Ergebnis 1 bis 12 von 12

Thema: 2FA oder .htaccess, Authenticator-App oder Stick?

  1. #1
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    209

    Standard 2FA oder .htaccess, Authenticator-App oder Stick?

    Hallo zusammen,

    wie handhabt Ihr das mit dem Login für die Kund:innen (Backend-User)? Ich frage, weil jetzt erstmals die Nutzung der Zwei-Faktor-Authentifizierung in 4.9 im Raum steht.

    Bisher war eine .htaccess-Sicherung vorgeschaltet, was den Redakteur:innen zu umständlich ist, da zweimal sehr lange Usernames und Passwörter einzugeben sind, die ja auch wieder irgendwo hinterlegt werden müssen.

    Eine 2FA über Smartphone-Apps erscheint mir persönlich gar nicht soo sicher. Dann liegen die Daten bei Drittanbietern und wer weiß, was dann wieder alles wie verknüpft wird. Wenn nicht heute, dann morgen. Bei manchen Anbietern (Authy) muss man z. B. ein Konto erstellen und die Mobilnummer hinterlegen. Authy wäre aber wiederum interessant, weil Kund:innen dies auch am Desktop nutzen können.

    Als sehr interessante Hardware-Alternative bin ich auf YubiKey und ReinerSCT gestoßen. Nutzt das schon jemand?

    Was schätzen die Profis hier als "sicherer" ein: .htaccess oder 2FA?

    Ich freue mich auf einen interessanten Austausch.

    Marion

  2. #2
    Contao-Nutzer Avatar von BennyBorn
    Registriert seit
    10.06.2011.
    Ort
    Edenkoben
    Beiträge
    104
    Partner-ID
    6916

    Standard

    Also bisher wird bei unseren Kunden einfach ganz klassisch auf Nutzername und Passwort für den Backend-Login gesetzt. Eine davor geschaltete .htaccess bringt keinen wirklichen Sicherheitszuwachs.

    Mit 2FA sieht das tatsächlich anders aus.

    Von irgendwelchen Online-Diensten zur Passwortverwaltung würde ich abraten. Jedoch spricht nichts dagegen auf dem Smartphone irgendeine Authenticator-App (nutze die von Google) laufen zu lassen. Selbst wenn ein Anbieter die Info zum Generieren des OTP hätte fehlen ihm immernoch die URL, Benutzername und Passwort - es ist ja nur ein zusätzlicher Faktor.

  3. #3
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    209

    Standard

    Hallo Benny, danke für Deinen Input.

    Wieso bringt eine .htaccess keinen Sicherheitszuwachs?

  4. #4
    Contao-Nutzer Avatar von BennyBorn
    Registriert seit
    10.06.2011.
    Ort
    Edenkoben
    Beiträge
    104
    Partner-ID
    6916

    Standard

    Zitat Zitat von thymian Beitrag anzeigen
    Wieso bringt eine .htaccess keinen Sicherheitszuwachs?
    Weil es die gleiche "Hürde" darstellt wie der eigentliche Backend-Login (Nutzername + Passwort).

    Ist also der Rechner eines Backend-Nutzers kompromittiert sind vermutlich ohnehin beide Zugangsdaten bekannt (htacces & Contao). Bei OTP hast Du eben meist den eigentlichen Key zum Generieren wo anders liegen, daher etwas mehr "Sicherheit"

  5. #5
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    209

    Standard

    Mit kompromittiert meinst Du, es wird schon mitgeloggt? Denn ansonsten liegen Zugangsdaten ja eher nicht offen auf Rechnern herum, oder etwa doch ...? Ich wäre z. B. eher skeptisch, wenn Google meine QR-Codes vom Online-Banking o. ä. scannt.

  6. #6
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    28.602
    Partner-ID
    10107

    Standard

    Zitat Zitat von thymian Beitrag anzeigen
    Denn ansonsten liegen Zugangsdaten ja eher nicht offen auf Rechnern herum, oder etwa doch ...?
    Du kannst ja nicht wissen, wie die einzelnen User ihre Passwörter speichern. Kann ja ein txt File sein
    » sponsor me via GitHub or PayPal

  7. #7
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    209

    Standard

    Das habe ich ja nur geschrieben, weil Benny davon ausging, dass die Zugangsdaten wahrscheinlich bekannt seien, wenn der Rechner kompromittiert ist. Aber ebenso könnte man ja spekulieren, dass, wenn das Handy geklaut oder verloren ist, durch die Verknüpfung von Mobilnummer, Google-Konto und die Passwort-Zurücksetzen-Funktion der Anbieter ein Zugang möglich ist.

    Will sagen: Was ist eher wahrscheinlich – dass ein Rechner oder dass ein Handy übernommen wird? Oder dass Mails oder dass SMS abgefangen werden? Mich interessiert ja, welche Sicherheitsvorkehrungen Ihr für Eure Contao-Zugänge trefft oder welche Ihr empfehlen würdet.

  8. #8
    Contao-Nutzer Avatar von BennyBorn
    Registriert seit
    10.06.2011.
    Ort
    Edenkoben
    Beiträge
    104
    Partner-ID
    6916

    Standard

    Zitat Zitat von thymian Beitrag anzeigen
    Mit kompromittiert meinst Du, es wird schon mitgeloggt?
    Korrekt. Gehen wir einfach mal vom Worst-Case-Szenario aus: Rechner mit Trojaner / Keylogger infiziert. Dann sind htaccess und Backend-Login erledigt.

    Für den OTP hat man meist eine App auf dem Handy.

    Damit der "Schutz" also endgültig bricht müssten sowohl Rechner als auch Smartphone kompromittiert sein.

    Google oder andere Anbieter können rein mit Deinem OTP nichts anfangen, sie kennen somit nur den einen Faktor.

  9. #9
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    209

    Standard

    Ok, verstehe. Aber irgendwie traue ich Google und Microsoft nicht. Warum bloß...?

  10. #10
    Administratorin Avatar von lucina
    Registriert seit
    19.06.2009.
    Ort
    Kiel (DE)
    Beiträge
    6.953
    Partner-ID
    152
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Musst du ja auch nicht. Es gibt diverse Implementierungen von diversen Anbieter:innen, auch als Open Source (zb https://freeotp.github.io). All diesen Implementierungen ist es gemeinsam, dass sie das Passwort (bzw den Faktor nicht kennen).

    Die meisten meiner Kund:innen empfinden es als wichtig, mehrere Plattformen benutzen zu können. Authy hat da am meisten Zustimmung. Manche setzen da auch Nectcloud (https://apps.nextcloud.com/?search=OTP+) ein.


    Gesendet von iPhone mit Tapatalk

  11. #11
    Contao-Nutzer
    Registriert seit
    13.03.2010.
    Beiträge
    209

    Standard

    Danke für die Infos, Lucina. Ja, FreeOTP hätte ich jetzt auch empfohlen, habe aber mal Authy für die Kunden-Demo verwendet, weil sie auch auf dem Desktop funktioniert. Das sind dann zwar keine zwei Geräte mehr, aber besser als nichts, nicht jede:r hat ein Diensthandy.

    Ich glaube, ich habe einfach ein prinzipielles Unbehagen, wenn das Handy schon wieder mit einem neuen Online-Dienst verknüpft ist, der nicht nur Telefonnummer/Mailadresse kennt, sondern auch die Plattformen, bei denen man sich anmeldet. Daraus entsteht dann auch wieder ein User-Profil. Und irgendwann wird Authy dann an XY verkauft. Oder so.

  12. #12
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    28.602
    Partner-ID
    10107

    Standard

    Du musst ja nicht die Backup Funktion von Authy benutzen.
    » sponsor me via GitHub or PayPal

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •