Idee für nächstes Update oder phpBB4

[Tim]

Hallo gn#36,

also ich kenne mich nicht gut mit den Techniken aus, wie man als Hacker an Passwörter usw. kommt, weil ich eben kein Hacker bin.
Die Möglichkeiten, die ich als Amateur kenne, ist eben über Phisingseiten oder das normale Ausprobieren und dabei vielleicht ein Programm laufen lassen, was alle möglichen Kennwörter probiert.
Die Änderung, dass der Loginname nicht mehr bekannt ist, würde die zweite beschriebene Möglichkeit doch sofort verschwinden lassen, denn wenn ich den Usernamen nicht weiß, komme ich dort doch nicht weiter.
Bei der Methode der Phisingseiten, was wie ich denke, die häugigere Methode ist (?) ist es doch so, dass zumindest ich als Admin genau weiß, wann ich wo mein Passwort bzw. dann auch meinen Loginnamen eingeben muss und wo nicht, ich denke also man kann den Admins schon zutrauen, dass sie erkennen, ob sie auf der eigenen Seite sind oder nicht. LG Tim

[nickvergessen]

würde die zweite beschriebene Möglichkeit doch sofort verschwinden lassen, denn wenn ich den Usernamen nicht weiß, komme ich dort doch nicht weiter.

Nun, irgendwie muss der Benutzer ja aber auch wieder an den (Login)Namen kommen wenn er ihn vergessen hat, dann wird das ganze halt wieder über das Email Konto infiltriert, da dort Name und Passwort hingesendet werden müssen. Dann wäre aber phpBB zumindest nicht mehr bei den Schwachpunkten, falls man das überhaupt so sehen kann.
Eine Kette ist und bleibt immer so schwach wie das schwächste Glied.

[gn#36]

Das stimmt natürlich.

[mad-manne]

Was auch nicht vergessen werden darf: Die wenigsten Benutzer von Foren hätten IMHO Lust sich auch noch zwei (wirklich unterschiedliche) Namen (Login, Nick) auszudenken, wenn sie es schon als schwierig empfinden sich ein vernünftiges Passwort auszudenken!

Insofern denke ich, dass diese Funktionalität gut in einer MOD aufgehoben ist. Wer ein Forum mit erhöhtem Sicherheitsbedarf betreibt und sicherstellen kann, dass seine Benutzer diesen Zusatz sinnvoll nutzen, der kann eben auch von der leicht erhöhten Sicherheit profitieren. Als Standard macht das aber in phpBB IMHO keinen SInn, weil geschätze 90% der User einfach identische Login/NIck-Namen wählen würden.
Das könnte und sollte man widerum programtechnisch unterbinden, aber dann würden die User eben den Loginnamen sehr einfach wählen. Entweder wäre es sehr kurz oder über Social Engineering leicht aus dem Nicknamen ableitbar ...

Mein persönliches Fazit: Als MOD eine gute zusätzliche Option für mehr Sicherheit aber kein Bedarf für ein Standard-Feature einer kommenden phpBB-Version.

My 2 cents,
Manne.

[oxpus]

Was ich in diesem Zusammenhang nicht verkehrt fänden würde, wäre ein 2. Passwort für den Admin-Bereich.
Warum?
Wenn schon jemand einen Admin-Account knackt und dessen Passwort kennt, vielleicht eben über Social Engineering, dann wäre er auch sofort in der Lage, das (gesamte) Forum zu administrieren und könnte damit ggf. auch gleich den gesamten Webspace/Server kompromittieren.
Um aber hier ein Stück weit dem Angreifer weitere Steine in den Weg zu legen, wäre ein 2. Passwort (zwingend abweichend vom "ersten") für den Admin-Bereich. Und das für alle User, die darauf zugreifen dürfen und wenn es nur für ein Modul wäre.

Ich hatte hierfür mal eine MOD für das phpBB 2 geschrieben und es kam auch gut an. Allerdings hatte ich mir im phpBB 3 aufgrund der unterschiedlichen Authentifizierungsmethoden zunächst die Finger gebrochen und aufgegeben.
Für das phpBB 4 wäre aber genau das sicherlich nicht verkehrt.
Oder es würde sogar schon in einer nächsten Version des phpBB 3 einfließen...

IMHO wäre dies aber sicherlich ein sinnvoller Sicherheitsgewinn für das Forum. Und den Server, auf dem es läuft.
GGf. könnte man diese Funktion ja auch als Option für den/die Forengründer einfügen. Damit könnte das ACP-Passwort in einer sicheren Umgebung, z. B. lokal auf dem eigenen Rechner oder in einem Intranet, bei Bedarf auch abgeschaltet werden.

[Pyramide]

Man könnte auch einfach einen .htaccess Schutz für das /adm/ Verzeichnis anlegen und hat den gleichen Effekt.

[Tim]

Ich habe auch einen .htaccess Schutz für das /adm/ Verzeichnis angelegt, selbst wenn jemand das Adminpasswort knackt, kommt er so schnell nicht in den Adminbereich.
Ich habe schon mal geschaut, ob man das mit den Modbereich auch machen kann, geht aber leider nicht, da das keinen extra Ordner besitzt.

[gn#36]

Man kann das auch auf einzelne Dateien beschränken, es muss nicht zwingend der ganze Ordner geschützt werden.

[oxpus]

Klar, das ginge, aber dann müsste man jedem weiteren User auch die Daten mitteilen oder extra für jeden anlegen.
Und es gibt ja auch noch Windows Server...

[djchrisnet]

.....
Und es gibt ja auch noch Windows Server...

Errinner uns doch nicht an diesen "Zustand"

ich hatte es grad so schön verdrängt ^^