheit.


    Ich sehe keinen einzigen glaubhaften Nachteil in diesem Feature, aber einen großen Vorteil. Daher bin ich ganz klar dafür.

    Edited 2 times, last by Cadeyrn ().

  • Hallo,

    sollte es mehr Möglichkeiten mit der 2-Faktor-Authentifizierung geben wie zum Beispiel Trophähen zu vergeben, wenn man sie nutzt.

    da von meinem Trophäen-Plugin gesprochen wurde, möchte ich es auch kurz verlinken: https://github.com/HanashiDev/…ltifactor-trophy/releases


    Vielleicht ist aber der Beitrag von Josh zu dem Thema noch einmal lesenswert:

  • Die zitierte Begründung ist allerdings nicht schlüssig. Dort ist von Nötigung und Zwang die Rede. Das ist natürlich Quatsch. Es ist ein Anreiz, der Menschen entweder dazu motiviert, 2FA zu nutzen - oder eben nicht. Es bleibt immer noch komplett freiwillig. Durch das Anbieten einer Trophäe entstehen weder Zwang noch Nötigung. Wenn man wirklich so argumentieren möchte, stellt so ziemlich alles, was in Zusammenhang mit Trophäen steht, Zwang und Nötigung dar. Ist das tatsächlich die Denkweise, dann sollten Trophähen entfernt werden. Und nein, ich argumentiere absolut nicht für die Entfernung der Trophäen, das ist für mich nur die logische Folgerung aus dieser Argumentation.


    Auch halte ich es für eine sehr gewagte These, dass jeder, der den Sinn und Zweck hinter 2FA versteht, das sowieso von sich aus aktiviert. Erstens: Nein, aber mal ganz sicher nicht. Sehr viele Menschen verstehen sehr wohl den Sinn und Zweck und aktivieren es trotzdem nicht. Einige sicherlich, weil es ihnen zu umständlich ist. Aber es gibt auch andere Menschen, bei denen es vielleicht wirklich nicht viel mehr als einen kleinen Impuls, eine zusätzliche Motivation braucht, weil sie Sinn und Zweck sehr wohl bereits verstehen, sie sich nur noch nicht zur Einrichtung überwinden konnten.


    Es gibt viel Literatur zum Thema Gamification oder allgemeiner gesprochen zur menschlichen Psyche und wie Belohnungen etwas mit uns machen. Insofern ist es alles andere als abwägig, dass eine Trophäe für diese Menschen genau den benötigten Anstoß gibt, sich doch zur Einrichtung zu überwinden.


    Und ganz ehrlich: Es ist nichts daran verkehrt, Menschen zur Verbesserung ihrer Account-Sicherheit zu motivieren. Das habe ich ja noch nie gehört, dass man da unbedingt von selbst drauf kommen muss.


    Mehr in Richtung Aufklärung zu unternehmen ist sicherlich nicht verkehrt (wo sie sind die entsprechenden Vorschläge dafür?). Aber das ist vollkommen unabhängig von diesem Vorschlag hier. Außerdem lässt sich das wie gesagt ja auch in der Kommunikation miteinander verbinden. Woher kommt diese Annahme, dass man nicht mehr aufklären könnte, wenn man eine Trophäe anbietet?


    Leider geht auch Joshua davon aus, dass Menschen, die (noch) nicht auf dem gleichen Wissenssstand sind, sich mit einer erhöhten Wahrscheinlichkeit aussperren. Wie gesagt: Das kann jedem passieren. Aber der Verzicht auf eine Trophäe und stattdessen ein Hinweis im Bentzerprofil wird an der Wahrscheinlichkeit nicht das Geringste verändern. Die Unerfahrenheit bleibt nämlich - bis man es mal genutzt hat. Und irgendwo muss jeder anfangen.


    Nach der Argmentation sollte 2FA nur von Menschen genutzt werden, die sich bereits besser auskennen. Dabei ist doch genau das Gegenteil zutreffend: Gerade die unerfahreneren Nutzer hätten es doch tendenziell noch viel nötiger, dass ihr Account gut abgesichert ist. Denn wer unerfahren ist, macht schneller Fehler. Gerade im Bereich Sicherheit ist Unerfahrenheit ein großes Thema. Das sehe ich jeden Tag im Rahmen des Firefox-Supports, wie viele Menschen von Sicherheit wenig verstehen und teils naive Denkweisen haben. Darum sollten wir als Betreiber auch bestrebt sein, die Nutzung zusätzlicher Sicherheits-Maßnahmen zu unterstützen. Einen Anreiz zu schaffen, wird längst nicht jeden dazu bringen, aber einen Teil. Und es schadet niemandem.


    Der Vergleich mit (nicht existierenden) Tropähen für sichere Passwörter ist so unpassend, dass ich mir nicht sicher bin, ob das den Vorschlag nicht gar ins Lächerliche ziehen soll. Es geht nicht um die Bewertung eines Passworts, welches sowieso jeder braucht. Zumal ein vermeintlich sicheres Passwort nicht zwingend sicherer sein muss. Das könnte auch nach hinten losgehen. Es geht um einen Anreiz für die Aktivierung eines zusätzlichen Schutzfaktors, mit dem sich viele Menschen noch schwer tun, weswegen 2FA nach wie vor nur von einem Bruchteil aller Nutzer genutzt wird.

    Edited 2 times, last by Cadeyrn: Typo ().

  • Danke für das Update auf 1.0.1. Schade, dass dieses Plugin nicht über deinen Paket-Server läuft. Wäre mir fast durchgerutscht die neue Version ... :/

    Die neue Version ändert nichts, nur bisschen Einrückung im Code. Updates zu erhalten ist also bei dem Plugin nicht notwendig ;)

  • Mir ging es zudem mit dem Vorschlag darum, dass man die Nutzer über diese Trophäe auf die gesamte Thematik aufmerksam macht und dann gezielt informiert.


    Wenn ein unbedarfter Nutzer eine Trophäe bei jemand anderem sieht, will man wissen, was es damit auf sich hat und sie gegebenenfalls selbst erhalten. So kann man Nutzer spielerisch an die Thematik Sicherheit heranführen.


    Danke für die Verrenkung des Plugins, ich werde es mir einmal genauer anschauen 😊

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!