Ständige Fragen nach dem 2FA Code
- Ersteller CoMo
- Erstellt am
Waldheinz
Rear Admiral
- Registriert
- Juni 2009
- Beiträge
- 5.893
Tjo, 2FA ausschalten, oder 2FA nutzen und das dann alle 30 Tage. Ob das nun überhaup sinnvoll ist oder nicht an einem Forum, naja, wenn der Account ein gutes Passwort hat und die Logindaten so auch nicht noch irgendwo anders genutzt werden, kann man auch ohne 2FA leben, so wichtig erscheint mir ein Forum dann nun auch nicht, falls der Account verloren geht durch irgendwelche Attacken., oder was auch immer. Muss aber immer jeder für sich selbst wissen.
Waldheinz
Rear Admiral
- Registriert
- Juni 2009
- Beiträge
- 5.893
@hasentier Da ist definitiv was dran.
- Registriert
- Dez. 2015
- Beiträge
- 2.975
Das macht so überhaupt keinen Sinn. Ohne 2FA bin ich dauerhaft per Session-Cookie angemeldet, mit 2FA als zusätzliche Absicherung werde ich ständig ausgeloggt.
Wer immer das implementiert hat, geht also davon aus, dass ein Account mit aktivierter 2FA unsicherer ist als einer ohne aktivierte 2FA. Das muss mir mal jemand erklären.
Bitte fixen.
Wer immer das implementiert hat, geht also davon aus, dass ein Account mit aktivierter 2FA unsicherer ist als einer ohne aktivierte 2FA. Das muss mir mal jemand erklären.
Bitte fixen.
Waldheinz
Rear Admiral
- Registriert
- Juni 2009
- Beiträge
- 5.893
Ich denke mal, dass der Token, der Cookie, oder was auch immer, ebenfalls ab und zu erneuert wird, um es "sicherer/schwerer" zu machen, das würde dann ja Diebe auch erstnal wieder ausspereen, aber die könnten in der Zeit das 2FA auch wieder deaktivieren. Ich denke das ist alles nicht so richtig gut durchdacht oder ein Kompromiss. Zumindest kann ich mir vorstellen, dass irgend sowas dahinter steckt. Vielelicht weißm es ja jhemand ganz genau, würde mich auch interessieren.
Dr. McCoy
Fleet Admiral
- Registriert
- Aug. 2015
- Beiträge
- 12.119
Ich denke, das hat schon gute Gründe.
Prävention.
https://www.computerbase.de/forum/t...cherheitsgesperrt-sind.2146060/#post-28258035
Und alle 30 Tage ist IMHO nicht "ständig".
Prävention.
https://www.computerbase.de/forum/t...cherheitsgesperrt-sind.2146060/#post-28258035
Und alle 30 Tage ist IMHO nicht "ständig".
- Registriert
- Dez. 2015
- Beiträge
- 2.975
Dr. McCoy schrieb:
Mit Prävention kann das nichts zu tun haben. Dieses ständige Ausloggen führt dazu, die 2FA zu deaktivieren, damit die Seite nutzbar bleibt. Wie das zur Sicherheit beitragen soll, erschließt sich mir nicht wirklich.
.one
Commander
- Registriert
- Jan. 2022
- Beiträge
- 3.047
Ich glaub das ist ne Standardvorgabe von XF. Keine Ahnung, in wie weit man da im Backend eingreifen kann. Sehr sinnvoll finde ich das auch nicht (auch wenn es mich nicht stört). Man muss nur mal schauen, dass das nicht mal Dienste wie Amazon oder Google verlangen.
Die 30 Tage sind in Xenforo hardcodiert.
Mit dem nachfolgenden AddOn könnte man es ändern.
https://xenforo.com/community/resources/digitalpoint-security-passkeys.8738/
Mit dem nachfolgenden AddOn könnte man es ändern.
https://xenforo.com/community/resources/digitalpoint-security-passkeys.8738/
hasentier
Lt. Commander
- Registriert
- Juli 2005
- Beiträge
- 1.509
Hm, wie auch immer, aber so wie es momentan ist, kenne ich auch einige, die es denn lieber deaktivieren.
Für mich ist es auch nicht nachvollziehbar, das man das alle 30 Tage erneuern muss, extrem nervig, bei Banken oder andern sensiblen Dingen versteh ich das absolut, aber bei weniger wichtigen Seiten eher nicht.
Für mich ist es auch nicht nachvollziehbar, das man das alle 30 Tage erneuern muss, extrem nervig, bei Banken oder andern sensiblen Dingen versteh ich das absolut, aber bei weniger wichtigen Seiten eher nicht.
Damit man die 2FA nicht mehr so oft erneuern muss, gilt sie jetzt für 90 statt 30 Tage. Die Änderung wirkt sich nicht schon für die "laufende" 2FA aus, sondern erst ab der nächsten 2FA.
Ich kenne es von den meisten Websites auch so, dass die 2FA dauerhaft (oder zumindest deutlich länger als 30 Tage) gilt. Dass XenForo hier 30 Tage nutzt, finde ich auch nicht ganz nachvollziehbar. Deshalb haben wir das Limit jetzt zwar nicht abgeschafft, aber zumindest mal verdreifacht.
Ich kenne es von den meisten Websites auch so, dass die 2FA dauerhaft (oder zumindest deutlich länger als 30 Tage) gilt. Dass XenForo hier 30 Tage nutzt, finde ich auch nicht ganz nachvollziehbar. Deshalb haben wir das Limit jetzt zwar nicht abgeschafft, aber zumindest mal verdreifacht.
Gefällt mir 
Natürlich ist alle 30 Tage nicht ständig. Aber bei Smartphone, Laptop, Desktop und Desktop auf der Arbeit sind es schon 4x alle 30 Tage. Und bei unterschiedlichen Laufzeiten ca. 1x pro Woche, das fühlte sich dann schon ständig anDr. McCoy schrieb:
