Anmeldung von neuem Gerät: Geräteverifizierung aktiviert

Guten Tag Gast. Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team.
  • PoooMukkel hat einen neuen Artikel veröffentlicht:

    PoooMukkel
    9. Juni 2020 um 15:25

    Zitat
    Findet ein Login von einem unbekannten Gerät statt, wird ab sofort eine Information darüber per E-Mail verschickt. Bei Auffälligkeiten kann nun schnell reagiert und das Passwort geändert werden.
  • Bei mir hat es dadurch auch das bisherige Gerät verifiziert (Email bekommen) und im ersten Moment auch für etwas Unwohlsein gesorgt. Da ich aber 2FA nutze, dachte ich mir schon, dass es kein Problem geben wird.

  • Das ist meines Erachtens eine vernünftige Einführung, wobei ich zwei kurze Fragen hierzu hätte:


    Zitat: "Anhand des CompiWare Cookies in eurem Browser wird vom System erkannt, ob es sich bei dem für den Login genutzten Gerät um ein bekanntes oder unbekanntes Gerät handelt." Zitat Ende.

    Frage 1: Wird dies nicht durch eine automatische Cookie-Löschung nach Browser-Schließung behindert? Ich etwa lösche aus Sicherheitsgründen mittlerweile möglichst alle Cookies beim beenden.


    Entsprechende Mail erhielt ich eben ebenfalls (nach PC-Wechsel), hier wird mir jedoch nur eine Information über den Login eines neuen Gerätes mitgeteilt.

    Zitat:

    "Hallo Wulfdog,

    mit deinem Benutzerkonto auf der Webseite CompiWare - Your Way to your Computer erfolgte kürzlich eine Anmeldung mit einem unbekannten Gerät. Wenn diese Anmeldung korrekt ist, musst du nichts weiter tun. Diese Mail dient lediglich zur Info.

    Du erhältst diese E-Mail zu deiner Sicherheit und um eine Fremdnutzung deiner Daten zu verhindern. Sollte der Login-Versuch nicht von dir sein, ändere dein Passwort." Zitat Ende.


    Frage 2: Wäre es nicht besser einen Login erst mit Bestätigen durch die Mail zuzulassen? So erhällt man ja lediglich das sich ein anderes Gerät eingeloggt hat (im Zweifel ja jemand Fremdes)

  • Wird dies nicht durch eine automatische Cookie-Löschung nach Browser-Schließung behindert? Ich etwa lösche aus Sicherheitsgründen mittlerweile möglichst alle Cookies beim beenden.

    Ja. Wenn du deine Cookies automatisiert bei jedem Schließen des Browsers löschen lässt, erhälst du nach jedem Login eine solche Information per E-Mail.

    Wäre es nicht besser einen Login erst mit Bestätigen durch die Mail zuzulassen? So erhällt man ja lediglich das sich ein anderes Gerät eingeloggt hat (im Zweifel ja jemand Fremdes)

    Diese E-Mail soll lediglich als Information dienen.

    Natürlich ließe es sich auch aktivieren, dass ein neues Gerät erst per Link in der E-Mail verifiziert werden muss, bevor man CompiWare nutzen darf. Ich bin aber der Meinung, dass diese Funktion die 2-Faktor-Authentisierung bietet, die jeder Benutzer in seinem Konto aktivieren kann. Somit muss auf einem unbekannten Gerät immer erst ein 2FA Code eingegeben werden, bevor ein Login stattfindet. Beides zusammen wäre meiner Meinung nach zu viel und für unsere Zwecke übertrieben. ;)

  • Mhh,

    heißt also entweder

    1. Compi beim "Cookie-Löschen bei Browser Schließung" nach Möglichkeit als Ausnahme hinzufügen

    oder

    2. entsprechend eine Postfach-Regel erstellen welche die Info-Mail direkt in den Papierkorb schiebt (Was die Info bezüglich dem Einloggen ad Absurdum durch den Nutzer selbst führt). :|

    Frage: Bekommt das Compiware-System (Admin etc.) auch eine Meldung wenn sich jemand mit einem neuen Gerät anmeldet? (Evtl. Overflow-Gefahr?):/

  • zu 1. wäre eine Möglichkeit

    Zu 2. richtig erkannt :thumbup:


    zur Frage:

    Nein, hier ist grundsätzlich der User gefragt, dass zu kontrollieren. Die Administration wäre mit diesem Aufkommen an Daten gar nicht zu bewerkstelligen.

  • dass mein E-Mail-Postfach jetzt mit diesen Verifizierungshinweisen zugespammt wird

    Das dürfte nur passieren, wenn du den CompiWare Cookie löschst. :/

    heißt also entweder

    1. Compi beim "Cookie-Löschen bei Browser Schließung" nach Möglichkeit als Ausnahme hinzufügen

    oder

    2. entsprechend eine Postfach-Regel erstellen welche die Info-Mail direkt in den Papierkorb schiebt (Was die Info bezüglich dem Einloggen ad Absurdum durch den Nutzer selbst führt).

    3. Die Geräteverifizierung einfach deaktivieren. ;)

  • Ich hab die Mail auch bekommen, obwohl ich mit dem Handy schon öfter eingelogt war. Passt auch alles, bis auf den angeblichen Standort der Gerätes, das hat mich etwas verwirrt.