Meines Wissens bekommst Du keine Hinweise, wenn jemand es versucht hat, in "Dein" Kundenmenü zu gelangen. Das wird auch nur schwer zuzuordnen sein, da es ja nur einen Login für alle dF Kunden gibt.
Aber der Kundenmenü Zugang ist durch Cloudflare geschützt, d.h. alle Anfragen, Loginnamen Passwörter, IP-Adressen usw. gehen erst mal dahin und werden entsprechend geprüft und bewertet.

Hallo Christian,

über die genauen Schutzmaßnahmen möchten wir aus sicher verständlichen Gründen keine Auskunft geben. Wir haben aber vor einiger Zeit den Login komplett überarbeitet und natürlich entsprechend sicher(er) gestaltet.

Mit freundlichen Grüßen

Nils Dornblut

"security by obscurity" ich denke jeder ITler wird sich beim lesen obiger Zeilen seine Gedanken machen.

Verständlich wäre es, wenn man die Sicherheitsmaßnahmen beschriebt, damit Kunden wie Christian beruhigt schlafen können.

Apropos Sicherheit: wann wird 2FA eingeführt?

Ich muss mich korrigieren, das KM ist durch Sucuri abgesichert. Ob Cloudflare auch noch alle Logindaten vorher zur Prüfung bekommt, kann ich nicht erkennen. War zumindest mal so.

Bitte erst dann, wenn auch mehrere Logins pro Auftrag möglich sind. Ich habe ein paar Kunden, die direkt bei dF liegen. Aktuell habe ich deren Passwort, da ich sonst keine administrativen Tätigkeiten durchführen kann. Das ist natürlich ziemlich unschön (andere Anbieter haben das KM aufgeteilt in technische Administration in allgemeine Verwaltung, also auch Rechnungen etc.) aber wäre bei 2FA dann nur noch sehr schwer machbar.

In gewisser Weise war diese Frage ironisch gemeint Ich denke es muss erst wieder was passieren eh man was macht :-(

Die Frage, die ich an DF habe: Wie sichert Sucuri ab? Wenn mir mein Kennwort gestohlen wird dann greift das bestimmt nicht. 2FA wäre, wenn ihr es ernst meint, eine Lösung.

Jemand aus der IT weiß im Regelfall, dass Security by Obscurity bedeutet, dass man verbirgt, wie eine Sicherheitsmaßnahme funktioniert, und nicht, wenn man einen Teil davon geheim hält. Und die Funktion der Maßnahmen ist klar beschrieben: Wir verhindern, dass sie ohne Kenntnis des Passworts jemand einloggen kann, z. B. wenn er oftmals ein falsches Passwort verwendet. Mit welchen Parametern wir das verhindern, werden wir nicht beschreiben aus unterschiedlichen Gründen. Ich kenne auch nicht wirklich Anbieter von Diensten, die das umfangreich beschreiben.

Dazu gibt es keine Neuigkeiten und haben wir bisher auch nicht angekündigt.

Mit freundlichen Grüßen

Nils Dornblut

Sucuri sichert grob beschrieben wie hier gezeigt ab:

https://sucuri.net/documentation/Suc...Whitepaper.pdf


Insbesondere für den Fall sicher relevant der Schutz vor Brute Force-Attacken.

Wenn sie sich Ihr Passwort klauen lassen, dann kann der beste Mechanismus nichts tun. Hier helfen dann nur mehrere Faktoren, wobei die natürlich auch entwendet werden können. Sicher, das ist schwieriger. Mehrere Faktoren machen es halt auch weniger komfortabel. Aber ich will die Zwei-Faktor-Authentifizierung nicht schlecht reden. Sehr wichtig ist aber auch das Passwort hin und wieder zu wechseln und noch wichtiger hinreichend komplex zu machen.

Mit freundlichen Grüßen

Nils Dornblut

Gerade dann ist 2FA super. Wenn ich mir mein Kennwort klauen lasse merke ich es spätestens dann, wenn sich jemand einloggt und mir eine SMS oder Email mit einem Code zugeschickt wird. Und das tolle ist: Mein Konto bleibt geschützt weil dem Dieb der 2FA-Code fehlt. Ich frage mich gerade was Sie unter 2FA verstehen....

Ähhh....gerade das wird nicht mehr empfohlen.......

Ach ja: Heute ist "Ändere dein Passwort Tag"....Gelegenheit sich mal auf den neusten Stand zu bringen

Hallo wecotec,

die Sinnhaftigkeit von mehreren Faktoren stelle ich nicht in Frage. Klar wäre es sicherer das quasi überall zu haben.

Passwort hin und wieder ändern ist denke ich noch immer sinnvoll. Zu einfache Passwörter zu nutzen wird sicher nicht empfohlen. Sie müssen sie sich natürlich auch merken können, das ist klar.

Mit freundlichen Grüßen

Nils Dornblut

Dazu folgender interessanter Link

.. noch ein aktueller Link zum Thema: https://www.heise.de/news/Microsoft-...g-6352850.html

Sehr geehrter Herr Dornblut,

wir reden nun davon schon fast drei (!) Jahre von diesem Thema (siehe: https://forum.df.eu/forum/allgemein/...=1757#post1757)
Ich verstehe es einfach nicht. Warum wird das nicht umgesetzt? Nach drei Jahren sollten doch eigentlich die Zitat: "...Komplexität des Gesamtsystems und den diversen Teilen, die das insgesamt integrieren müssen." gar kein Problem mehr darstellen, da man nun drei Jahre Zeit hatte um sich damit auseinander zu setzen.
Die gesamte Security-Welt betet es Sekündlich hoch und runter:

1. Nicht das Passwort hin wieder wechseln, sondern möglichst lang machen (20 Zeichen oder mehr) .
2. Möglichst für jede Registrierung ein anderes, einmaliges Passwort unter Verwendung eines Passwortmanagers generieren und speichern. Dann brauch man sich nur ein langes Passwort merken.
3. Und vor allen Dingen nutze eine Zwei-Faktor-Authentifizierung!!!

Und, das kann man mit den Mail-Account von DF sehr gut, mache ich für jede Registrierung eine eigene Mailadresse als alias. Falls ich dann mal Spam bekomme oder die Adresse unter https://haveibeenpwned.com/ auftaucht, weiß ich, welche Datenbank in fremde Hände gelangt ist.
In den meisten Fällen sind es nämlich schlecht gesicherte Datenbanken, die für einen Verlust des Passworts oder eMail-Adresse verantwortlich sind.

Um Himmels willen. Warum braucht ihr dafür so lange? Für Ihre IT-Spezialisten, die für den Login-Zugang zuständig sind, habe ich hier mal schnell was rausgesucht: https://www.udemy.com/course/zweifak...entifizierung/ Kostet im Augenblick 9,99€ im Angebot.
An einem Tag den Kurs durcharbeiten, am zweiten Tag das Ding programmieren und in den Login-Prozess einbinden. Das kann doch nicht so schwer sein.

Ich bitte um Verzeihung für den harschen Unterton in meinem Text, aber: Drei Jahre. Drei Jahre!!!

Das Thema bestand auch schon im alten Forum

Ja. Ich weiß. Ich hatte mich jetzt mit den drei Jahren auf mein Post in dem ersten Link bezogen. Das ist schon schlimm genug
Ich glaube, es wird langsam mal Zeit das der c't zu übergeben. Im gegensatz zu DomainFactory finden die das Thema sicherlich sehr interessant.