Umfrage: Optionale 2-Faktor-Authentisierung oder nicht?

Möchtet ihr eine (optionale) 2-Faktor-Authentisierung (2FA) im Forum? 57

  1. Ist mir egal (27) 47%
  2. Ja (15) 26%
  3. Nein (14) 25%
  4. Sonstiges (1) 2%

Auf etlichen Webseiten im Netz wird mittlerweile eine zweite Sicherheitsschicht eingesetzt, um die Accounts der Benutzer zu schützen (z.B. Paypal, Google & Co.). Da es technisch auch hier möglich geworden ist, wollte ich mal nachfragen, wie ihr zu einer 2-Faktor-Authentisierung (2FA) hier im Forum steht. Dabei würden optionale Tools oder Apps angeboten, die dann eine zweite Sicherheitsschicht reinziehen. Seht ihr das als sinnvoll oder erstrebenswert an? Oder ist es Euch egal. Letztlich würde so etwas sowieso nur optional sein und nicht obligatorisch. Wenn im allgemeinen eher kein Interesse besteht, macht es natürlich keinen Sinn, dass ich mich darum hier bemühe ;)


Viel Spaß weiterhin auf meiner Webseite,

Thomas

Comments 14

  • N'Abend alle zusammen,


    ich könnte mir vorstellen, dass die Bitte für den Ork ein eigenes Passwort zu verwenden, das sonst nirgendwo eingesetzt wird - zusammen mit einer guten Anleitung, wie der Passwortmanager des Browsers hierfür verwendet werden kann - mehr für die Sicherheit der Nutzerinnen und Nutzer des Orks bewirken würde, als eine 2FA, die sehr wahrscheinlich nur von denen genutzt wird, die ohnehin Wert auf Sicherheit legen.


    Eine Einführung einfach weil es (Thomas) Spaß macht, ist dagegen eine klasse Sache. :-)

    Thanks 1
    • Hehe. Ja, sowas könnte natürlich auch in einen Blog-Artikel oder die FAQ packen. Schulungen in Netzgebrauch sind jedoch bisher im Portfolio des Orkenspalters (noch) nicht vorhanden. Vielleicht mal ein Punkt für ein Community Treffen.


      Eine 2FA fängt neben einem guten Passwort auch Szenarien wie Keylogger oder Internet-Cafés (gibt es die noch?!) oder Fremd-PCs mit ein.

  • Ich fände es als optionale Möglichkeit sehr gut, Sicherheit ist ein sehr wichtiges Thema, auch wenn die Daten hier für die Meisten nicht so relevant zu sein scheinen, ist es immer noch Problematisch wenn der Account gekapert wird.

    Je nachdem wie viel Rechte der User dann hat kann das auch dem Administrator Arbeit ersparen, wenn die Accounts sicherer sind.

    Aber dann bitte gleich mit FIDO, damit ich meine SoloKey nutzen kann ;)

    Like 1
    • Bisher wäre es TOTP. WebAuthN oder so wäre später denkbar. Dafür existiert für dieses Websystem (Woltlab) kein stabiler Entwicklungszweig, den man produktiv einsetzen sollte. Mehr dazu am besten im Beta-Bereich.

    • ok, was möglich ist kann ich bei WBB gar nicht mehr sagen, habe ich schon lange nicht mehr genutzt.

      Aber TOTP ist ja auch schon mal ein Anfang.

  • Da man für die optionalen Tools und Apps meist wieder irgendwelche Accounts wo anders braucht, bringt diese zweite Sicherheitsschicht nur wieder eine weitere Einfallsmöglichkeiten (allen voran durch die Hersteller/Vertreiber dieser) und eine Verknüpfung meiner Daten, die eigentlich nicht erwünscht ist...

    • Bei dieser 2FA-Methode wird TOTP (time-based one-time password) verwendet. Das System funktioniert so, dass mit der Aktivierung von 2FA vom Forum ein privater Schlüssel erzeugt wird, welchen man sich dann in eine passende App laden kann (z.B. Authy, Google Authenticator, FreeOTP, ...). Aus diesem Schlüssel und einem Counter wird bei Bedarf ein Password generiert. Der Counter ist in diesem Fall time-based. Dafür wird die unix-Zeit (die in Sekunden gezählt wird) und teilt sie durch eine Intervalllänge (üblicherweise 30 Sekunden). Immer wenn ein Intervall abgelaufen ist, wird automatisch ein neues one-time password erzeugt. Dieses one-time password wird dann mit dem verglichen, was das Forum aufgrund derselben Basis erstellt hat.


      Ich kann nicht für Authy oder Google Authenticator sprechen, da ich beide nicht kenne. Zumindest bei FreeOTP (von Red Hat, einer durchaus renomierten Organisation) füge ich einfach den privaten Schlüssel hinzu, ohne dass ich einen Account brauche. Es findet auch keine Kommunikation zwischen dem orkenspalter und einem Drittanbieter statt. Eine Verknüpfung von Daten findet ebenso nicht statt.


      Diese Technik sichert den Login also dadurch weiter ab, indem es sicherstellt, dass du deinen privaten Schlüssel hast und daraus ein zusätzliches Passwort generieren kannst. Selbst wenn die verwendete App gekapert werden sollte, wäre nur der private Schlüssel kompromittiert, ein Login ist damit auch weiterhin nicht möglich, weil es dann noch Benutzername und Passwort braucht und auch noch die Info, zu welchem Loginsystem der gekaperte private Schlüssel gehört.

      Like 1 Thanks 2
    • Danke für die ausführliche Antwort. FreeOpt gibt es auch in F-Driod sehe ich gerade, sonst bräuchte man ja einen Google-Account... Aber eine App nur für ein Rollenspielforum?

      Werde ich wahrscheinlich ehee nicht nutzen und vertraute auf meinen Passwortgenerator.

    • Meine Frage war wie gesagt auf „optional“ gemünzt. Einen Datenaustausch Eurer Daten mit irgendwem schließe ich aus. ;-)


      2FA wäre eine Zusatzebene, die man nutzen kann - oder eben nicht. Eine „Einfallmöglichkeit“ wird nicht geboten.

    • Aber eine App nur für ein Rollenspielforum?

      Ich nutze die 2FA vor allem für Plattformen, auf denen durch unerlaubten Zugriff ernsthaft (wirtschaftlicher) Schaden entstehen kann: Paypal, amazon, Steam, ... Ob ich 2FA für den orkenspalter aktivieren werde, wenn es angeboten wird? Habe ich noch nicht endgültig entschieden. Aber da ich die App bereits besitze, ist die "Hemmschwelle" sicherlich niedriger.


      Aber das ist ja das Schöne, niemand müsste 2FA auf dem orkenspalter nutzen, aber jeder könnte :)

  • Ich stimme da mal mit "ist mir egal", aber eher im Sinne von, "würde ich vermutlich hier nicht nützen, aber wenns optional angeboten wird, ist das ganz sicher nicht verkehrt".

    Like 2