Ankündigung

Einklappen
Keine Ankündigung bisher.

Wie ist das Kundenmenü Login geschützt?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Wie ist das Kundenmenü Login geschützt?

    Hallo,

    Ich habe ja selber Webseiten mit Logins und sehe regelmäßig, dass dort Leute versuchen Name/Passwort Kombinationen durch zu probieren.

    Wie ist denn das Kundenmenü geschützt?

    Blockiert ihr IPs nach mehreren Versuchen?
    Bekomme ich irgendwie mit, wenn jemand mit meiner Email sich einloggen würde?

    Bei anderen Hostern kann man eine Email für ein erfolgreiches Login bekommen und sehen wie viele Loginversuche seit dem letzten Login passiert sind.

    Gruß
    Christian

    #2
    Meines Wissens bekommst Du keine Hinweise, wenn jemand es versucht hat, in "Dein" Kundenmenü zu gelangen. Das wird auch nur schwer zuzuordnen sein, da es ja nur einen Login für alle dF Kunden gibt.
    Aber der Kundenmenü Zugang ist durch Cloudflare geschützt, d.h. alle Anfragen, Loginnamen Passwörter, IP-Adressen usw. gehen erst mal dahin und werden entsprechend geprüft und bewertet.
    Zuletzt geändert von Benutzername; 03.01.2022, 23:43.
    Es grüßt freundlich
    Ihr Benutzername

    Kommentar


      #3
      Hallo Christian,

      über die genauen Schutzmaßnahmen möchten wir aus sicher verständlichen Gründen keine Auskunft geben. Wir haben aber vor einiger Zeit den Login komplett überarbeitet und natürlich entsprechend sicher(er) gestaltet.

      Mit freundlichen Grüßen

      Nils Dornblut
      Blog - Facebook - Twitter
      Communitybetreiber: domainfactory GmbH
      Impressum / Pflichtangaben

      Kommentar


        #4
        Zitat von Nils Dornblut Beitrag anzeigen
        Hallo Christian,

        über die genauen Schutzmaßnahmen möchten wir aus sicher verständlichen Gründen keine Auskunft geben. Wir haben aber vor einiger Zeit den Login komplett überarbeitet und natürlich entsprechend sicher(er) gestaltet.
        "security by obscurity" ich denke jeder ITler wird sich beim lesen obiger Zeilen seine Gedanken machen.

        Verständlich wäre es, wenn man die Sicherheitsmaßnahmen beschriebt, damit Kunden wie Christian beruhigt schlafen können.

        Apropos Sicherheit: wann wird 2FA eingeführt?

        Markus
        ---
        https://www.facebook.com/markus.weber.180410

        Kommentar


          #5
          Ich muss mich korrigieren, das KM ist durch Sucuri abgesichert. Ob Cloudflare auch noch alle Logindaten vorher zur Prüfung bekommt, kann ich nicht erkennen. War zumindest mal so.

          Zitat von wecotec Beitrag anzeigen
          Apropos Sicherheit: wann wird 2FA eingeführt?
          Bitte erst dann, wenn auch mehrere Logins pro Auftrag möglich sind. Ich habe ein paar Kunden, die direkt bei dF liegen. Aktuell habe ich deren Passwort, da ich sonst keine administrativen Tätigkeiten durchführen kann. Das ist natürlich ziemlich unschön (andere Anbieter haben das KM aufgeteilt in technische Administration in allgemeine Verwaltung, also auch Rechnungen etc.) aber wäre bei 2FA dann nur noch sehr schwer machbar.
          Es grüßt freundlich
          Ihr Benutzername

          Kommentar


            #6
            Zitat von Benutzername Beitrag anzeigen
            Ich muss mich korrigieren, das KM ist durch Sucuri abgesichert. Ob Cloudflare auch noch alle Logindaten vorher zur Prüfung bekommt, kann ich nicht erkennen. War zumindest mal so.
            Bitte erst dann, wenn auch mehrere Logins pro Auftrag möglich sind. Ich habe ein paar Kunden, die direkt bei dF liegen. Aktuell habe ich deren Passwort, da ich sonst keine administrativen Tätigkeiten durchführen kann. Das ist natürlich ziemlich unschön (andere Anbieter haben das KM aufgeteilt in technische Administration in allgemeine Verwaltung, also auch Rechnungen etc.) aber wäre bei 2FA dann nur noch sehr schwer machbar.

            In gewisser Weise war diese Frage ironisch gemeint Ich denke es muss erst wieder was passieren eh man was macht :-(

            Die Frage, die ich an DF habe: Wie sichert Sucuri ab? Wenn mir mein Kennwort gestohlen wird dann greift das bestimmt nicht. 2FA wäre, wenn ihr es ernst meint, eine Lösung.
            Markus
            ---
            https://www.facebook.com/markus.weber.180410

            Kommentar


              #7
              Zitat von wecotec Beitrag anzeigen

              "security by obscurity" ich denke jeder ITler wird sich beim lesen obiger Zeilen seine Gedanken machen.
              Jemand aus der IT weiß im Regelfall, dass Security by Obscurity bedeutet, dass man verbirgt, wie eine Sicherheitsmaßnahme funktioniert, und nicht, wenn man einen Teil davon geheim hält. Und die Funktion der Maßnahmen ist klar beschrieben: Wir verhindern, dass sie ohne Kenntnis des Passworts jemand einloggen kann, z. B. wenn er oftmals ein falsches Passwort verwendet. Mit welchen Parametern wir das verhindern, werden wir nicht beschreiben aus unterschiedlichen Gründen. Ich kenne auch nicht wirklich Anbieter von Diensten, die das umfangreich beschreiben.

              Zitat von wecotec Beitrag anzeigen
              Apropos Sicherheit: wann wird 2FA eingeführt?
              Dazu gibt es keine Neuigkeiten und haben wir bisher auch nicht angekündigt.

              Mit freundlichen Grüßen

              Nils Dornblut
              Blog - Facebook - Twitter
              Communitybetreiber: domainfactory GmbH
              Impressum / Pflichtangaben

              Kommentar


                #8
                Zitat von wecotec Beitrag anzeigen
                Die Frage, die ich an DF habe: Wie sichert Sucuri ab? Wenn mir mein Kennwort gestohlen wird dann greift das bestimmt nicht. 2FA wäre, wenn ihr es ernst meint, eine Lösung.
                Sucuri sichert grob beschrieben wie hier gezeigt ab:

                https://sucuri.net/documentation/Suc...Whitepaper.pdf
                https://sucuri.net/website-hack-protection/

                Insbesondere für den Fall sicher relevant der Schutz vor Brute Force-Attacken.

                Wenn sie sich Ihr Passwort klauen lassen, dann kann der beste Mechanismus nichts tun. Hier helfen dann nur mehrere Faktoren, wobei die natürlich auch entwendet werden können. Sicher, das ist schwieriger. Mehrere Faktoren machen es halt auch weniger komfortabel. Aber ich will die Zwei-Faktor-Authentifizierung nicht schlecht reden. Sehr wichtig ist aber auch das Passwort hin und wieder zu wechseln und noch wichtiger hinreichend komplex zu machen.

                Mit freundlichen Grüßen

                Nils Dornblut
                Blog - Facebook - Twitter
                Communitybetreiber: domainfactory GmbH
                Impressum / Pflichtangaben

                Kommentar


                  #9
                  Zitat von Nils Dornblut Beitrag anzeigen
                  Wenn sie sich Ihr Passwort klauen lassen, dann kann der beste Mechanismus nichts tun. Hier helfen dann nur mehrere Faktoren, wobei die natürlich auch entwendet werden können. Sicher, das ist schwieriger. Mehrere Faktoren machen es halt auch weniger komfortabel. Aber ich will die Zwei-Faktor-Authentifizierung nicht schlecht reden.
                  Gerade dann ist 2FA super. Wenn ich mir mein Kennwort klauen lasse merke ich es spätestens dann, wenn sich jemand einloggt und mir eine SMS oder Email mit einem Code zugeschickt wird. Und das tolle ist: Mein Konto bleibt geschützt weil dem Dieb der 2FA-Code fehlt. Ich frage mich gerade was Sie unter 2FA verstehen....

                  Zitat von Nils Dornblut Beitrag anzeigen
                  Sehr wichtig ist aber auch das Passwort hin und wieder zu wechseln und noch wichtiger hinreichend komplex zu machen.
                  Ähhh....gerade das wird nicht mehr empfohlen.......

                  Ach ja: Heute ist "Ändere dein Passwort Tag"....Gelegenheit sich mal auf den neusten Stand zu bringen
                  Markus
                  ---
                  https://www.facebook.com/markus.weber.180410

                  Kommentar


                    #10
                    Hallo wecotec,

                    die Sinnhaftigkeit von mehreren Faktoren stelle ich nicht in Frage. Klar wäre es sicherer das quasi überall zu haben.

                    Passwort hin und wieder ändern ist denke ich noch immer sinnvoll. Zu einfache Passwörter zu nutzen wird sicher nicht empfohlen. Sie müssen sie sich natürlich auch merken können, das ist klar.

                    Mit freundlichen Grüßen

                    Nils Dornblut
                    Blog - Facebook - Twitter
                    Communitybetreiber: domainfactory GmbH
                    Impressum / Pflichtangaben

                    Kommentar


                      #11
                      Zitat von Nils Dornblut Beitrag anzeigen

                      Passwort hin und wieder ändern ist denke ich noch immer sinnvoll. Zu einfache Passwörter zu nutzen wird sicher nicht empfohlen. Sie müssen sie sich natürlich auch merken können, das ist klar.
                      Dazu folgender interessanter Link

                      https://www.heise.de/security/meldun...l-4652481.html



                      Markus
                      ---
                      https://www.facebook.com/markus.weber.180410

                      Kommentar


                        #12
                        .. noch ein aktueller Link zum Thema: https://www.heise.de/news/Microsoft-...g-6352850.html

                        Kommentar


                          #13
                          Zitat von Nils Dornblut Beitrag anzeigen
                          Hallo wecotec,

                          die Sinnhaftigkeit von mehreren Faktoren stelle ich nicht in Frage. Klar wäre es sicherer das quasi überall zu haben.

                          Passwort hin und wieder ändern ist denke ich noch immer sinnvoll. Zu einfache Passwörter zu nutzen wird sicher nicht empfohlen. Sie müssen sie sich natürlich auch merken können, das ist klar.

                          Mit freundlichen Grüßen

                          Nils Dornblut
                          Sehr geehrter Herr Dornblut,

                          wir reden nun davon schon fast drei (!) Jahre von diesem Thema (siehe: https://forum.df.eu/forum/allgemein/...=1757#post1757)
                          Ich verstehe es einfach nicht. Warum wird das nicht umgesetzt? Nach drei Jahren sollten doch eigentlich die Zitat: "...Komplexität des Gesamtsystems und den diversen Teilen, die das insgesamt integrieren müssen." gar kein Problem mehr darstellen, da man nun drei Jahre Zeit hatte um sich damit auseinander zu setzen.
                          Die gesamte Security-Welt betet es Sekündlich hoch und runter:
                          1. Nicht das Passwort hin wieder wechseln, sondern möglichst lang machen (20 Zeichen oder mehr) .
                          2. Möglichst für jede Registrierung ein anderes, einmaliges Passwort unter Verwendung eines Passwortmanagers generieren und speichern. Dann brauch man sich nur ein langes Passwort merken.
                          3. Und vor allen Dingen nutze eine Zwei-Faktor-Authentifizierung!!!
                          Und, das kann man mit den Mail-Account von DF sehr gut, mache ich für jede Registrierung eine eigene Mailadresse als alias. Falls ich dann mal Spam bekomme oder die Adresse unter https://haveibeenpwned.com/ auftaucht, weiß ich, welche Datenbank in fremde Hände gelangt ist.
                          In den meisten Fällen sind es nämlich schlecht gesicherte Datenbanken, die für einen Verlust des Passworts oder eMail-Adresse verantwortlich sind.

                          Um Himmels willen. Warum braucht ihr dafür so lange? Für Ihre IT-Spezialisten, die für den Login-Zugang zuständig sind, habe ich hier mal schnell was rausgesucht: https://www.udemy.com/course/zweifak...entifizierung/ Kostet im Augenblick 9,99€ im Angebot.
                          An einem Tag den Kurs durcharbeiten, am zweiten Tag das Ding programmieren und in den Login-Prozess einbinden. Das kann doch nicht so schwer sein.

                          Ich bitte um Verzeihung für den harschen Unterton in meinem Text, aber: Drei Jahre. Drei Jahre!!!

                          Kommentar


                            #14
                            Drei Jahre. Drei Jahre!!!
                            Das Thema bestand auch schon im alten Forum

                            Markus
                            ---
                            https://www.facebook.com/markus.weber.180410

                            Kommentar


                              #15
                              Zitat von wecotec Beitrag anzeigen

                              Das Thema bestand auch schon im alten Forum
                              Ja. Ich weiß. Ich hatte mich jetzt mit den drei Jahren auf mein Post in dem ersten Link bezogen. Das ist schon schlimm genug
                              Ich glaube, es wird langsam mal Zeit das der c't zu übergeben. Im gegensatz zu DomainFactory finden die das Thema sicherlich sehr interessant.
                              Zuletzt geändert von [email protected]; 24.05.2022, 10:40.

                              Kommentar

                              Lädt...
                              X