Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen
-
Ich kippe jetzt mal als prozessorientierter Programmierer schnell noch meinen Senf dazu:
Aus meiner Sicht wäre die sinnvollste Lösung, keine E-Mail-Adresse mehr beim Login zu akzeptieren, sobald 2 oder mehr Accounts sich die selbe E-Mail-Adresse teilen.
Versucht trotzdem jemand der [2;∞) Personen sich mit der E-Mail-Adresse anzumelden, könnte man entweder nur lapidar den Hinweis anzeigen, dass der Benutzername erforderlich ist, oder für besser UX zusätzlich die möglichen (mit dieser E-Mail verknüpften) Benutzernamen in der Fehlermeldung ausgeben.
Sollte trivial zu implementieren sein und alle Klarheiten beseitigen...Edit: Ja, durch die bessere UX entsteht ein minimales Informationsleck, weil man so raus finden kann, ob ein/mehrere Benutzer mit einer bestimmten E-Mail-Adresse registriert ist/sind. Muss man per Interessenabwägung entscheiden.
Auto-Updater (Co-)Developer, ctldap Developer
ChurchTools Version: 3.x latest (Auto-Updater)
Hosting: PHP 8.1 (via FPM, Apache 2.4 mit nginx Reverse Proxy) -
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.
Das ist auch so eine Sache. Ich glaube, wenn diese Problematik bei uns auftreten würde, dann würde ich den betroffenen Personen ziemlich deutlich nahelegen, dass sie eine zweite Mailadresse benötigen, oder sie könnten dann halt nicht an bestimmte Services partizipieren. Das ist aber ein grundlegendes "Problem" und kein Churchtools-spezifisches. Ein Grundmaß an Vertraulichkeit muss einfach gegeben sein.
-
Wir haben solche Probleme durch Vertraulichkeitsverpflichtungen juristisch geregelt, denn keine Gemeinde kann wirklich sicherstellen oder kontrollieren, WER im häuslichen Umfeld wirklich Zugriff auf Computer und mobile Endgeräte hat und somit (ggf. durch gespeicherte Kennwörter) unberechtigter Weise Zugriff auf bestimmte Informationen innerhalb ChurchTools hat.
Daher verpflichten sich bei uns zuvor alle Teilnehmer an CT, einen Fremdzugriff (auch im häuslichen Umfeld => Familie) zu verhindern und dass sie bei Bekanntwerden oder Verdacht (!) einer Nutzung ihres Accounts durch Dritte dies unverzüglich melden und ihr Kennwort sofort ändern müssen. Das verhindert zwar im Zweifel nicht den Fremdzugriff, aber der Nutzer hat durch diese Verpflichtung eine Sorgfaltspflicht übernommen, die in relevanten Fällen auch juristisch angewendet werden können. Natürlich sind das zunächst theoretische Szenarien, die keiner (schon gar nicht im Rahmen einer Gemeinde) anwenden möchte, aber es ist eine "Hürde", die hoffentlich die Verantwortung deutlich macht, die man mit der Nutzung von CT eingeht. -
@milux
Dein Vorschlag ist genau das, was ich meine - eine solche Abfrage würde alles automatisch regeln. Wie komplex das in der Programmierung ist, kann ich nicht beurteilen, aber bei den Benutzernamen praktiziert CT das ja schon! Warum also nicht auch bei anderen - zumindest Login-relevanten - Daten? -
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Wenn wir uns jetzt vorstellen, dass Max Mustermann Gemeindeleiter ist und Lisa Mustermann nur "normales" Mitglied, bekommt Lisa somit möglicherweise Zugang zu vertraulichen Daten, ohne das es jemand merkt.
Das nützt doch überhaupt nichts, wenn beide die selbe Mailadresse verwenden. Dann kann der andere sich ja einfach einen Passwort-vergessen-Link für den höherberechtigten Account schicken lassen, wenn er neugierig ist.
Also so rein sicherheitstechnisch ist das alles nicht das Gelbe vom Ei... -
@rena
Die von mir aufgeführten Beispiele sind natürlich überspitzt, um die Problematik deutlich zu machen. Natürlich wird es in der Praxis seltener vorkommen, dass ein Gemeindeleiter und seine Frau die selbe E-Mail verwenden - wir aber haben einen solchen Fall und ich kann niemanden zwingen eine weitere E-Mail einzurichten. Derjenige war schon Gemeindeleiter, bevor wir CT eingeführt haben.
Genau aus diesem Grund möchte ich auch gerne die E-Mail für einen Login ausschließen und die Verwendung von Benutzernamen erzwingen können. Was aber natürlich deinen Einwand (Passwort-vergessen-Mail) noch nicht lindert.
Im gesamten Thread sind ja schon mehrere Szenarien beschrieben, die CT meiner Meinung nach nicht sauber abfangen kann. Hier wünsche ich mir einfach eine Nachbesserung bzw. mehr Steuerungsmöglichkeiten als Admin.
Aber du hast Recht, eine gemeinsam genutzte E-Mail bleibt immer schwierig... -
Ergänzend noch folgender Hinweis:
Ganz schwierig wird die Sache, wenn (wie oben ja bereits ausführlich erörtert) zwei Personen die gleiche E-Mail-Adresse verwenden und eine dieser Personen die Funktion "Passwort vergessen?" anklickt! Wessen Passwort wird denn dann geändert? Es gibt doch zwei Passwörter für eine E-Mail-Adresse anhand derer ChurchTools erkennt, um welchen Account es geht. Bei Klick auf "Passwort vergessen?" bekommen nämlich beide Personen eine E-Mail auf die selbe E-Mail-Adresse, um sich ein neues Passwort vergeben zu können. Auch hier ist ChurchTools uneindeutig unterwegs!
Ich verstehe daher nicht, warum ChurchTools hier nicht reagiert und auf eine reine Benutzername + Kennwort Strategie umsteigt, zumal der Benutzername durch CT ja systemseitig schon auf Eindeutigkeit abgeprüft wird? -
Wenn der Support das ganze Thema als "Feature" bezeichnet, gehe ich davon aus, dass das auch reiflich durchdacht wurde. Inklusive dem Feature "Passwort vergessen".
@Support: Wo ist denn da jetzt genau der Feature-Gewinn zu sehen, wenn bei der Nutzung von "Passwort vergessen" zwei Personen diese Mail bekommen?
Und das Passwort welches Accounts wird dann geändert? -
Danke für deinen "Beistand"!
Ich hatte das Thema ja schon mal versucht dem Support näher zu bringen, aber ich glaube ChurchTools hat das Problem noch nicht in Gänze durchdrungen.
Man sieht das allein schon daran, dass CT die Eindeutigkeit von Benutzernamen prüft und gleiche Benutzernamen so verhindert. Da aber eine E-Mail-Adresse gleichwertig auch als Benutzername verwendet werden kann und dort eben NICHT auf Eindeutigkeit (je Person) überprüft wird, zeigt, dass das Konzept nicht durchdacht ist und somit Sicherheitslücken aufweist. Funktionen wie "Passwort vergessen?" werden somit ad absurdum geführt und es ist für den Nutzer nicht mehr nachvollziehbar, was dann eigentlich passiert???
Ich glaube CT hat einfach die Tatsache unterschätzt, dass es in der Praxis gleiche E-Mail-Adressen geben könnte, was aber der Fall ist, und nun den Aufwand scheut, die entsprechenden Funktionen nachzulegen? Was soll ich als Admin machen? Ich kann ein Ehepaar nicht zwingen eine 2. E-Mail-Adresse zu führen. Ich könnte daher nur eine Person von CT ausschließen, was dem eigentlichen Ansatz von CT zuwider läuft, denn CT "lebt" ja vom Mitmachen!
Alles wäre gelöst, wenn man die Anmeldung (ggf. auch nur bei einzelnen Personen) per E-Mail-Adresse (inkl. der Funktion "Passwort vergessen?") abschalten könnte und somit die Verwendung des Benutzernamens erzwingen könnte.
Bei Internetseiten, die ebenfalls E-Mail-Adressen als Benutzernamen verwenden, meldet man sich erstmalig an und dann kann keine 2. Person diese E-Mail als Benutzernamen mehr verwenden. Bei CT ist das anders. Der Admin trägt i.d.R. die Daten ein und lädt dann die Person zu CT ein - also ein umgekehrtes Verfahren. Daher kommt das Problem bei CT zustande, was sonst an anderen Stellen trotz Verwendung der E-Mail-Adresse, so nicht vorkommen kann. -
@stellarium Gerne...
Nein, ausschließen sollte man niemanden.. Aber zumindest mal den Versuch starten, ob sich Leute nicht doch eine zweite Adresse zulegen würden. Einen Versuch ist es sicherlich Wert.
Zumindest die Problematik der „Passwort vergessen“ Funktion könnte man selber lösen, wenn man halt den Leuten eine reine Weiterleitungsmail unter der Gemeinde-Domain verpasst. Die kann ja nach einem bestimmten Schema aufgebaut sein, so dass man auf den ersten Blick erkennen kann, dass es sich hierbei um eine dummy-Adresse handelt, die zwar funktioniert, aber lediglich ein Workaround darstellt. -
Ich bin gerade auch über dieses Problem gestolpert und möchte daher das Thema gern noch einmal pushen.
Mehrere Personen eines Haushalts teilen sich dieselbe Mail-Adresse. Sie sollten aber unterschiedlichen Zugriff auf CT-Inhalte haben. Es wäre mir eine große Hilfe, wenn ich als Admin einen Login per Benutzernamen erzwingen könnte und in diesem Fall die "Passwort vergessen"-Funktion deaktiviert wäre.
-
@thorsten sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Ich bin gerade auch über dieses Problem gestolpert und möchte daher das Thema gern noch einmal pushen.
Mehrere Personen eines Haushalts teilen sich dieselbe Mail-Adresse. Sie sollten aber unterschiedlichen Zugriff auf CT-Inhalte haben. Es wäre mir eine große Hilfe, wenn ich als Admin einen Login per Benutzernamen erzwingen könnte und in diesem Fall die "Passwort vergessen"-Funktion deaktiviert wäre.Um es mal ungeschützt zu sagen: Das ist ein anachronismus, den man den Leuten ausreden sollte. Es wird viel aufwand betrieben, um diese "worst practice" zu handhaben.
Ich habe mal ein System gebaut, welches die Email-Adresse als username verwendet und bin dann in dasselbe Problem gelaufen. Die Lösung war, dass ich intern die Email manipuliert habe
mueller@irgendwas.de->foo#mueller@irgendwas.debzw.bar#mueller@irgendwas de. Wenn das System Mails versendet, wird alles vor dem hash abgeschnitten ...Dann könnte man auch so vorgehen, dass an eine email mit hash, keine Passwort-Rücksetzen-mail verschickt wird - oder ein diskreter Hinweis, man möge sich doch eigene Email - Adressen beschaffen.
-
@thorsten gute Idee. Aber dann bitte mit Hinweis-Text, wieso PW vergessen nicht geht.
Also, man klickt drauf, will zurücksetzen und es steht in etwa: Um dein PW zurückzusetzen, wende dich bitte mit folgendem Code an deinen Admin (oder so)
Ich seh sonst schon jetzt wie es losgeht, dass der Admin zurück schreibt, dass sie es selber machen sollen (dahin wollen wir unsere Leute ja führen). Und sie sagen dann, dass das aber nicht geht, etc.
Mit einem ordentlichen Text wäre sofort klar um was für einen Fall es sich handelt.
(Und der Code kann immer der gleiche sein. Geht nur drum, dass ein User damit nicht herausfindet, dass die Adresse mehrfach verwendet wird, aber der Admin dennoch sofort weiß, dass es sich um einen Fall mit gleicher Adresse handelt) -
@michaelg Es ist schon interessant wie viele Umwege man fahren muss, nur weil einzelne eine Abkürzung nehmen. Ich würde da als Admin freundlich, hilfsbereit, aber bestimmt darauf bestehen, dass eine email - Adresse zu genau einer Person gehört.
-
An alle Anmelde-Experten in diesem Thread:
FRAGE Wie erfährt ein Anwender von CT heute seinen "Username" (den CT automatisch vergeben hat) ??Ich denke, dass die allermeisten meiner Anwender keinen blassen Schimmer davon haben, dass sie einen Username haben.
IDEE Deshalb wäre ein "Der Nutzer vergibt seinen Usernamen selber beim ersten Login" doch hilfreich, oder?
(CT darf einen Vorschlag machen mit Vorname+Anfangsbuchstabe Nachname und CT prüft auf Einmaligkeit) -
@gunnar In dem Fall weiß ja der Admin, dass es zwei Personen mit derselben Email-Adresse gibt und kann auf anderem Wege den Benutzernamen mitteilen.
Übrigens, ich bin als "Normaluser" und als "Admin" in unserem CT unterwegs. Dafür habe ich zwei accounts mit derselben email-Adresse.
Das führt dazu, dass CT mir anbietet, den Benutzer zu wechseln (natürlich mit Passworteingabe). Ein schönes Feature.
Wenn nun auf einem "Familienpc" schon die gleiche Email-Adresse für mehrere Leute verwendet wird, kann man davon ausgehen, dass auf diesem PC auch der gleiche lokale Benutzer verwendet wird. Wenn dann auch noch im Browser "Passwort speichern" eingestellt ist, dann ist der "unterschiedliche Zugriff auf CT-inhalte" hinfällig.
-
@bwl21 sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
@michaelg Es ist schon interessant wie viele Umwege man fahren muss, nur weil einzelne eine Abkürzung nehmen. Ich würde da als Admin freundlich, hilfsbereit, aber bestimmt darauf bestehen, dass eine email - Adresse zu genau einer Person gehört.
Da bin ich ganz bei dir
-
@bwl21 sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
@michaelg Es ist schon interessant wie viele Umwege man fahren muss, nur weil einzelne eine Abkürzung nehmen. Ich würde da als Admin freundlich, hilfsbereit, aber bestimmt darauf bestehen, dass eine email - Adresse zu genau einer Person gehört.
Naja, das System bietet es an, dann darf man es den Leuten nicht übel nehmen, wenn sie es nutzen.
Und genau das will ich ja vermeiden: noch mehr Mail-Kontakt. Je expliziter alles bereits vorher durch erklärende Texte abgefangen wird, desto weniger muss ich im Hintergrund Arbeit leisten und immer wieder die gleichen Abfragen machen... -
@bwl21 sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
@gunnar In dem Fall weiß ja der Admin, dass es zwei Personen mit derselben Email-Adresse gibt und kann auf anderem Wege den Benutzernamen mitteilen.
Aber auch hier wieder: Wenn der Nutzer gar nicht erst den Admin kontaktieren muss, ist wieder mehr Zeit für andere Sachen gewonnen.
