@thommyb Und man wird beim Vergeben des Rechts nicht einmal davor gewarnt. Jeder muss neu in die Falle tappen.

@jonathan-reichardt Ja, die sind schon auch "anwesend", doch Fehler muss man seit einiger Zeit direkt an den Support melden.

@jonny sagte in 2FA deaktivieren besser absichern:

Da bin ich nicht dabei. b) ist nicht erforderlich. Ich kann ein OTP token deaktivieren und direkt ein neues aktivieren ohne das ich nach einem aktuell gültigen Token gefragt werde.

Ich habe es eben bei anderen Anbietern überprüft. Keiner verlangt einen OTP Token um 2FA zu deaktivieren.

Zudem habe ich selber noch mal geprüft, wenn man die 2FA im Profil deaktiviert und wieder aktivieren will muss man das Passwort eingeben. Also der Angreifer kann nicht mit seinem Handy 2FA neu aktivieren. Bitte prüfe das noch mal. Sollte es doch möglich sein bei euch, dann ist das ein Bug, der so nicht gewollt ist. Dann bitte aber direkt an support@churchtools.de schreiben, damit wir das Problem dort lösen können und nicht hier im Forum weiter diskutieren.

Zusammenfassend, wir handeln gerade so wie es z.B. GitHub oder andere Anbieter auch tun.

@stephanhoertig Dann bitte für den ersten Beitrag voten.

Ich halte auch den "Password Wechsel" oft genug für unproduktiv.
Wird ein sicheres Password verwendet und dieses wirklich nur einmal in einer Anwendung, dann wird es durch den Wechsel nicht sicherer.

Das Grundproblem heute, ist dass an zu vielen Stellen immer das gleiche Kennwort benutzt wird. Und diese Situation wird eher unsicherer durch die mehrfache Neueingabe des gleichen Kennworts in x-Diensten.

Aber ich verstehe das Problem und die Idee.
So just my 2 cents...

@Maronib Hat derzeit keine Auswirkungen, da das Dokument ja nicht in den Wiki-Kategorien auftaucht!
Da es sich aber um ein Wiki-Element handelt, ist dort halt standardmäßig auch das Häkchen. Verschiebe dann mal ...

Wie haben das andere nach der Migration von Version 2 (Community) gelöst?
Hat da niemand Sicherheitsbedenken, dass noch schwache Passwörter rumschwirren?

Ja, das sind gute Ideen. Ist in 30016 umgesetzt.

@gabriel Oder auf die Hostingversion (mit vielen Vorzügen) wechseln und da die SSL-Option mitbestellen. 😉

@eneri : Ich glaube dass die Passwortstärke nur in der Proversion angezeigt wird. Wäre aber allgemein gut.