Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen
-
@stellarium Ich habe deinen Vorschlag noch nicht ganz verstanden. Bei der Anmeldung vergibt CT doch einen Nutzernamen automatisch, der aber von der Person geändert werden kann. Aber nicht muss.
Dieser Nutzername ist immer eindeutig. Ich weiß es grade nicht, aber ich denke, wenn User einen Benutzernamen wählen, den es schon gibt, dann erfolgt ein Hinweis mit der Aufforderung, einen anderen Benutzernamen zu wählen.
Wählen User keinen Nutzernamen, vergibt CT den, und zwar immer eindeutig.
Bei Max und Martina Mustermann sähe das dann so aus: Der erste, der sich anmeldet, bekommt mmustermann als Nutzernamen, der zweite dann sowas wie mmustermann1
Nicht unbedingt super kreativ, aber eindeutig.Wenn man sich in CT aber mit der Emailadresse oder dem Nutzernamen einloggen kann, ist das Problem an sich doch nicht behoben, nur weil Benutzernamen nicht gleich sein dürfen.
Oder check ich’s grad nich.
-
Hallo, du hast im Grunde Recht! CT wird User immer anhand des Benutzernamens und des Kennwortes unterscheiden können. Aus meiner Sicht gibt es aber dennoch eine Sicherheitslücke in CT und zwar dann, wenn...
Das Ehepaar Max Mustermann und Lisa Mustermann sind beide Mitglieder einer Gemeinde. Beide geben bei ihrer Anmeldung die selbe E-Mail Adresse "ml-mustermann@gmx.de" an (bei uns oft der Fall bei Ehepaaren). Beide erhalten eine Einladung zu CT. Beiden wird automatisch von CT ein eindeutiger Benutzername zugewiesen.
Zufälligerweise (und das ist nicht auszuschließen) vergeben sich beide dasselbe Kennwort! WAS passiert nun, wenn sich einer der beiden erstmalig in CT mit der E-Mail Adresse und dem doppelt vergebenen Kennwort anmeldet?
Ich wusste es auch nicht und habe es praktisch mit den fiktiven Personen ausprobiert! CT erkennt NICHT, dass es zwei Personen gibt, die zwar über den Benutzernamen und andere Daten unterscheidbar sind, NICHT aber über ihre E-Mail Adresse und das Kennwort!
Wenn sich nun einer der beiden mit der gemeinsamen E-Mail Adresse und dem (unbeabsichtigt gleichen Kennwort) anmeldet, loggt CT die Person in ein beliebiges (!) Profil der beiden ein (bei meinem Test war es die Person, die sich als erstes mit diesen Daten erstmals angemeldet hat! CT merkt also diese Doppelungen nicht und lässt die Person einfach in irgendeinen Account rein! Wenn wir uns jetzt vorstellen, dass Max Mustermann Gemeindeleiter ist und Lisa Mustermann nur "normales" Mitglied, bekommt Lisa somit möglicherweise Zugang zu vertraulichen Daten, ohne das es jemand merkt.
Ich gebe zu, dass es ein konstruiertes Beispiel ist, aber es ist möglich und aus meiner Sicht keine saubere Trennung der Benutzer. Da die E-Mail Adresse von CT auch als Login-Benutzernamen akzeptiert ist, bin ich der Meinung, muss CT solche Fälle intelligent abfangen und z.B. auf die Angabe des eindeutigen Benutzernamens bestehen.
Um solche Probleme zu verhindern, hatte ich vorgeschlagen, dass CT es erlaubt, die Verwendung von Benutzernamen zu erzwingen. Ich halte das für eine sicherere Lösung. Eine Alternative wäre, wenn CT solche Fälle intelligent erkennen würde und nur bei Bedarf zusätzlich auch den Benutzernamen anfordern würde.
Verwenden Personen CT mit gleicher E-Mail Adresse, so erfolgt eine Unterscheidung der Personen in CT derzeit NUR über das Kennwort! Ist auch das Kennwort gleich, dann gibt es Chaos! CT weist Betroffene sogar darauf hin, dass es zwei Accounts mit der selben E-Mail Adresse gibt und man kann oben rechts im Profilbereich sogar direkt den anderen Account aufrufen. Für meinen Geschmack hängen die Benutzer so in CT zu "eng" beinander. Wir dürfen bei all diesen Betrachtungen nicht vergessen, dass mitunter hohe Sicherheitsanforderungen des Gesetzgebers an diesem Login-Verfahren hängen können! -
@stellarium Du hast absolut Recht. Den Fall mit einem gleichen Passwort, denn hatte ich nicht auf dem Schirm. Ich bin auch voll bei dir, wenn du forderst, dass CT dies sicher oder intelligent auffangen sollte.
-
Habe nach diesem Test bereits eine Sicherheitswarnung an den Support geschickt!
-
@stellarium Ich habe nochmal ein wenig über diese Konstellation nachgedacht.
Wie soll denn CT den Fall auffangen, dass zwei Personen:- die gleiche Mailadresse angeben
- ein gleiches Passwort wählen
- einen unterschiedlichen Benutzernamen haben (selbstgewählt oder durch CT zugewiesen).
Das "Sicherheitsproblem" hängt doch ausschließlich am gleichen Passwort.
CT kann das doch nur auffangen, indem:
- Eine Mailadresse nur einmal im System vorkommen kann (kaum praktikabel), oder
- Das Anmelden grundsätzlich nur über einen eindeutigen Benutzernamen plus Passwort zulässt, und nicht mehr über die Mailadresse.
Selbst wenn beim Erst-Login der User gezwungen wird, einen Benutzernamen anzugeben (der dann natürlich gegen die Datenbank überprüft werden muss), kann der User sich doch später trotzdem mit der gemeinsamen Mailadresse und dem "zufällig" gleichen Passwort anmelden, und dann weiß CT immer noch nicht, wer es nun ist.
-
Durch Tests habe ich inzwischen herausgefunden, dass CT die Benutzernamen auf Eindeutigkeit bei der Eingabe prüft. Somit kann es nur in der Kombination E-Mail/Kennwort zu gleichen Einträgen bei verschiedenen Personen kommen. Die Kombination Benutzername/Kennwort ist durch die interne Prüfautomatik von CT immer eindeutig - auch wenn Kennwörter (zufälligerweise) mehrfach vorkommen sollten.
Daher würde ich fordern, dass CT beim Erst-Login gezwungenermaßen ein Kennwort UND einen Benutzernamen abfragt und dabei weiterhin die Eindeutigkeit des Benutzernamens überprüft. So wäre sichergestellt, dass jeder User eine eindeutige Kombination aus Benutzernamen und Kennwort hat. Die E-Mail-Adresse sollte nicht als Benutzername verwendet werden (zumindest als Option in den Admin-Einstellungen). -
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
So wäre sichergestellt, dass jeder User eine eindeutige Kombination aus Benutzernamen und Kennwort hat
Das ist ja jetzt schon der Fall.
Das Problem ist die Möglichkeit, sich statt mit dem Benutzernamen auch mit der Emailadresse anmelden zu können. Das, in Kombination mit einem gleichen Passwort bei zwei Personen, führt zu der möglichen Datenschutzlücke.
-
Ja, genau das meine ich mit "erzwingen" - das man sich eben NUR mit Benutzername + Kennwort anmelden kann und eben NICHT mit der E-Mail. Das geht derzeit leider noch nicht.
-
Der CT-Support hat sich das ganze Thema angesehen und kommt zu dem Ergebnis, dass das oben beschriebene Verhalten ein Feature ist und kein Sicherheitsproblem. Ich lass' das jetzt mal so stehen...
-
Als "Workaround" könnte man ja mit den Paaren, die eine gemeinsame Mailadresse nutzen, vereinbaren, dass einer (oder auch beide, je nach Belieben) aus organisatorischen Gründen eine Mailadresse unter der Gemeinde-Domain bekommt, als reine Weiterleitungsadresse auf die private, gemeinsame. Das kann man ja recht beliebig gestalten, das was vor dem @ steht, und das, was zur domain gehört, in dem man z.B. eine SubDomain nur für diesen Zweck anlegt.
@stellarium Ich muss aber sagen, dass ich den Thread-Titel etwas irreführend finde, denn es ist ja de facto so, dass bereits ein eindeutiger Benutzername pro User erstellt wird. Also dieses "Feature gibt es ja". Ein Passwort wird nicht erzwungen, ein Neuling kommt also auch ohne Passwort davon. Nur er hat nichts davon, weil er sich nicht mehr einloggen kann. Insofern sehe ich ein nicht vorhandenes "Erzwingen" eines Passwortes nicht als Sicherheitsrisiko an.
Meines Erachtens müsste der Titel eher ungefähr so lauten: Login mit Mailadresse aus Sicherheitsgründen untersagen ; oder so ähnlich.
Und wenn sich der Partner mit den Daten des anderen einloggt, weil man ja alles teilt, dann kannst du eh nix mehr dagegen tun... -
Ich verstehe die Idee ja gerade so, dass es nur noch EINE Möglichkeit zum Login gibt.
Und zwar den Benutzernamen. Der Benutzername kann die email Adresse sein, aber auch xyz.
Wenn also die Wahl eines Benutzernamens erzwungen wird, muss ich mich entscheiden, was ich da eintippe.
So kann der Partner und ich zwar die gleiche Mail-Adresse hinterlegt haben. Aber während meine Frau sich mit unserer Email Adresse einloggt, kann ich das schon nicht mehr machen, weil dieser „Benutzername“ bereits an meine Frau vergeben ist. Alles Benachrichtigungen von CT gehen zwar gemeinsam an unser Postfach, aber es wird verhindert, dass meine Frau sich aus Versehen bei mir einloggt.
Die Idee finde ich also echt smart. Ich verstehe den Mehrwert auch nicht, sich mit Benutzername + Email einloggen können zu müssen. Vielleicht haben die @churchtoolsmitarbeiter hier eine Antwort
-
@metowa20 also sprich was ich oben sagen möchte: es geht nicht darum zu unterbinden, sich mit der Adresse einzuloggen. Denn die Adresse kann der Benutzername sein. Der Benutzername darf halt nur noch ein Mal vorkommen, und somit auch die Adresse (als Name, als Email im Profil kann sie dann so oft vorkommen wie man das möchte)
-
@MichaelG Im Profil jedes angemeldeten Benutzers gibt es das Feld Email und das Feld Benutzernamen. Wieso sollte das Feld Email auf einmal Benutzernamen heißen? Das ist doch verwirrend.
@MichaelG sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Wenn also die Wahl eines Benutzernamens erzwungen wird, muss ich mich entscheiden, was ich da eintippe
gut, du entscheidest dich also z.B. bei der Erst-Anmeldung, als Benutzername deine Mailadresse zu verwenden. Nun hast du in deinem Profil zweimal deine Mailadresse hinterlegt, einmal in der Funktion als Mailadresse, und einmal in der Funktion als Benutzername. So meintest du das doch, oder?
Deine Frau macht das gleiche, und weil ihr zusammen nur eine Mailadresse nutzt, trägt sie dieselbe ein (nur theoretisch, denn in der Praxis geht das nicht). Nun hätte auch sie in ihrem Profil zweimal die (gemeinsam genutzte) Mailadresse stehen, einmal in der Funktion als Mailadresse, einmal in der Funktion als Benutzername.
Wo genau wäre da jetzt der Sicherheitsgewinn im Vergleich zum Status Quo, wie es @stellarium beschrieben hat? Ihr beide loggt euch mit dem "gleichen" Benutzernamen ein, und wenn zufällig das gleiche Passwort verwendet wird, kann nicht mehr zwischen den Userprofilen unterschieden werden.Churchtools vergibt jetzt schon bei der Erstanmeldung einen eindeutigen Benutzernamen. Der kann in der ganzen Installation nicht doppelt vorkommen. Der Benutzernamen von Max Mustermann würde mmustermann lauten. Meldet sich eine Maike Mustermann danach an, lautet ihr von CT vergebener Benutzername mmustermann1.
Jeder Benutzer kann diesen Benutzernamen danach individuell ändern. Wählt er aber einen, den es schon gibt, kommt eine Fehlermeldung (Aus diesem Grund würde obiges Beispiel nicht funktionieren.) Diese Fehlermeldung könnte zwar etwas aussagekräftiger sein, aber seis drum.
Fakt ist: Bereits jetzt werden automatisch eindeutige Benutzernamen vergeben. Ob man dabei unmittelbar von Zwang sprechen kann, sei mal dahingestellt...Beim Einloggen in CT kann man sich entscheiden, ob man sich mit der Mailadresse oder dem Benutzernamen anmelden will. Gemeint sind dabei die beiden Felder aus dem Profil.
-> Behält man die bisherige Möglichkeit zum Einloggen mittels Mailadresse oder Benutzernamen bei, haben wir das (theoretisch mögliche) Problem, das @stellarium beschrieben hat.
-> Tragen User als Benutzernamen in ihrem Profil ihre Mailadresse ein, haben wir wieder das (theoretisch mögliche) Problem , das @stellarium beschrieben hat
-> Würde man nur Benutzernamen erlauben, wäre eine Eindeutigkeit in jedem Fall gegeben@MichaelG sagte:
Der Benutzername darf halt nur noch ein Mal vorkommen,
Das ist aktuell so
@MichaelG sagte:
Vielleicht haben die @churchtoolsmitarbeiter hier eine Antwort
Haben Sie:
@stellarium sagte:
Der CT-Support hat sich das ganze Thema angesehen und kommt zu dem Ergebnis, dass das oben beschriebene Verhalten ein Feature ist und kein Sicherheitsproblem
-
@metowa20 du beschreibst es ja selbst. Es ist nicht möglich zweimal eine gleiche Mail-Adresse als Benutzer anzugeben
dadurch gibt es nur EINEN eindeutigen LoginDas Feld Email soll auch nicht Benutzername heißen. Es bleibt weiter Email und wird auch im System als solches genutzt, nur nicht mehr für den Login, außer ich entscheide mich im Login auch meine Adresse einzutragen. Dann steht sie zwar zweimal drin, aber meine Frau kann sie dann immerhin nicht mehr eintragen
Der Support sagt, es ist ein Feature. Aber nicht, was die Vorteile sind. Den im Moment kann ich der Argumentation des OT gut folgen. Aber vielleicht hat CT ja besser Argumente für den IST Zustand
-
Ich habe etwas Zeit und Tests gebraucht, um das tatsächliche Verhalten von CT zu verstehen, daher ist auch der Thread-Titel inzwischen vielleicht nicht mehr optimal.
Um meine Bedenken und die obigen ausführlicheren Erläuterungen zusammenzufassen ist der Kern des Problems aus meiner Sicht folgendes:
Nutzen 2 Personen eine gemeinsame E-Mail-Adresse als Benutzernamen, kann CT sie NUR noch am Kennwort erkennen. Sollten diese zufälligerweise von vornherein oder später durch eine Kennwortänderung einer Person GLEICH ausfallen (was zugegebenermaßen sicher selten der Fall sein sollte), so fängt CT diese Kennwortgleichheit NICHT ab! Beide Personen haben dann zwar 2 eigenständige Accounts, aber KEINE eindeutigen Zugangsdaten mehr! Beim Login einer Person erfolgt die Zuweisung des Accounts dann willkürlich (bzw. nach einem Schema, welches ich nicht näher nachvollziehen konnte). Somit kann eine Person in dieser Konstellation mit einer 50% Chance im falschen Account landen!
Benutzernamen jedoch werden von CT bereits jetzt überprüft und können nicht doppelt vergeben werden! Warum nicht auch bei Kennwörtern von Personen mit gleicher E-Mail? Um solche Situationen auszuschließen, hatte ich (auch im Thread-Titel) vorgeschlagen (wahlweise durch den Admin aktivierbar) bei der Anmeldung die Nutzung der E-Mail-Adresse auszuschließen und die Verwendung eines Benutzernamens (der von CT ja bereits auf Einmaligkeit überprüft wird) zu erzwingen. Dann wären auch gleiche Kennwörter kein Problem mehr.
Letztlich kann man es drehen und wenden wie man will - CT muss lediglich verhindern bzw. abfangen, dass Login-Daten (E-Mail/Benutzername + Kennwort) bei 2 Personen gleich ausfallen und somit der Login eindeutig bleibt. Dies ist insbesondere wichtig, wenn die beiden Personen auch noch stark unterschiedliche Rechte innerhalb CT haben sollten. Derzeit ist das aber so nicht gegeben.
In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.
Ich finde daher, dass CT nicht alle Möglichkeiten konsequent nutzt, die die gegebene Infrastruktur von CT bereits bietet.
-
Ich kippe jetzt mal als prozessorientierter Programmierer schnell noch meinen Senf dazu:
Aus meiner Sicht wäre die sinnvollste Lösung, keine E-Mail-Adresse mehr beim Login zu akzeptieren, sobald 2 oder mehr Accounts sich die selbe E-Mail-Adresse teilen.
Versucht trotzdem jemand der [2;∞) Personen sich mit der E-Mail-Adresse anzumelden, könnte man entweder nur lapidar den Hinweis anzeigen, dass der Benutzername erforderlich ist, oder für besser UX zusätzlich die möglichen (mit dieser E-Mail verknüpften) Benutzernamen in der Fehlermeldung ausgeben.
Sollte trivial zu implementieren sein und alle Klarheiten beseitigen...Edit: Ja, durch die bessere UX entsteht ein minimales Informationsleck, weil man so raus finden kann, ob ein/mehrere Benutzer mit einer bestimmten E-Mail-Adresse registriert ist/sind. Muss man per Interessenabwägung entscheiden.
Auto-Updater (Co-)Developer, ctldap Developer
ChurchTools Version: 3.x latest (Auto-Updater)
Hosting: PHP 8.1 (via FPM, Apache 2.4 mit nginx Reverse Proxy) -
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.
Das ist auch so eine Sache. Ich glaube, wenn diese Problematik bei uns auftreten würde, dann würde ich den betroffenen Personen ziemlich deutlich nahelegen, dass sie eine zweite Mailadresse benötigen, oder sie könnten dann halt nicht an bestimmte Services partizipieren. Das ist aber ein grundlegendes "Problem" und kein Churchtools-spezifisches. Ein Grundmaß an Vertraulichkeit muss einfach gegeben sein.
-
Wir haben solche Probleme durch Vertraulichkeitsverpflichtungen juristisch geregelt, denn keine Gemeinde kann wirklich sicherstellen oder kontrollieren, WER im häuslichen Umfeld wirklich Zugriff auf Computer und mobile Endgeräte hat und somit (ggf. durch gespeicherte Kennwörter) unberechtigter Weise Zugriff auf bestimmte Informationen innerhalb ChurchTools hat.
Daher verpflichten sich bei uns zuvor alle Teilnehmer an CT, einen Fremdzugriff (auch im häuslichen Umfeld => Familie) zu verhindern und dass sie bei Bekanntwerden oder Verdacht (!) einer Nutzung ihres Accounts durch Dritte dies unverzüglich melden und ihr Kennwort sofort ändern müssen. Das verhindert zwar im Zweifel nicht den Fremdzugriff, aber der Nutzer hat durch diese Verpflichtung eine Sorgfaltspflicht übernommen, die in relevanten Fällen auch juristisch angewendet werden können. Natürlich sind das zunächst theoretische Szenarien, die keiner (schon gar nicht im Rahmen einer Gemeinde) anwenden möchte, aber es ist eine "Hürde", die hoffentlich die Verantwortung deutlich macht, die man mit der Nutzung von CT eingeht. -
@milux
Dein Vorschlag ist genau das, was ich meine - eine solche Abfrage würde alles automatisch regeln. Wie komplex das in der Programmierung ist, kann ich nicht beurteilen, aber bei den Benutzernamen praktiziert CT das ja schon! Warum also nicht auch bei anderen - zumindest Login-relevanten - Daten? -
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Wenn wir uns jetzt vorstellen, dass Max Mustermann Gemeindeleiter ist und Lisa Mustermann nur "normales" Mitglied, bekommt Lisa somit möglicherweise Zugang zu vertraulichen Daten, ohne das es jemand merkt.
Das nützt doch überhaupt nichts, wenn beide die selbe Mailadresse verwenden. Dann kann der andere sich ja einfach einen Passwort-vergessen-Link für den höherberechtigten Account schicken lassen, wenn er neugierig ist.
Also so rein sicherheitstechnisch ist das alles nicht das Gelbe vom Ei...
