phpBB.de

Hallo, irgendwo gibt es das Thema "Ich wünsche mir in Zukunft von phpBB" oder so ähnlich, leider konnte ich ihn trotz einiger Suche nicht finden, allerdings ist es auch schon ziemlich spät, vielleicht kann ein Moderator meinen Beitrag ja in diesen Thread schieben.
Meine Idee ist bestimmt nicht die Neueste aber ich denke damit könnte man noch mehr zur Sicherheit der Foren beitragen:
Jeder User sucht sich bei der Registrierung nicht nur einen Usernamen, sondern auch einen Loginnamen aus.
Einloggen muss man sich dann mit dem Loginnamen, den nur der User selbst kennt, denn für alle anderen User wird im Forum ja nur der Username angezeigt.
Somit könnte man Hackversuche auf Admins / Moderatoren im Keim ersticken, denn wenn der Loginname nicht bekannt ist, macht es die ganze Sache doch viel schwieriger.

LG Tim


Edit:
Ich habe echt Tomaten auf den Augen
Hier ist das Thema, was ich suchte: http://www.phpbb.de/community/viewtopic ... 3&t=198648

Hallo,

hier gibts sogar eine Mod dafür: http://www.phpbb.com/community/viewtopi ... &t=1768595
Aber standardmäßig hätte das was.

Das ist ja super

Das:

Time

1. ~ 60+ Minutes

schreckt ein wenig ab aber muss man sich halt mal mit Zeit dran setzen. Ist denn bekannt, ob die MOD sicher ist? LG Tim

Tim hat geschrieben:Ist denn bekannt, ob die MOD sicher ist? LG Tim

Kann ich dir leider nicht sagen...da solltest du wohl auf .com nachfragen direkt im Modthread. Hier passt das auch nicht wirklich hin, denke ich.
Aber den Grundgedanken, das mal als Standard zu haben, finde ich auf jeden Fall gut.

Ok das werde ich in den kommenden Tagen auf jeden Fall mal machen, vielen Dank für den Link.

Im Grunde kann man die Idee bezüglich der Sicherheit auch noch einen Schritt weiter treiben und den Loginnamen grundsätzlich zufällig erzeugen während der Username frei wählbar ist. Auf die Weise würde man unsichere Vereinfachungen verhindern ("ich will einen ellenlangen Usernamen nicht immer eingeben, daher nehme ich als Loginnamen einfach mal die Ziffer 1"). Gleichzeitig ergibt sich aber natürlich auch das Problem, dass der User dann zwei schwierig zu merkende Teile seines Logins hat: Das Passwort (wenn es sicher ist und man kann ja Komplexitätsanforderungen setzen) und zusätzlich noch der Loginname.

Ein zusätzlicher Loginnamen erhöht, sofern ich mich auf die Schnelle nicht verdacht habe, die Sicherheit nicht.

Aktuelle Situation: Benutzername öffentlich, Passwort geheim.

Vorschlag: Benutzername öffentlich, Loginname geheim, Passwort geheim.

Der Loginname und das Passwort bilden also das neue eigentliche geheime Passwort, womit man wieder bei der aktuellen Situation ist.
Den gleichen Effekt kann man erreichen, wenn man bei der aktuellen Situation einfach den ausgedachten Loginnamen an das Passwort anhängt.

bantu hat geschrieben:Ein zusätzlicher Loginnamen erhöht, sofern ich mich auf die Schnelle nicht verdacht habe, die Sicherheit nicht.

Aktuelle Situation: Benutzername öffentlich, Passwort geheim.

Vorschlag: Benutzername öffentlich, Loginname geheim, Passwort geheim.

Der Loginname und das Passwort bilden also das neue eigentliche geheime Passwort, womit man wieder bei der aktuellen Situation ist.
Den gleichen Effekt kann man erreichen, wenn man bei der aktuellen Situation einfach den ausgedachten Loginnamen an das Passwort anhängt.

Das sehe ich anders.
Wenn ich ein böser User bin und mal das Forum administrieren will, dann kann ich mein Glück versuchen mit dem Loginnamen bantu. (Beispiel)
Wenn aber nun der Loginname anders als der Username ist, dann habe ich doch gar keinen Ansatzpunkt.

Da muss ich Tim durchaus zustimmen. Vor allem kann bei Boards dann auch verhindert werden, dass der Admin mit dutzenden E-Mails überschüttet wird, dass er sein Passwort vergessen hätte und es neu angefordert hätte usw. Also ein Ansaztzpunkt weniger, um Benutzer zu "ärgern", wenn man so will.

bantu hat geschrieben:Ein zusätzlicher Loginnamen erhöht, sofern ich mich auf die Schnelle nicht verdacht habe, die Sicherheit nicht.

Aktuelle Situation: Benutzername öffentlich, Passwort geheim.

Vorschlag: Benutzername öffentlich, Loginname geheim, Passwort geheim.

Der Loginname und das Passwort bilden also das neue eigentliche geheime Passwort, womit man wieder bei der aktuellen Situation ist.
Den gleichen Effekt kann man erreichen, wenn man bei der aktuellen Situation einfach den ausgedachten Loginnamen an das Passwort anhängt.

Das stimmt zwar aus rein technischer Sicht, dennoch macht das ganze in meinen Augen einen Unterschied, denn durch die Geheimhaltung des Loginnamens ist ein Username nicht mehr anders zu behandeln als der Inhalt eines Posts: Man sieht zu welchem Benutzer er gehört, aber für den Login ist er völlig wertlos (sofern man die Entkopplung durchgeführt hat). Die tatsächliche Sicherheit erhöht sich zwar nur als hätte man den Loginnamen an das Passwort angehängt, von der Seite des Social Engineering her könnte das ganze allerdings sicherer sein, denn wenn man von irgend einer Seite gebeten würde seinen Loginnamen anzugeben dürfte der eine oder andere nämlich nicht seine kryptische Buchstabenkombination angeben sondern den Namen der ihn im Forum repräsentiert - was für den Angreifer völlig wertlos ist, selbst wenn er auf anderem Wege an das Passwort gekommen ist. Eine völlige Sicherheit kann es hier natürlich auch nicht geben und in wiefern das ganze die Sicherheit tatsächlich in diesem Sinne erhöht müsste man auch ausprobieren - nichts ist unberechenbarer als der Mensch.

Zusätzlich erhöht sich die Sicherheit einfach schlicht dadurch, dass die Passwortlänge steigt. Natürlich kann man den Namen auch einfach anhängen - diese Version ist aber deutlich schwieriger zu merken als eine Trennung in Benutzernamen und Passwort. Einen achtstelligen Benutzernamen und ein achtstelliges Passwort lässt sich beides ganz gut merken, bei einem sechzehnstelligen Passwort könnte man schon mal ins Grübeln kommen.
Beim Merken von Telefonnummern ist das ganze ähnlich: 0017652668432 ist eine ziemlich lange Nummer, wenn man sie aber in Ländervorwahl (in dem Fall USA), Area Code, Vorwahl und Nummer aufteilt dann wird das ganze viel einfacher: 001 (USA) 765 (eine Region im Bundesstaat Indiana) 266 (Phantasievorwahl) 8432 (Phantasienummer). Das geht natürlich auch bei deutschen Nummern ähnlich.

Es kann aber natürlich sein, dass die Sicherheit die sich hierdurch ergeben würde mit steigender Verbreitung dieser Authentifizierungsmethode sinkt, denn die Phishing Site Ersteller sind ja auch nicht auf den Kopf gefallen. Entsprechend ist diese Methode möglicherweise für einige wenige Foren tatsächlich sicherer (also als Mod), als wenn das ganze als Standard implementiert würde und damit für Phisher und Hacker interessant würde.