Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen
-
Der CT-Support hat sich das ganze Thema angesehen und kommt zu dem Ergebnis, dass das oben beschriebene Verhalten ein Feature ist und kein Sicherheitsproblem. Ich lass' das jetzt mal so stehen...
-
Als "Workaround" könnte man ja mit den Paaren, die eine gemeinsame Mailadresse nutzen, vereinbaren, dass einer (oder auch beide, je nach Belieben) aus organisatorischen Gründen eine Mailadresse unter der Gemeinde-Domain bekommt, als reine Weiterleitungsadresse auf die private, gemeinsame. Das kann man ja recht beliebig gestalten, das was vor dem @ steht, und das, was zur domain gehört, in dem man z.B. eine SubDomain nur für diesen Zweck anlegt.
@stellarium Ich muss aber sagen, dass ich den Thread-Titel etwas irreführend finde, denn es ist ja de facto so, dass bereits ein eindeutiger Benutzername pro User erstellt wird. Also dieses "Feature gibt es ja". Ein Passwort wird nicht erzwungen, ein Neuling kommt also auch ohne Passwort davon. Nur er hat nichts davon, weil er sich nicht mehr einloggen kann. Insofern sehe ich ein nicht vorhandenes "Erzwingen" eines Passwortes nicht als Sicherheitsrisiko an.
Meines Erachtens müsste der Titel eher ungefähr so lauten: Login mit Mailadresse aus Sicherheitsgründen untersagen ; oder so ähnlich.
Und wenn sich der Partner mit den Daten des anderen einloggt, weil man ja alles teilt, dann kannst du eh nix mehr dagegen tun... -
Ich verstehe die Idee ja gerade so, dass es nur noch EINE Möglichkeit zum Login gibt.
Und zwar den Benutzernamen. Der Benutzername kann die email Adresse sein, aber auch xyz.
Wenn also die Wahl eines Benutzernamens erzwungen wird, muss ich mich entscheiden, was ich da eintippe.
So kann der Partner und ich zwar die gleiche Mail-Adresse hinterlegt haben. Aber während meine Frau sich mit unserer Email Adresse einloggt, kann ich das schon nicht mehr machen, weil dieser „Benutzername“ bereits an meine Frau vergeben ist. Alles Benachrichtigungen von CT gehen zwar gemeinsam an unser Postfach, aber es wird verhindert, dass meine Frau sich aus Versehen bei mir einloggt.
Die Idee finde ich also echt smart. Ich verstehe den Mehrwert auch nicht, sich mit Benutzername + Email einloggen können zu müssen. Vielleicht haben die @churchtoolsmitarbeiter hier eine Antwort
-
@metowa20 also sprich was ich oben sagen möchte: es geht nicht darum zu unterbinden, sich mit der Adresse einzuloggen. Denn die Adresse kann der Benutzername sein. Der Benutzername darf halt nur noch ein Mal vorkommen, und somit auch die Adresse (als Name, als Email im Profil kann sie dann so oft vorkommen wie man das möchte)
-
@MichaelG Im Profil jedes angemeldeten Benutzers gibt es das Feld Email und das Feld Benutzernamen. Wieso sollte das Feld Email auf einmal Benutzernamen heißen? Das ist doch verwirrend.
@MichaelG sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Wenn also die Wahl eines Benutzernamens erzwungen wird, muss ich mich entscheiden, was ich da eintippe
gut, du entscheidest dich also z.B. bei der Erst-Anmeldung, als Benutzername deine Mailadresse zu verwenden. Nun hast du in deinem Profil zweimal deine Mailadresse hinterlegt, einmal in der Funktion als Mailadresse, und einmal in der Funktion als Benutzername. So meintest du das doch, oder?
Deine Frau macht das gleiche, und weil ihr zusammen nur eine Mailadresse nutzt, trägt sie dieselbe ein (nur theoretisch, denn in der Praxis geht das nicht). Nun hätte auch sie in ihrem Profil zweimal die (gemeinsam genutzte) Mailadresse stehen, einmal in der Funktion als Mailadresse, einmal in der Funktion als Benutzername.
Wo genau wäre da jetzt der Sicherheitsgewinn im Vergleich zum Status Quo, wie es @stellarium beschrieben hat? Ihr beide loggt euch mit dem "gleichen" Benutzernamen ein, und wenn zufällig das gleiche Passwort verwendet wird, kann nicht mehr zwischen den Userprofilen unterschieden werden.Churchtools vergibt jetzt schon bei der Erstanmeldung einen eindeutigen Benutzernamen. Der kann in der ganzen Installation nicht doppelt vorkommen. Der Benutzernamen von Max Mustermann würde mmustermann lauten. Meldet sich eine Maike Mustermann danach an, lautet ihr von CT vergebener Benutzername mmustermann1.
Jeder Benutzer kann diesen Benutzernamen danach individuell ändern. Wählt er aber einen, den es schon gibt, kommt eine Fehlermeldung (Aus diesem Grund würde obiges Beispiel nicht funktionieren.) Diese Fehlermeldung könnte zwar etwas aussagekräftiger sein, aber seis drum.
Fakt ist: Bereits jetzt werden automatisch eindeutige Benutzernamen vergeben. Ob man dabei unmittelbar von Zwang sprechen kann, sei mal dahingestellt...Beim Einloggen in CT kann man sich entscheiden, ob man sich mit der Mailadresse oder dem Benutzernamen anmelden will. Gemeint sind dabei die beiden Felder aus dem Profil.
-> Behält man die bisherige Möglichkeit zum Einloggen mittels Mailadresse oder Benutzernamen bei, haben wir das (theoretisch mögliche) Problem, das @stellarium beschrieben hat.
-> Tragen User als Benutzernamen in ihrem Profil ihre Mailadresse ein, haben wir wieder das (theoretisch mögliche) Problem , das @stellarium beschrieben hat
-> Würde man nur Benutzernamen erlauben, wäre eine Eindeutigkeit in jedem Fall gegeben@MichaelG sagte:
Der Benutzername darf halt nur noch ein Mal vorkommen,
Das ist aktuell so
@MichaelG sagte:
Vielleicht haben die @churchtoolsmitarbeiter hier eine Antwort
Haben Sie:
@stellarium sagte:
Der CT-Support hat sich das ganze Thema angesehen und kommt zu dem Ergebnis, dass das oben beschriebene Verhalten ein Feature ist und kein Sicherheitsproblem
-
@metowa20 du beschreibst es ja selbst. Es ist nicht möglich zweimal eine gleiche Mail-Adresse als Benutzer anzugeben dadurch gibt es nur EINEN eindeutigen Login
Das Feld Email soll auch nicht Benutzername heißen. Es bleibt weiter Email und wird auch im System als solches genutzt, nur nicht mehr für den Login, außer ich entscheide mich im Login auch meine Adresse einzutragen. Dann steht sie zwar zweimal drin, aber meine Frau kann sie dann immerhin nicht mehr eintragen
Der Support sagt, es ist ein Feature. Aber nicht, was die Vorteile sind. Den im Moment kann ich der Argumentation des OT gut folgen. Aber vielleicht hat CT ja besser Argumente für den IST Zustand
-
Ich habe etwas Zeit und Tests gebraucht, um das tatsächliche Verhalten von CT zu verstehen, daher ist auch der Thread-Titel inzwischen vielleicht nicht mehr optimal.
Um meine Bedenken und die obigen ausführlicheren Erläuterungen zusammenzufassen ist der Kern des Problems aus meiner Sicht folgendes:
Nutzen 2 Personen eine gemeinsame E-Mail-Adresse als Benutzernamen, kann CT sie NUR noch am Kennwort erkennen. Sollten diese zufälligerweise von vornherein oder später durch eine Kennwortänderung einer Person GLEICH ausfallen (was zugegebenermaßen sicher selten der Fall sein sollte), so fängt CT diese Kennwortgleichheit NICHT ab! Beide Personen haben dann zwar 2 eigenständige Accounts, aber KEINE eindeutigen Zugangsdaten mehr! Beim Login einer Person erfolgt die Zuweisung des Accounts dann willkürlich (bzw. nach einem Schema, welches ich nicht näher nachvollziehen konnte). Somit kann eine Person in dieser Konstellation mit einer 50% Chance im falschen Account landen!
Benutzernamen jedoch werden von CT bereits jetzt überprüft und können nicht doppelt vergeben werden! Warum nicht auch bei Kennwörtern von Personen mit gleicher E-Mail? Um solche Situationen auszuschließen, hatte ich (auch im Thread-Titel) vorgeschlagen (wahlweise durch den Admin aktivierbar) bei der Anmeldung die Nutzung der E-Mail-Adresse auszuschließen und die Verwendung eines Benutzernamens (der von CT ja bereits auf Einmaligkeit überprüft wird) zu erzwingen. Dann wären auch gleiche Kennwörter kein Problem mehr.
Letztlich kann man es drehen und wenden wie man will - CT muss lediglich verhindern bzw. abfangen, dass Login-Daten (E-Mail/Benutzername + Kennwort) bei 2 Personen gleich ausfallen und somit der Login eindeutig bleibt. Dies ist insbesondere wichtig, wenn die beiden Personen auch noch stark unterschiedliche Rechte innerhalb CT haben sollten. Derzeit ist das aber so nicht gegeben.
In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.
Ich finde daher, dass CT nicht alle Möglichkeiten konsequent nutzt, die die gegebene Infrastruktur von CT bereits bietet.
-
Ich kippe jetzt mal als prozessorientierter Programmierer schnell noch meinen Senf dazu:
Aus meiner Sicht wäre die sinnvollste Lösung, keine E-Mail-Adresse mehr beim Login zu akzeptieren, sobald 2 oder mehr Accounts sich die selbe E-Mail-Adresse teilen.
Versucht trotzdem jemand der [2;∞) Personen sich mit der E-Mail-Adresse anzumelden, könnte man entweder nur lapidar den Hinweis anzeigen, dass der Benutzername erforderlich ist, oder für besser UX zusätzlich die möglichen (mit dieser E-Mail verknüpften) Benutzernamen in der Fehlermeldung ausgeben.
Sollte trivial zu implementieren sein und alle Klarheiten beseitigen...Edit: Ja, durch die bessere UX entsteht ein minimales Informationsleck, weil man so raus finden kann, ob ein/mehrere Benutzer mit einer bestimmten E-Mail-Adresse registriert ist/sind. Muss man per Interessenabwägung entscheiden.
-
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
In diesen Zusammenhang wäre es auch wünschenswert, wenn man innerhalb CT (z.B. über die App) auch Nachrichten auf Basis des Accounts bzw. des eindeutigen Benutzers/Benutzernamens senden könnte. Denn nutzen 2 Personen die gleiche E-Mail-Adresse, erhalten immer beide Personen die Nachricht, die ggf. nur für eine Person bestimmt war.
Das ist auch so eine Sache. Ich glaube, wenn diese Problematik bei uns auftreten würde, dann würde ich den betroffenen Personen ziemlich deutlich nahelegen, dass sie eine zweite Mailadresse benötigen, oder sie könnten dann halt nicht an bestimmte Services partizipieren. Das ist aber ein grundlegendes "Problem" und kein Churchtools-spezifisches. Ein Grundmaß an Vertraulichkeit muss einfach gegeben sein.
-
Wir haben solche Probleme durch Vertraulichkeitsverpflichtungen juristisch geregelt, denn keine Gemeinde kann wirklich sicherstellen oder kontrollieren, WER im häuslichen Umfeld wirklich Zugriff auf Computer und mobile Endgeräte hat und somit (ggf. durch gespeicherte Kennwörter) unberechtigter Weise Zugriff auf bestimmte Informationen innerhalb ChurchTools hat.
Daher verpflichten sich bei uns zuvor alle Teilnehmer an CT, einen Fremdzugriff (auch im häuslichen Umfeld => Familie) zu verhindern und dass sie bei Bekanntwerden oder Verdacht (!) einer Nutzung ihres Accounts durch Dritte dies unverzüglich melden und ihr Kennwort sofort ändern müssen. Das verhindert zwar im Zweifel nicht den Fremdzugriff, aber der Nutzer hat durch diese Verpflichtung eine Sorgfaltspflicht übernommen, die in relevanten Fällen auch juristisch angewendet werden können. Natürlich sind das zunächst theoretische Szenarien, die keiner (schon gar nicht im Rahmen einer Gemeinde) anwenden möchte, aber es ist eine "Hürde", die hoffentlich die Verantwortung deutlich macht, die man mit der Nutzung von CT eingeht. -
@milux
Dein Vorschlag ist genau das, was ich meine - eine solche Abfrage würde alles automatisch regeln. Wie komplex das in der Programmierung ist, kann ich nicht beurteilen, aber bei den Benutzernamen praktiziert CT das ja schon! Warum also nicht auch bei anderen - zumindest Login-relevanten - Daten? -
@stellarium sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Wenn wir uns jetzt vorstellen, dass Max Mustermann Gemeindeleiter ist und Lisa Mustermann nur "normales" Mitglied, bekommt Lisa somit möglicherweise Zugang zu vertraulichen Daten, ohne das es jemand merkt.
Das nützt doch überhaupt nichts, wenn beide die selbe Mailadresse verwenden. Dann kann der andere sich ja einfach einen Passwort-vergessen-Link für den höherberechtigten Account schicken lassen, wenn er neugierig ist.
Also so rein sicherheitstechnisch ist das alles nicht das Gelbe vom Ei... -
@rena
Die von mir aufgeführten Beispiele sind natürlich überspitzt, um die Problematik deutlich zu machen. Natürlich wird es in der Praxis seltener vorkommen, dass ein Gemeindeleiter und seine Frau die selbe E-Mail verwenden - wir aber haben einen solchen Fall und ich kann niemanden zwingen eine weitere E-Mail einzurichten. Derjenige war schon Gemeindeleiter, bevor wir CT eingeführt haben.
Genau aus diesem Grund möchte ich auch gerne die E-Mail für einen Login ausschließen und die Verwendung von Benutzernamen erzwingen können. Was aber natürlich deinen Einwand (Passwort-vergessen-Mail) noch nicht lindert.
Im gesamten Thread sind ja schon mehrere Szenarien beschrieben, die CT meiner Meinung nach nicht sauber abfangen kann. Hier wünsche ich mir einfach eine Nachbesserung bzw. mehr Steuerungsmöglichkeiten als Admin.
Aber du hast Recht, eine gemeinsam genutzte E-Mail bleibt immer schwierig... -
Ergänzend noch folgender Hinweis:
Ganz schwierig wird die Sache, wenn (wie oben ja bereits ausführlich erörtert) zwei Personen die gleiche E-Mail-Adresse verwenden und eine dieser Personen die Funktion "Passwort vergessen?" anklickt! Wessen Passwort wird denn dann geändert? Es gibt doch zwei Passwörter für eine E-Mail-Adresse anhand derer ChurchTools erkennt, um welchen Account es geht. Bei Klick auf "Passwort vergessen?" bekommen nämlich beide Personen eine E-Mail auf die selbe E-Mail-Adresse, um sich ein neues Passwort vergeben zu können. Auch hier ist ChurchTools uneindeutig unterwegs!
Ich verstehe daher nicht, warum ChurchTools hier nicht reagiert und auf eine reine Benutzername + Kennwort Strategie umsteigt, zumal der Benutzername durch CT ja systemseitig schon auf Eindeutigkeit abgeprüft wird? -
Wenn der Support das ganze Thema als "Feature" bezeichnet, gehe ich davon aus, dass das auch reiflich durchdacht wurde. Inklusive dem Feature "Passwort vergessen".
@Support: Wo ist denn da jetzt genau der Feature-Gewinn zu sehen, wenn bei der Nutzung von "Passwort vergessen" zwei Personen diese Mail bekommen?
Und das Passwort welches Accounts wird dann geändert? -
Danke für deinen "Beistand"!
Ich hatte das Thema ja schon mal versucht dem Support näher zu bringen, aber ich glaube ChurchTools hat das Problem noch nicht in Gänze durchdrungen.
Man sieht das allein schon daran, dass CT die Eindeutigkeit von Benutzernamen prüft und gleiche Benutzernamen so verhindert. Da aber eine E-Mail-Adresse gleichwertig auch als Benutzername verwendet werden kann und dort eben NICHT auf Eindeutigkeit (je Person) überprüft wird, zeigt, dass das Konzept nicht durchdacht ist und somit Sicherheitslücken aufweist. Funktionen wie "Passwort vergessen?" werden somit ad absurdum geführt und es ist für den Nutzer nicht mehr nachvollziehbar, was dann eigentlich passiert???
Ich glaube CT hat einfach die Tatsache unterschätzt, dass es in der Praxis gleiche E-Mail-Adressen geben könnte, was aber der Fall ist, und nun den Aufwand scheut, die entsprechenden Funktionen nachzulegen? Was soll ich als Admin machen? Ich kann ein Ehepaar nicht zwingen eine 2. E-Mail-Adresse zu führen. Ich könnte daher nur eine Person von CT ausschließen, was dem eigentlichen Ansatz von CT zuwider läuft, denn CT "lebt" ja vom Mitmachen!
Alles wäre gelöst, wenn man die Anmeldung (ggf. auch nur bei einzelnen Personen) per E-Mail-Adresse (inkl. der Funktion "Passwort vergessen?") abschalten könnte und somit die Verwendung des Benutzernamens erzwingen könnte.
Bei Internetseiten, die ebenfalls E-Mail-Adressen als Benutzernamen verwenden, meldet man sich erstmalig an und dann kann keine 2. Person diese E-Mail als Benutzernamen mehr verwenden. Bei CT ist das anders. Der Admin trägt i.d.R. die Daten ein und lädt dann die Person zu CT ein - also ein umgekehrtes Verfahren. Daher kommt das Problem bei CT zustande, was sonst an anderen Stellen trotz Verwendung der E-Mail-Adresse, so nicht vorkommen kann. -
@stellarium Gerne...
Nein, ausschließen sollte man niemanden.. Aber zumindest mal den Versuch starten, ob sich Leute nicht doch eine zweite Adresse zulegen würden. Einen Versuch ist es sicherlich Wert.
Zumindest die Problematik der „Passwort vergessen“ Funktion könnte man selber lösen, wenn man halt den Leuten eine reine Weiterleitungsmail unter der Gemeinde-Domain verpasst. Die kann ja nach einem bestimmten Schema aufgebaut sein, so dass man auf den ersten Blick erkennen kann, dass es sich hierbei um eine dummy-Adresse handelt, die zwar funktioniert, aber lediglich ein Workaround darstellt. -
Ich bin gerade auch über dieses Problem gestolpert und möchte daher das Thema gern noch einmal pushen.
Mehrere Personen eines Haushalts teilen sich dieselbe Mail-Adresse. Sie sollten aber unterschiedlichen Zugriff auf CT-Inhalte haben. Es wäre mir eine große Hilfe, wenn ich als Admin einen Login per Benutzernamen erzwingen könnte und in diesem Fall die "Passwort vergessen"-Funktion deaktiviert wäre.
-
@thorsten sagte in Erst-Login - Vergabe von Kennwort UND Benutzernamen erzwingen:
Ich bin gerade auch über dieses Problem gestolpert und möchte daher das Thema gern noch einmal pushen.
Mehrere Personen eines Haushalts teilen sich dieselbe Mail-Adresse. Sie sollten aber unterschiedlichen Zugriff auf CT-Inhalte haben. Es wäre mir eine große Hilfe, wenn ich als Admin einen Login per Benutzernamen erzwingen könnte und in diesem Fall die "Passwort vergessen"-Funktion deaktiviert wäre.Um es mal ungeschützt zu sagen: Das ist ein anachronismus, den man den Leuten ausreden sollte. Es wird viel aufwand betrieben, um diese "worst practice" zu handhaben.
Ich habe mal ein System gebaut, welches die Email-Adresse als username verwendet und bin dann in dasselbe Problem gelaufen. Die Lösung war, dass ich intern die Email manipuliert habe
mueller@irgendwas.de
->foo#mueller@irgendwas.de
bzw.bar#mueller@irgendwas de
. Wenn das System Mails versendet, wird alles vor dem hash abgeschnitten ...Dann könnte man auch so vorgehen, dass an eine email mit hash, keine Passwort-Rücksetzen-mail verschickt wird - oder ein diskreter Hinweis, man möge sich doch eigene Email - Adressen beschaffen.
-
@thorsten gute Idee. Aber dann bitte mit Hinweis-Text, wieso PW vergessen nicht geht.
Also, man klickt drauf, will zurücksetzen und es steht in etwa: Um dein PW zurückzusetzen, wende dich bitte mit folgendem Code an deinen Admin (oder so)
Ich seh sonst schon jetzt wie es losgeht, dass der Admin zurück schreibt, dass sie es selber machen sollen (dahin wollen wir unsere Leute ja führen). Und sie sagen dann, dass das aber nicht geht, etc.
Mit einem ordentlichen Text wäre sofort klar um was für einen Fall es sich handelt.
(Und der Code kann immer der gleiche sein. Geht nur drum, dass ein User damit nicht herausfindet, dass die Adresse mehrfach verwendet wird, aber der Admin dennoch sofort weiß, dass es sich um einen Fall mit gleicher Adresse handelt)