Sukrams
Bekanntes Mitglied
- Registriert
- 28. Jan. 2011
- Beiträge
- 234
- Punkte
- 108
Im heutigen vierten Have You Seen...? der 1.5er-Reihe stellt Mike einige sicherheitsrelevante Verbesserungen der Software vor:
Im Wesentlichen geht es hierbei um eine Zwei-Faktor-Authentifizierung, die Einzug in die Forumsoftware halten wird. Bei der Zwei-Faktor-Authentifizierung bzw. Zwei-Schritte-Authentifizierung benötigt ihr zwei Parameter, um euch im System einloggen zu können. Im XenForo wird es das Passwort und ein Authifizierungscode sein - sobald man sich mit der richtigen Kombination aus Benutzernamen und Passwort angemeldet hat, greift der zweite Weg und man braucht eine Bestätigung.
Diese neue Authentifizierungsart kann der Benutzer aktivieren, nachdem er sich im Forum angemeldet hat. Den generierten Code erhält mal wahlweise via App oder als E-Mail. Die App (wie Google Authenticator oder Authy) erstellt einen sechstelligen Code, der 30 Sekunden aktiv bleibt und im Forum eingegeben muss. Damit man sich nicht immer neu so anmelden muss, kann man die Zwei-Wege-Authentifizierung für 30 Tage auf dem Endgerät speichern, was aber auch über das Benutzerkontrollzentrum zurückgesetzt werden kann.
Entscheidet man sich für die E-Mail, erhält man einen Code via E-Mail, der nur einmal genutzt werden kann. Laut Angaben der Entwickler ist diese Methode die "Besser-als-Nichts"-Methode, da man so auch einen Code erhalten kann, wenn ein Hacker sich in die E-Mailadresse eines Nutzers gehackt hat.
Weiter ist die Authentifizierung erweiterbar, sodass Entwickler weitere Dienste hinzufügen können. Eine dritte Methode ist der Backup-Code, der genutzt werden kann, wenn gar nichts mehr geht, man also nicht sein Smartphone bei der Hand hat oder auch nicht auf die E-Mailadresse zurückgreifen kann. Der Backup-Code ist automatisch aktiv, wenn die Zwei-Faktor-Authentifizierung aktiviert wird. Wurde dieser Code verwendet, erhält man außerdem eine E-Mailinformation.
Zur weiteren Verbesserung der Sicherheit erhält man jetzt bei Änderungen von Passwörtern und E-Mailadressen eine E-Mail mit einem entsprechenden Hinweis. Im selben Zug wurde auch die Passwort vergessen-Routine überarbeitet: Man bekommt jetzt kein generiertes Passwort mehr, sondern kann dieses direkt selbst über ein Formular neu erstellen.
Mike kündigt zum Abschluss noch weitere Vorstellungen an. Wie immer könnt ihr die komplette englischsprachige Nachricht mit einigen Screenshots im offiziellen Supportforum finden.
Im Wesentlichen geht es hierbei um eine Zwei-Faktor-Authentifizierung, die Einzug in die Forumsoftware halten wird. Bei der Zwei-Faktor-Authentifizierung bzw. Zwei-Schritte-Authentifizierung benötigt ihr zwei Parameter, um euch im System einloggen zu können. Im XenForo wird es das Passwort und ein Authifizierungscode sein - sobald man sich mit der richtigen Kombination aus Benutzernamen und Passwort angemeldet hat, greift der zweite Weg und man braucht eine Bestätigung.
Diese neue Authentifizierungsart kann der Benutzer aktivieren, nachdem er sich im Forum angemeldet hat. Den generierten Code erhält mal wahlweise via App oder als E-Mail. Die App (wie Google Authenticator oder Authy) erstellt einen sechstelligen Code, der 30 Sekunden aktiv bleibt und im Forum eingegeben muss. Damit man sich nicht immer neu so anmelden muss, kann man die Zwei-Wege-Authentifizierung für 30 Tage auf dem Endgerät speichern, was aber auch über das Benutzerkontrollzentrum zurückgesetzt werden kann.
Entscheidet man sich für die E-Mail, erhält man einen Code via E-Mail, der nur einmal genutzt werden kann. Laut Angaben der Entwickler ist diese Methode die "Besser-als-Nichts"-Methode, da man so auch einen Code erhalten kann, wenn ein Hacker sich in die E-Mailadresse eines Nutzers gehackt hat.
Weiter ist die Authentifizierung erweiterbar, sodass Entwickler weitere Dienste hinzufügen können. Eine dritte Methode ist der Backup-Code, der genutzt werden kann, wenn gar nichts mehr geht, man also nicht sein Smartphone bei der Hand hat oder auch nicht auf die E-Mailadresse zurückgreifen kann. Der Backup-Code ist automatisch aktiv, wenn die Zwei-Faktor-Authentifizierung aktiviert wird. Wurde dieser Code verwendet, erhält man außerdem eine E-Mailinformation.
Zur weiteren Verbesserung der Sicherheit erhält man jetzt bei Änderungen von Passwörtern und E-Mailadressen eine E-Mail mit einem entsprechenden Hinweis. Im selben Zug wurde auch die Passwort vergessen-Routine überarbeitet: Man bekommt jetzt kein generiertes Passwort mehr, sondern kann dieses direkt selbst über ein Formular neu erstellen.
Mike kündigt zum Abschluss noch weitere Vorstellungen an. Wie immer könnt ihr die komplette englischsprachige Nachricht mit einigen Screenshots im offiziellen Supportforum finden.