Hallo Micha,

[…] Immerhin ist es auch der Name, der hier im Forum angezeigt wird, womit 50 % der Kombination für den Login bereits bekannt sind. Wäre es nicht besser, bspw. die Mailadresse zu verwenden?

Vom Sicherheitsstandpunkt ist das mMn sinnvoll. Sehe ich im Zwischennetz zunehmend so. Ist halt mit mehr Tippen verbunden* und man(n) eher versucht – wie auch hier möglich – den automatischen Login zu bemühen. Ob das unbedingt (etwa im Firmen- oder familiären Umfeld mit gemeinsamer Brausenbenutzung) wünschenswert ist, steht auf einem andern Blatt.

* Geht mir manchmal so: Ratespiel à la „Krutzitürken, mit welcher Mehl habe ich mich dort angemeldet‽”

Hallo

für einen Login werden Passwort und Nutzername überprüft. Man benötigt also ein paar, welches zusammenpassen muss. Ist es sinnvoll, dass wir den Nutzernamen für den Login verwenden? Immerhin ist es auch der Name, der hier im Forum angezeigt wird, womit 50 % der Kombination für den Login bereits bekannt sind. Wäre es nicht besser, bspw. die Mailadresse zu verwenden?

Grundsätzlich stimme ich euch zu. Neben den von Alfie beobachteten Logins auf die Art, die du beschreibst, habe ich auch schon vereinzelt welche gefunden, bei denen man neben dem Passwort den Benutzernamen oder das Passwort angeben konnte.

Schön wäre auch die Möglichkeit einer Zwei-Faktor-Authentifizierung. Ich weiß zwar durchaus, was man damit zu erreichen sucht, allerdings ist mir die Funktionsweise nie so ganz klar geworden.

Einen SMS-Dienst möchte ich ausschließen. Man könnte sich zwar eine SIM mit einer SMS-Flat zulegen und den Versand mit einem RasPi abwickeln, aber dann müsste man eine Kommunikation zwischen Webserver und dem RasPi unterhalten und man hätte für die SIM laufende Kosten.

Es gibt dafür ja einige Apps, aber da jeder eine andere benutzt und einige keine, müssten wir da sehr unbestimmt bleiben. Keine Ahnung, wie man soetwas macht. Hier hatte vor Jahren mal jemand eine Lösung mit QRCodes vorgestellt (die ich partout nicht finde), aber ob diese Lösung bzw. der fragliche Dienst (immer noch) funktioniert, weiß ich auch nicht.

Tschö, Auge

Da die Post aus Respekt auf Deutsch war, verwende ich Übersetzer, daher hoffe ich, dass es auf Deutsch klar ist.

Ich stimme Micha zu. Es war eine Sache auf meiner Bedenkenliste. Beim Login werden nur Benutzername und Passwort abgefragt.

Die meisten Forum-Benutzer kennen sich nicht gegenseitig. Aber sie kennen sich gegenseitig (username). Und wenn sie wirklich böse Forumbenutzer sind, können sie viele Anmeldeversuche machen und das Passwort erraten, obwohl MLF dies mit den Passworteinstellungen in admin schwierig machen kann.

Es wäre vorzuziehen, wenn Sie in den MLF-Admin-Einstellungen eine Option auswählen können, um zu entscheiden, ob bei der Anmeldung beim Forum nach "Benutzername" oder "E-Mail-Adresse" gefragt wird.

Gibt es auch eine Begrenzung der Anmeldeversuche und des Timeouts? Beispiel nach 5 fehlgeschlagenen Anmeldeversuchen wird das Benutzerkonto für 60 Minuten gesperrt, bevor ein weiterer Versuch durchgeführt werden kann, und der Administrator wird per E-Mail benachrichtigt, dass der Anmeldeversuch fehlgeschlagen ist.

Prost
Fibo