Im Augenblick gibt es keine 2FA, das ist richtig. Eine Webapplikation wie Pixtacy ist ja immer durch die Möglichkeiten beschränkt, die der Hostingprovider auf dem Server bereitstellt. Denkbar wäre die Zusendung einer PIN via SMS, aber das würde einen kostenpflichtigen Vertrag bei einem entsprechenden SMS-Dienstleister voraussetzen. Eine einfachere Alternative wäre die Abfrage eines TOTP-Passworts, aber dann müsste man sich als Admin eine entsprechende App besorgen, die das Passwort erzeugt. Eine Ideallösung gibt es aus meiner Sicht derzeit nicht.
Manuel Capellari am 04.08.2020
da die verbreitung von pixtacy wohl deutlich kleiner ist, als von bsp. wordpress, ist auch die potentielle gefahr angegriffen zu werden geringer ...sehe ich das im fall von pixtacy eher entspannt, auch wenn 2-faktor auth wünschenswert wäre
idR. erfolgen die wenigsten angriffe über das login formular, sondern über andere angriffsvektoren, wie sql injection oder cross-site-scripting
Manuel Capellari am 04.08.2020
p.s. in meinen augen würde es wenn überhaupt mehr sinn machen einen mechanismus a'la fail2ban einzubauen, so dass die ip adresse des potentiellen angreifers nach 3 oder 5 erfolglosen anmeldeversuchen für x minuten geblockt wird ... das ist deutlich effektiver und sollte technisch eigentlich sehr einfach zu realisieren sein ... (protokollierung der IP Adressen -> eintrag in die .htaccess)