• avatar

    MTH am 02.08.2020  

    Hallo Herr Wandelt,
    Pixtacy kann noch keine 2FA, oder? Wenn nicht, wäre das meiner Meinung nach eine sinnvolle Ergänzung für den Admin. Ist das realisierbar?
    Danke + Grüße

  • avatar

    Martin Wandelt am 03.08.2020  

    Im Augenblick gibt es keine 2FA, das ist richtig. Eine Webapplikation wie Pixtacy ist ja immer durch die Möglichkeiten beschränkt, die der Hostingprovider auf dem Server bereitstellt. Denkbar wäre die Zusendung einer PIN via SMS, aber das würde einen kostenpflichtigen Vertrag bei einem entsprechenden SMS-Dienstleister voraussetzen. Eine einfachere Alternative wäre die Abfrage eines TOTP-Passworts, aber dann müsste man sich als Admin eine entsprechende App besorgen, die das Passwort erzeugt. Eine Ideallösung gibt es aus meiner Sicht derzeit nicht.

  • avatar

    MTH am 03.08.2020  

    Oh - ich wusste nicht, dass das mein Hoster anbieten müsste. Dachte tatsächlich, dass das eine Frage der Software ist :-D Dann ist das natürlich schwierig etwas anzubieten, das für alle funzt :-D
    Trotzdem danke für die schnelle Antwort...

  • Manuel Capellari am 04.08.2020  

    da die verbreitung von pixtacy wohl deutlich kleiner ist, als von bsp. wordpress, ist auch die potentielle gefahr angegriffen zu werden geringer ...sehe ich das im fall von pixtacy eher entspannt, auch wenn 2-faktor auth wünschenswert wäre

    idR. erfolgen die wenigsten angriffe über das login formular, sondern über andere angriffsvektoren, wie sql injection oder cross-site-scripting

  • Manuel Capellari am 04.08.2020  

    p.s. in meinen augen würde es wenn überhaupt mehr sinn machen einen mechanismus a'la fail2ban einzubauen, so dass die ip adresse des potentiellen angreifers nach 3 oder 5 erfolglosen anmeldeversuchen für x minuten geblockt wird ... das ist deutlich effektiver und sollte technisch eigentlich sehr einfach zu realisieren sein ... (protokollierung der IP Adressen -> eintrag in die .htaccess)

  • avatar

    MTH am 04.08.2020  

    Fail2Ban haben wir aktuell. War mir trotzdem eine Frage wert, weil das der letzte eigene Login ist, bei dem ich kein 2FA habe ;-)

  • Um eine Antwort zu diesem Beitrag zu schreiben, müssen Sie sich einloggen.