Ein Trophäen-Plugin gibt es von Hanashi. Allerdings sollte Gamification nicht als Anreiz zur besseren Absicherung des Accounts verwendet werden. Wer seinen Account nur wegen einer Trophäe zusätzlich absichert, hat das Prinzip nicht verstanden und verwendet vermutlich auch dasselbe Kennwort seit 10 Jahren auf sämtlichen Plattformen. Das sind meistens auch die ersten Leute, die den Zugang zu ihrem 2. Faktor verlieren und dann darum bitten, diesen wieder zu deaktivieren, was das System ad-absurdum führt.
Von einer Trophäe haben die Leute nichts, sondern von Auf- und Erklärung.
Allerdings sollte Gamification nicht als Anreiz zur besseren Absicherung des Accounts verwendet werden. Wer seinen Account nur wegen einer Trophäe zusätzlich absichert, hat das Prinzip nicht verstanden und verwendet vermutlich auch dasselbe Kennwort seit 10 Jahren auf sämtlichen Plattformen.
Dem widerspreche ich komplett. Gamification schafft Anreize für Nutzer, die ansonsten vermutlich keine 2FA nutzen würden. Der Vorschlag kann also dabei helfen, das allgemeine Sicherheit-Niveau zu heben.
Der Zusammenhang, dass Nutzer, die das zum Anlass nehmen, 2FA zu nutzen, vermutlich seit zehn Jahren auf sämtlichen Plattformen das gleiche Kennwort verwenden, ist an den Haaren herbei gezogen. Das eine hat mit dem anderen schlicht und ergreifend nichts zu tun. Auch ich nutze zwar teilweise, aber längst nicht überall 2FA, wo es möglich wäre. Und ich nutze tatsächlich überall ein unterschiedliches Passwort. Ich sehe mich da auch keineswegs als Ausnahme. Klar, die Mehrheit verwendet vermutlich nicht überall unterschiedliche Kennwörter. Aber der Grund, wieso kein 2FA genutzt wird, ist häufig ganz einfach der, dass es umständlich ist. Mangelndes Verständnis ist nicht unbedingt ausschlaggebend und vor allem nichts Schlimmes. Man kann ja dazu lernen. Und wieso sollte man als Betreiber nicht dabei helfen, indem man Anreize schafft?
Das sind meistens auch die ersten Leute, die den Zugang zu ihrem 2. Faktor verlieren und dann darum bitten, diesen wieder zu deaktivieren, was das System ad-absurdum führt.
Das ist auch schon wieder so verallgemeinernd und verurteilend. Das kann jedem passieren. Ich sehe es auch nicht als belegt, dass jemand, der zu 2FA motiviert wird, anfälliger dafür ist. Ich könnte mir sogar das Gegenteil vorstellen: Wenn man es schafft, jemanden frisch zu motivieren, ist das vielleicht der beste Zeitpunkt für denjenigen, sich mit der Thematik auseinanderzusetzen. Das ist genauso wenig belegt wie deine These, aber genauso möglich. Die Wahrheit liegt am Ende vermutlich wie immer irgendwo in der Mitte: Es gibt solche und solche Nutzer.
Von einer Trophäe haben die Leute nichts, sondern von Auf- und Erklärung.
Von Trophäen haben Nutzer generell nichts. Damit kannst du das komplette Feature für überflüssig erklären. Darum geht's aber auch nicht. Es geht wie gesagt um Anreize, die Trophäe ist Mittel zum Zweck.
Nur beim letzten Halbsatz stimme ich dir zu. Es braucht Auf- und Erklärung. Das eine schließt das andere aber nicht aus. Im Gegenteil: Das kann man durch Kommunikation prima miteinander kombinieren: Die Ankündigung dieser „Belohnung“ bietet gleichzeitig eine super Plattform für Erklärungen zum Thema 2FA und Sicherheit.
Ich sehe keinen einzigen glaubhaften Nachteil in diesem Feature, aber einen großen Vorteil. Daher bin ich ganz klar dafür.
Hallo,
sollte es mehr Möglichkeiten mit der 2-Faktor-Authentifizierung geben wie zum Beispiel Trophähen zu vergeben, wenn man sie nutzt.
da von meinem Trophäen-Plugin gesprochen wurde, möchte ich es auch kurz verlinken: https://github.com/HanashiDev/dev…trophy/releases
Vielleicht ist aber der Beitrag von Josh zu dem Thema noch einmal lesenswert:
Display MoreHallo,
wir haben uns, bewusst, gegen eine Implementation dieser Bedingung für Trophäen entschieden.Mehrfaktor-Authentifizierung ist etwas privates und geht mit dem Passwort einher. Aus unserer Sicht sollte niemand durch Gamification (=> Trophäen) dazu genötigt werden Mehrfaktor-Authentifizierung anzuschalten. Jeder der den Sinn und Zweck dahinter versteht, aktiviert das sowieso von sich aus, auch ohne die Trophäe.
Alle anderen, die das Verfahren nicht verstanden haben, gehen damit, aus unserer Erfahrung heraus, tendenziell eher weniger sorgfältig mit um und sperren sich wohlmöglich selber aus, weil bspw. das Handy mit der Mehrfaktor-App ausgetauscht wird und sich die Notfall-Codes nicht notiert werden.
Ja, es ist sinnvoll, dass immer mehr Menschen an Mehrfaktor-Authentifizierung herangeführt werden, aber das sollte nicht auf Grundlage von Gamification passieren. Es würde bspw. mehr Sinn machen, einen Hinweis beim bearbeiten des Benutzerprofils zu schalten (die Bedingung ist explizit für Hinweise verfügbar), falls die Mehrfaktor-Authentifizierung nicht angeschaltet ist, welcher auf weitere Informationen zu dem Thema verweist. Dann kann der Nutzer sich immer noch damit auseinander setzen und es ggf. aktivieren (oder aber bewusst zu ignorieren).
Außerdem ist es möglich, dass man den Zugang zum ACP auch nur mit aktivierter Mehrfaktor-Authentifizierung ermöglicht. Jeder, der also weiterreichende Rechte hat, kann sowieso dazu gezwungen werden die Authentifizierung zu aktivieren.
Zusammenfassend: Nur weil es möglich ist, ist es nicht sinnvoll den Benutzer dazu zu zwingen. Sichere Passwörter sind auch möglich (und sinnvoll), es ist aber bisher bspw. auch noch keiner auf die Idee gekommen Trophäen auf Grundlage von sicheren Passwörtern zu vergeben. Das muss der Benutzer schlussendlich auch selber entscheiden. Falls man sich entgegen unserer Empfehlung dazu entscheiden sollte, Trophäen für die Aktivierung der Mehrfaktor-Authentifizierung zu vergeben, kann das Plugin von Hanashi genutzt werden.
Die zitierte Begründung ist allerdings nicht schlüssig. Dort ist von Nötigung und Zwang die Rede. Das ist natürlich Quatsch. Es ist ein Anreiz, der Menschen entweder dazu motiviert, 2FA zu nutzen - oder eben nicht. Es bleibt immer noch komplett freiwillig. Durch das Anbieten einer Trophäe entstehen weder Zwang noch Nötigung. Wenn man wirklich so argumentieren möchte, stellt so ziemlich alles, was in Zusammenhang mit Trophäen steht, Zwang und Nötigung dar. Ist das tatsächlich die Denkweise, dann sollten Trophähen entfernt werden. Und nein, ich argumentiere absolut nicht für die Entfernung der Trophäen, das ist für mich nur die logische Folgerung aus dieser Argumentation.
Auch halte ich es für eine sehr gewagte These, dass jeder, der den Sinn und Zweck hinter 2FA versteht, das sowieso von sich aus aktiviert. Erstens: Nein, aber mal ganz sicher nicht. Sehr viele Menschen verstehen sehr wohl den Sinn und Zweck und aktivieren es trotzdem nicht. Einige sicherlich, weil es ihnen zu umständlich ist. Aber es gibt auch andere Menschen, bei denen es vielleicht wirklich nicht viel mehr als einen kleinen Impuls, eine zusätzliche Motivation braucht, weil sie Sinn und Zweck sehr wohl bereits verstehen, sie sich nur noch nicht zur Einrichtung überwinden konnten.
Es gibt viel Literatur zum Thema Gamification oder allgemeiner gesprochen zur menschlichen Psyche und wie Belohnungen etwas mit uns machen. Insofern ist es alles andere als abwägig, dass eine Trophäe für diese Menschen genau den benötigten Anstoß gibt, sich doch zur Einrichtung zu überwinden.
Und ganz ehrlich: Es ist nichts daran verkehrt, Menschen zur Verbesserung ihrer Account-Sicherheit zu motivieren. Das habe ich ja noch nie gehört, dass man da unbedingt von selbst drauf kommen muss.
Mehr in Richtung Aufklärung zu unternehmen ist sicherlich nicht verkehrt (wo sie sind die entsprechenden Vorschläge dafür?). Aber das ist vollkommen unabhängig von diesem Vorschlag hier. Außerdem lässt sich das wie gesagt ja auch in der Kommunikation miteinander verbinden. Woher kommt diese Annahme, dass man nicht mehr aufklären könnte, wenn man eine Trophäe anbietet?
Leider geht auch Joshua davon aus, dass Menschen, die (noch) nicht auf dem gleichen Wissenssstand sind, sich mit einer erhöhten Wahrscheinlichkeit aussperren. Wie gesagt: Das kann jedem passieren. Aber der Verzicht auf eine Trophäe und stattdessen ein Hinweis im Bentzerprofil wird an der Wahrscheinlichkeit nicht das Geringste verändern. Die Unerfahrenheit bleibt nämlich - bis man es mal genutzt hat. Und irgendwo muss jeder anfangen.
Nach der Argmentation sollte 2FA nur von Menschen genutzt werden, die sich bereits besser auskennen. Dabei ist doch genau das Gegenteil zutreffend: Gerade die unerfahreneren Nutzer hätten es doch tendenziell noch viel nötiger, dass ihr Account gut abgesichert ist. Denn wer unerfahren ist, macht schneller Fehler. Gerade im Bereich Sicherheit ist Unerfahrenheit ein großes Thema. Das sehe ich jeden Tag im Rahmen des Firefox-Supports, wie viele Menschen von Sicherheit wenig verstehen und teils naive Denkweisen haben. Darum sollten wir als Betreiber auch bestrebt sein, die Nutzung zusätzlicher Sicherheits-Maßnahmen zu unterstützen. Einen Anreiz zu schaffen, wird längst nicht jeden dazu bringen, aber einen Teil. Und es schadet niemandem.
Der Vergleich mit (nicht existierenden) Tropähen für sichere Passwörter ist so unpassend, dass ich mir nicht sicher bin, ob das den Vorschlag nicht gar ins Lächerliche ziehen soll. Es geht nicht um die Bewertung eines Passworts, welches sowieso jeder braucht. Zumal ein vermeintlich sicheres Passwort nicht zwingend sicherer sein muss. Das könnte auch nach hinten losgehen. Es geht um einen Anreiz für die Aktivierung eines zusätzlichen Schutzfaktors, mit dem sich viele Menschen noch schwer tun, weswegen 2FA nach wie vor nur von einem Bruchteil aller Nutzer genutzt wird.
da von meinem Trophäen-Plugin gesprochen wurde, möchte ich es auch kurz verlinken: https://github.com/HanashiDev/dev…trophy/releases
Danke für das Update auf 1.0.1. Schade, dass dieses Plugin nicht über deinen Paket-Server läuft. Wäre mir fast durchgerutscht die neue Version ... 
Danke für das Update auf 1.0.1. Schade, dass dieses Plugin nicht über deinen Paket-Server läuft. Wäre mir fast durchgerutscht die neue Version ...
Die neue Version ändert nichts, nur bisschen Einrückung im Code. Updates zu erhalten ist also bei dem Plugin nicht notwendig 
Danke für die Info! 
Aber der Grund, wieso kein 2FA genutzt wird, ist häufig ganz einfach der, dass es umständlich ist.
Das sehe ich grundsätzlich ebenso.
Don’t have an account yet? Register yourself now and be a part of our community!
