Im Augenblick gibt es keine 2FA, das ist richtig. Eine Webapplikation wie Pixtacy ist ja immer durch die Möglichkeiten beschränkt, die der Hostingprovider auf dem Server bereitstellt. Denkbar wäre die Zusendung einer PIN via SMS, aber das würde einen kostenpflichtigen Vertrag bei einem entsprechenden SMS-Dienstleister voraussetzen. Eine einfachere Alternative wäre die Abfrage eines TOTP-Passworts, aber dann müsste man sich als Admin eine entsprechende App besorgen, die das Passwort erzeugt. Eine Ideallösung gibt es aus meiner Sicht derzeit nicht.
Manuel Capellari am 04.08.2020
da die verbreitung von pixtacy wohl deutlich kleiner ist, als von bsp. wordpress, ist auch die potentielle gefahr angegriffen zu werden geringer ...sehe ich das im fall von pixtacy eher entspannt, auch wenn 2-faktor auth wünschenswert wäre
idR. erfolgen die wenigsten angriffe über das login formular, sondern über andere angriffsvektoren, wie sql injection oder cross-site-scripting
Manuel Capellari am 04.08.2020
p.s. in meinen augen würde es wenn überhaupt mehr sinn machen einen mechanismus a'la fail2ban einzubauen, so dass die ip adresse des potentiellen angreifers nach 3 oder 5 erfolglosen anmeldeversuchen für x minuten geblockt wird ... das ist deutlich effektiver und sollte technisch eigentlich sehr einfach zu realisieren sein ... (protokollierung der IP Adressen -> eintrag in die .htaccess)
Es gibt inzwischen deutlich mehr Möglichkeiten also vor fünf Jahren. Insbesondere ist TOTP sehr viel verbreiteter, und viele Benutzer sind es gewohnt, sich zum Einloggen auf Seiten ein Einmalpasswort zu erzeugen. Ich denke aber, dass dies keine Funktion ist, die bei vielen Pixtacy-Benutzern weit oben auf der Prioritätenliste steht. Mit ist zumindest noch kein Fall bekannt geworden, wo ein Pixtacy-Shop gehackt wurde.
ich häng mich da mal an, da ich im echten leben meinen lebensunterhalt als IT Techniker und Sysadmin bestreite habe ich tagtäglich mit dem Thema Datenschutz/Datensicherheit zu tun - 2FA finde ich durchaus sinnvoll und nice to have, ABER ich vertrete für mich persönlich die meinung, dass 2FA in pixtacy eher eine erschwernis für die Anwender ist - warum? das risiko ist überschaubar, zumindest bei mir sind bis auf ein paar Adressen von Kunden wovon 90 % Unternehmenskunden sind, keine wirklich bedenklichen Daten im Shop ...
und genau diese Unternehmenskunden sind auch der grund warum ich kein 2FA einsetzen würde - wenn die immer erst mal den authenticator raus kramen müssen um Bilder kaufen zu können wirds für die sehr schnell umständlich und uninteressant ... selbiges gilt aber auch für privatkunden, die vielleicht ein einziges mal ein Bild bei mir kaufen und von denen man dann niemehr was hört ...
... in meinen augen muss der gesamte kaufprozess einfacher werden nicht komplizierter, sonst kauft der kunde seine bilder bei adobe, shutterstock oder sonstwo ...
... nur meine gedanken dazu ...
Unbequemer stimmt schon. Bei mir persönlich ist aber die UX kein Faktor, da ich keinen Kundenlogin zulasse (ich habe übrigens 99% B2C und nicht B2B - reine Veranstaltungsfotografie). Mir geht es tatsächlich um den Admin-Login und damit einerseits um den Schutz der Kontaktdaten der Kunden und andererseits um den Schutz des gesamten Backends, damit ich keine Piraten reinlasse, die mir den Shop dicht machen. Wenn es sich daher machen lässt, wäre ich durchaus glücklich darüber. Man könnte es ja so umsetzen, dass sich jeder Shopbetreiber entscheiden kann, ob er 2FA aktiviert oder nicht...
ich sags mal so, die absicherung der kontaktdaten der kunden ist natürlich unbestritten legitim und macht auch sinn, aber eine vorgeschaltete 2FA authentifizierung setzt halt voraus, dass ein angreifer den haupteingang nutzt - was bei weniger verbreiteten angriffszielen vermutlich eher die ausnahme als die regel ist ...
ich bin kein software entwickler und kann nicht beurteilen in wieweit bei pixtacy das backend vom frontend entkoppelt ist, je nachdem könnte man da wenns der webhoster unterstützt eine zertifikatsbasierte mTLS authentifizierung einrichten, damit kommt ein angreifer der nicht im besitz des clientzertifikats ist, erst gar nicht zur anmeldung, das zertifikat könnte man dann nach lust und laune noch auf einen yubikey oder eine smartcard laden, womit man den login mit einer physischen absicherung ausgestattet hätte, das wäre vom sicherheitsniveau etwas höher als 2FA
optional/alternativ kann es sehr viel bringen geoip blocking zu verwenden um pauschal mal alle länder von denen man ausgeht, dass man nie kunden haben wird, zu blockieren ... (wenn man diese strategie betreibt sollte man jedoch die suchmaschinen davon ausnehmen, wenn man gefunden werden will) ... das funktioniert recht gut ...
grundsätzlich finde ich wie vorhin erwähnt 2FA defnitiv sinnvoll - aber 2FA alleine ist halt keine wunderwaffe, da es viele angriffsvektoren gibt, es bringt deutlich mehr die angriffsfläche zu minimieren
just my 2 cents ...
Pixtacy-Support