Zwei-Faktor-Authentifizierung (2FA) und Geräteprotokoll für mehr Sicherheit in unserem Forum

  • Die hier vorgestellten Neuerungen werden im Juli für alle Nutzer ausgerollt werden.

    Ich freue mich, euch hiermit den neuen Sicherheits-Bereich in unserem Forum ankündigen zu können, inklusive Option, euer Benutzerkonto mittels Zwei-Faktor-Authentifizierung (2FA) abzusichern.


    Doch was ist diese Zwei-Faktor-Authentifizierung eigentlich? Ob nun etwas Hochsensibles wie Online-Banking oder einfach nur euer Benutzerkonto auf camp-firefox.de - Eure persönlichen Bereiche sollten in jedem Fall vor unbefugtem Zugriff geschützt sein. Dies geschieht üblicherweise in Form eines Passworts. Doch was, wenn jemand Zugang zu eurem Passwort erhält? Malware, eine ausgenutzte Sicherheitslücke auf dem Server respektive der verwendeten Software, ein Datenleck auf einer anderen Website, auf der die gleichen Zugangsdaten genutzt werden, ein etwas zu aufmerksamer Mitbewohner oder einfach nur jemand, den man an den eigenen Computer gelassen hat, auf dem das Passwort gespeichert ist - Es gibt einige Szenarien, die einen unbefugten Zugriff ermöglichen.

    Ein zweiter Faktor bietet zusätzliche Sicherheit für euer Benutzerkonto, da hiermit neben eurem Passwort noch eine Bestätigung erfolgen muss, dass es sich beim anmeldenden Benutzer tatsächlich um euch handelt. Dafür bieten wir zwei Optionen an:

    • Time-based One-time Password („TOTP“) - Bei dieser Option muss beim Login zusätzlich ein Code eingegeben werden. Diesen erhaltet ihr über eine Smartphone- oder Tablet-App, beispielsweise den Google Authenticator oder Authy.
    • Bestätigungs-Code via E-Mail - Bei dieser Option erhaltet ihr einen Code an die in eurem Profil hinterlegte E-Mail-Adresse.

    Solltet ihr bereits die Möglichkeit besitzen, euch auf anderen Websites auf eine WebAuthn-kompatible Weise über biometrische Merkmale wie einen Fingerabdruck oder über ein Hardware-Token („FIDO“) zu authentifizieren, lasst mich dies wissen. In dem Fall stelle ich eine entsprechende Option gerne auch noch auf camp-firefox.de zur Verfügung.

    Doch was, wenn ihr euch für das TOTP-Verfahren entschieden habt und euer Smartphone oder Tablet verliert? Keine Sorge, das System stellt Notfall-Codes zur Verfügung. Bitte speichert diese gut an einem nur für euch zugänglichen Ort ab.

    Ein weiteres Sicherheits-Feature konntet ihr bereits auf dem zweiten Screenshot sehen. Das Forum protokolliert nun, auf welchen Geräten ihr angemeldet sein. Sollte euch ein Gerät unbekannt vorkommen oder ihr bemerkt, dass ihr noch eingeloggt seid und habt jemand anderen an euer Gerät gelassen, könnt ihr dieses über die entsprechende Schaltfläche ganz einfach abmelden, ohne tatsächlich dieses Gerät zur Hand haben zu müssen.

  • Wird das Pflicht oder ist es eine Option?

    BTW: Tipselfehler

    Zitat

    Doch was, wenn ihr euch für das TOTP-Verfahren entschieden habt und euer euer Smarphone oder Tablet verliert?

  • Zuerst einmal, meine volle Zustimmung!

    Es wird Zeit, dass auch "normale" Webseiten diese 2FA anbieten.

    Dazu gleich eine Frage: Wird auch irgendwann der Yubi-Key unterstützt? Ein "Tatsch" mit dem Finger ist halt wesentlich bequemer als 6 Ziffern einzuhacken. Würde mich freuen.

    MfG Peter

  • Hallo Sören,

    vielen Dank erst mal. Zumindest kannst du daraus erkennen, dass es schon mal einen echten Interessenten für 2FA (und dann auch noch gleich mit einem YK) gibt. Da lohnt sich natürlich keine Investition.

    Ich versuche bei meinem eigenen IT-Gerödel immer 2FA (möglichst mit YK) einzurichten. Meine beiden NAS, meine und die von mir betreuten Fritz-Boxen und sogar mein KeepassXC bieten das alle schon und bei meinen 8 Wireguard-Servern bin ich gerade dabei, dieses für das Admin-GUI zu installieren , und ich nutze es auch gerne (!), auch wenn es ein ganz klein wenig umständlicher ist, als nur ein PW einzutippen. Aber sonst ist das Thema zur Erhöhung der Sicherheit bei öffentlichen Webseiten nahe NULL. Selbst das Heise-Forum, wo man das eigentlich erwarten könnte, rührt sich da (trotz Nachfrage) nicht. Auch das 1&1-Forum schläft weiterhin.

    Aber einer muss den Anfang machen! Auch wenn das Interesse erst mal (erwartungsgemäß) recht gering zu sein scheint.

    Ich wünsche dir dabei viel Erfolg!

    Gleich noch eine Frage dazu:

    Wie ist das mit der Auth mittels (Software-)Token, also dem "Angemeldet bleiben"?

    MfG Peter

  • Moin. Und ab wann geht das live? Gestern hatte ich diese Option noch nicht.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!