Authentifizierung per YubiKey OTP

  • App
    WoltLab Suite Forum

    ich wollte fragen ob das mit eingebaut werden könnte also als standard: Authentifizierung per YubiKey OTP, natürlich mit der option das man auch ohne einen Yubikey sich regestrieren kann bzw ein loggen kann
    cya
    betaman

  • Ich denke nicht, dass so etwas in den Standardumfang gehört. Ich persönlich höre von YubiKey OTP zum 1. Mal, das wird hier sicherlich einigen so gehen. Ferner ist das Ganze scheinbar kostenpflichtig, daher ist das so oder so nichts für den Standardumfang.

  • Interessanter wär imho ne TOTP implemetirung nach rfc6238. Dann könnte sich jeder mit nem Standardkonformem Autheticator ziemlich sicher einloggen. Solche Authis gibts fürs Smartphone als App z.B. von Google umsonst, kann man aber auch als Schlüsselanhänger bestellen.

    Ist nen ziemlich narrensicheres System.

    "A life is like a garden. Perfect moments can be had, but not preserved, except in memory. LLAP" — Leonard Nimoy

  • naja wordpress hat das auch drinne als plugin, kostenlos diese Authentifizierung mit yubikey

    http://wordpress.org/plugins/yubikey-plugin/

    sollte ja nicht so schwer sein das einzubauen xD

    Die Aussage ist SO nicht korrekt. Wordpress hat das nicht drin, d.h. es ist nicht im Standardumfang enthalten.

    Gegen ein Plugin habe ich nichts. Wie gesagt... Ich glaube nur, dass das nicht in den Standardumfang der Software gehört.

    Aber ich habe wiederum nichts gegen eine im Standardumfang enthaltene Opensource-2-Faktor-Authentifizierung.

  • solche methoden werden in firmen benutz als sicherheit, nur mal so als info ( tokem keys ) vor allem ist es kein großer aufwand, solche funktion im forum einzubauen, um sein account abzusichern

  • ich bin sogar für eine 2-Factor Authentifizierung, nur bitte wenn als einfache RCF 6238 kompatible Lösung, damit alle Standardkonforme Token-generatoren damit benutzt werden könne.

    Von YubiKey selber halte ich wenig.

    Und doch, wenn man das wirklich richtig machen will (z.B. auch mit Clock-resynchronisation, damit das auch über jahre hinweg, wenn die Uhren gerade bei Hardware-authenticatoren driften, noch funktioniert) so ist das schon mit einem gewissen Aufwand verbunden.

    Im übrigen haben die meisten Firmen, die wirklich Wert auf so etwas legen, auch jemanden, der so etwas ins WCF implementieren kann, die Schnittstellen dafür sind alle da. Die "normale" Kundschaft wird sich dafür aber eher weniger interessieren, weshalb ich durchaus verstehen kann, wenn WL da nichts liefern will.

    Das hat mit wenig Wert auf Sicherheit legen übrigens wenig zu tun. Im gegenteil ist es sogar so, dass man für ein einfaches Forum eine 2-Faktor Authentifizierung fast schon als overkill bezeichnen kann.

    "A life is like a garden. Perfect moments can be had, but not preserved, except in memory. LLAP" — Leonard Nimoy

  • solche einstellung wegen 2-Faktor Authentifizierung, kommt aber nur von hier, ip board, wordpress hat sowas als plugin.

    Ähm... Was? Yubikey ist auch eine 2-Faktor-Authentifizierung. Genau so wie der Blizzard Authenticator, usw.

    Was hast du gegen ein yubikey, weil es geld kostet ?

    Das wäre eine mögliche Antwort. Du bist wohl mitunter der einzige Mensch, der das System überhaupt kennt. Warum also sollte WoltLab sich die Mühe machen und etwas implementieren, was wahrscheinlich eh keiner nutzt, weil er damit nichts anzufangen weiß. 2-Faktor-Authentifizierung schön und gut, aber nicht YubiKey. Das ist meine Meinung.

    EDIT:

    Vielleicht noch etwas... Da du ja stets darauf pochst, dass das Wordpress das als Plugin hat... Wenn du das unbedingt haben möchtest, kannst du dir auch jemanden suchen, der es für dich programmiert. Denn das Wordpress-Plugin wurde auch von einer Privatperson erstellt und nicht von den Wordpress-Machern.

  • solche einstellung wegen 2-Faktor Authentifizierung, kommt aber nur von hier, ip board, wordpress hat sowas als plugin.


    eben, als plugin. ist auch dort nicht im standardumfang.

    Zitat


    Was hast du gegen ein yubikey, weil es geld kostet ?


    Eher die Tatsache, dass es ein sehr exotisches System ist.

    Eine Standardkonforme TOTP Umsetzung erlaubt es jedem menschen, der nen Generator hat, sei es als Android App, als Iphone app, oder als kostenpflichtiger! (ja, den muss man kaufen) Schlüsselanhänger, einen sicheren Login zu benutzen, ohne auf irgendeinen ominösen Anbieter gedrängt zu werden. Man kann sich dann sogar, wenn man mag, seinen eigenen Authenticator schreiben.

    Andersum gefargt:
    Was ist der Vorteil von YubiKey gegenüber jedem anderen 2-Faktor Authenticator? ich sehe keinen.

    "A life is like a garden. Perfect moments can be had, but not preserved, except in memory. LLAP" — Leonard Nimoy

  • meine variante wäre billiger, man braucht ein smartfone für deine variante
    habe auch keine lust drauf weiter ein zu gehen, thema ist eh erledigt, ihr habt recht und dann ist gut

    ups google nutz ein yubikey, die unbekannte hardware, woher google das nur kennt .....

    2 Mal editiert, zuletzt von Betaman2k (6. September 2013 um 21:22)

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!