Da sich in letzter Zeit die Angriffe auf Foren, die auf der WoltLab Suite basieren, häufen und es bei diesen Angriffen hauptsächlich darum geht, Logindaten zu erbeuten, haben wir die Sicherheitsvorkehrungen erhöht.
Ab sofort ist die 2-Faktor-Authentisierung für Teammitglieder und für Benutzer mit erhöhten Rechten verpflichtend!
Wir wollen damit verhindern, dass Angreifer durch das Erraten oder Knacken eines Passwortes Zugriff auf unsere Adminkonsole erhalten, um dann schädlichen Code einschleusen zu können.
Natürlich empfehlen wir auch allen anderen Benutzern das Aktivieren der 2-Faktor-Authentisierung. So kann im Ernstfall kein Schindluder mit eurem CompiWare-Account betrieben werden.
Wie die 2-Faktor-Authentisierung eingerichtet wird, steht im passenden Eintrag unserer Häufig gestellten Fragen (FAQs):
Häufig gestellte Fragen - CompiWare - Your Way to your Computer
Solltet ihr Probleme beim Einrichten oder beim anschließenden Login haben, meldet euch bitte über unser Kontakt-Formular.
Beachtet aber, dass eine eingerichtete 2FA nicht ohne erfolgreiche Authentifizierung eurerseits von uns auf Zuruf wieder deaktiviert wird!
Mehr Informationen zu diesen Angriffen erhaltet ihr beim Entwickler der WoltLab Suite:
Update: WoltLab Suite 5.2.6 / 3.1.14 - Neuigkeiten und Hinweise - WoltLab®
4
Antworten 29
Red80
hi hab das mit der 2fa gemacht mit er googel authenticator app und gebe dann den code ein und es kommt eine fehlermeldung das der code falsch ist
PoooMukkel
Stimmt die Uhrzeit auf dem Smartphone, auf dem du den Code generieren lässt?
Red80
ja hab es jetzt auch noch mal synchronisieren lassen und es war alles synchron
PoooMukkel
Du scannst den Code mit der App ein und gibst in das Feld hier auf der Seite den angezeigten Code ein. Und dann erscheint die Meldung, dass der Code falsch ist?
Red80
das kommt
PoooMukkel
Ich versuche, das gerade mit dem Entwickler zu klären...
rucivfan
Was machen Leute, die keine Möglichkeit haben eine der beiden Verfahren anzuwenden?
PoooMukkel
Ehrlich? Das ist mir erst mal egal. Ich habe in 2 Foren miterlebt, wie es ist, gehackt zu werden und das innerhalb von nicht mal 6 Monaten. Beide Foren standen vor dem Nichts.
CompiWare gibt es seit fast 10 Jahren und ich habe wirklich keine Lust, alles zu verlieren! Was dann datenschutzrechtlich noch auf den Admin also auf mich zu kommt, wollt ihr gar nicht wissen. Wenn ich sehe, wie die anderen Admins von den Benutzern zerfleischt wurden / werden, dann ist das nicht mehr schön. Es gibt für Admins so viel zu beachten und zu berücksichtigen und alles innerhalb eines Zeitlimits. Passt das nicht, dann werden Drohungen ausgesprochen... Es wird mit rechtlichen Schritten gedroht, weil ja persönliche Daten in die falschen Hände gelangt sind. Ich kann das alles verstehen. Aber man sollte noch immer bedenken, dass die meisten Admins das als Hobby betreiben.
Es betrifft aktuell tatsächlich nur das Team und Benutzer, die mehr Rechte haben, als "normale" Benutzer. Ich denke sogar darüber nach, die Passwörter der betroffenen Benutzer zurückzusetzen, um hier nicht auch eine Lücke zu öffnen oder sogar bereits offen zu haben.
Sollte es Jemandem nicht möglich sein, eine solche Authentifizierungsapp zu installieren und einzurichten, dann gibt es die Möglichkeit, mich per Kontakt-Formular anzuschreiben. Ich bin gern bereit, hier Hilfestellung zu leisten. Aber wenn es die Möglichkeit gibt, Angreifern einen Riegel vorzuschieben, dann sollten wir sie auch nutzen.
Was würdest du tun, wenn es sich dabei um deine Community handelt rucivfan ??
rucivfan
Ein drittes Verfahren anbieten? Warum sollte das an die angemeldete E-Mail nicht gehen?
Ich sage ja nicht, dass du das wie Steam per SMS verschicken sollst, was kostet.
PoooMukkel
Ich würde dir gern auch ein viertes und fünftes Verfahren anbieten. Das Problem ist nur leider, dass es hier nicht wirklich viele Möglichkeiten gibt. Wir sind hier leider auf Drittanbieter angewiesen, weil es im Standard der WoltLab Suite bisher keine solche Möglichkeiten gibt. Selbst die 2FA ist heutzutage nicht im Standard enthalten, was schon arg traurig ist.
Weil es nicht geht! Wie ich oben bereits schrieb, sind wir hier voll und ganz auf Drittanbieter angewiesen und da bin ich froh, dass der Drittanbieter zumindest diese beiden Möglichkeiten der 2FA geschaffen hat.
Auch dafür gibt es keine Möglichkeit! Wenn es eine solche Möglichkeit geben würde, würde ich diese sogar nutzen - auch wenn es kostet.
Glaube mir, ich tue bereits, was ich nur kann, um euch das Forenleben hier bei CompiWare so einfach wie nur möglich zu machen und scheue dafür selbst auch keine Kosten!