Unsolved Zugang zu ChurchTools "ergaunern" unterbinden

rschi

Hallo

Bei uns gibt es immer wieder den Fall, dass ich Leute einen Zugang zu ChurchTools "ergaunern".
Ich bin dem noch nicht genauer nachgegangen, aber ich nehme an, dass es zwei Möglichkeiten gibt, dies zu tun:

1. über die "Passwort vergessen?"-Funktion
2. wenn zwei Personen die gleiche Mailadresse haben

Kann man dies unterbinden?
Am liebsten wäre mir, wenn man sich nur über eine Einladung anmelden kann oder über die "Passwort vergessen?"-Funktion, wenn man schon einmal eine Einladung erhalten hat.

Gruss
Robin

thommyb

@rschi Das ist auch so. "Passwort vergessen" funktioniert erst, wenn man zuvor bereits eine Einladung erhalten und auf diese reagiert hat, man also bereits ein Passwort hat, das dann vergessen werden darf.

Kannst du dem Log nicht entnehmen, wie es zum Ergaunern kommt?

Simon2

@rschi sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

...Ich bin dem noch nicht genauer nachgegangen, aber ich nehme an, dass es zwei Möglichkeiten gibt, dies zu tun:

1. über die "Passwort vergessen?"-Funktion
2. wenn zwei Personen die gleiche Mailadresse haben
   ...

Ich sehe nicht, wie man über "Passwort vergessen" einen Zugang bekommen kann ohne Zugriff auf den Mailaccount des "Opfers".
(sind für mich nicht "2 Wege", sondern "2 Voraussetzungen desselben Weges")

Unterbinden/erschweren kann man das, indem man 2-Faktor-Authorisierung aktiviert. Dann muss beim Einloggen noch ein Verifikationscode (z.B. von Authy o.ä.) mitgegeben werden.

Allerdings ist heutzutage der Zugriff auf die EMail-Adresse in 99% des Internets als Identifikation etabliert - wem der geklaut wird, hat überall massive Probleme.
Ist kein CT-spezifisches Problem und ich sehe auch keine Lösung (außer via 2FA - evtl. mit sehr komplexen Mechanismen, die wiederum kaum jemand auf sich nehmen will).

bwl21

@rschi sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

wenn zwei Personen die gleiche Mailadresse haben

Das ist ein ziemliches Übel, wenn zwei Personen die gleiche Mailadresse haben. Insbesondere bei der Passwort-Reset Funktion kann man den Account des anderen kapern.

Solange ChurchTools keine Eindeutigkeit der E-Mail-Adsresse fordert, lässt sich das in der Tat nur durch 2fa unterbinden - in der Hoffnung dass nicht auch noch das Handy gemeinsam benutzt wird.

Simon2

@bwl21 sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

@rschi sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

wenn zwei Personen die gleiche Mailadresse haben

Das ist ein ziemliches Übel, wenn zwei Personen die gleiche Mailadresse haben. ...

Also für mich hat das dann aber weniger mit "ergaunern" oder "Übel" zu tun. Ist so, wie wenn zwei Personen ein gemeinsames Bankkonto besitzen oder ihre Passworte teilen.
Das müssen die beiden miteinander ausmachen.

Ich finde nicht, dass CT (oder der CT-Admin der jeweiligen Gemeinde) da etwas tun muss.
Ich selbst nutze mit 2 verschiedenen Usern dieselbe EMail-Adresse und finde es gut, dass das geht.

MichaelG

So unterschiedlich sind die Wünsche. Ich hätte gerne, dass jeder sich registrieren kann um selbständig an einen Login/Account zu kommen

bwl21

@simon2 sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

ch selbst nutze mit 2 verschiedenen Usern dieselbe EMail-Adresse und finde es gut, dass das geht.

ja, das mach ich auch so, und finde es auch gut. Da ist es dieselbe Person, die zwei E-Mail-Adressen hat - kein Problem.

Das Problem tritt auf, wenn zwei Personen die selber E-Mail Adresse haben. Das ist übel. Da ist das Thema Datenschutz sehr gefährdet.

Simon2

@bwl21 sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

@simon2 sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

Ich selbst nutze mit 2 verschiedenen Usern dieselbe EMail-Adresse und finde es gut, dass das geht.

ja, das mach ich auch so, und finde es auch gut. Da ist es dieselbe Person, die zwei E-Mail-Adressen hat - kein Problem.

Jain...
Es ist

• eine Person (physisch),
• die zwei CT-User
• mit ein und derselben E-Mail-Adresse hat.

Das Problem tritt auf, wenn zwei Personen die selber E-Mail Adresse haben. Das ist übel. Da ist das Thema Datenschutz sehr gefährdet.

Richtig.
Aber das kann man mMn nicht in CT "lösen".
Da kann man lediglich die Leute aufklären und sensibilisieren ...

Andy

@rschi sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

Kann man dies unterbinden?

Du kannst die Personen sperren und sie erst dann wieder freigeben, wenn eine Einladung zur Nutzung verschickt werden soll.

Aber wie meine Vorredner schon sagten: Ein echtes "ergaunern" gibt es nicht mehr. Früher war das ein "Feature", das aber seit Jahren nicht mehr vorhanden ist. Gut ... @MichaelG wünscht sich das zurück, aber das steht auf einem anderen Blatt.

Also definitiv: Über die "Passwort vergessen"-Funktion kann es nicht zu deinem Problem kommen.

MichaelG

@andy darf ich konkretisieren: … ich wünsche mir einen vollständigen offiziellen Prozess zur Account-Registrierung 🥳
Von Gaunern will ich nichts wissen

Andy

@michaelg ja, sorry, logo.

fschrempf

@michaelg sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

ich wünsche mir einen vollständigen offiziellen Prozess zur Account-Registrierung

Du meinst eine Registrierung für neue Benutzer, die über das hinaus geht, was man mit einem einfachen öffentlichen Gruppenformular bereits machen kann? Wenn ja, was fehlt dir da genau an Funktionalität?

MichaelG

@fschrempf hier der Request dazu

https://forum.church.tools/topic/2675/registrierung-vor-öffentlicher-anmeldung

Soweit ich weiß, wird kein Login erstellt, wenn ich ein Formular ausfülle, oder?

Andy

@michaelg öhm ... Login = Einladung ... also nö.

fschrempf

@michaelg sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

Soweit ich weiß, wird kein Login erstellt, wenn ich ein Formular ausfülle, oder?

Doch, wenn das gewünscht ist schon. Wir machen das in etwa so wie hier in der offiziellen Doku beschrieben: https://hilfe.church.tools/wiki/0/Gruppenformulare zur Registrierung nutzen.

jziegeler

@fschrempf nein, damit wird die Person angelegt, aber sie hat keinen Zugang zum System! Auch die Passwort-Vergessen-Funktion geht für diese Person nicht. Erst wenn sie eingeladen wird, was mit den Daten dann möglich sein sollte, hat die Person einen Zugang

Andy

@jziegeler sagte in Zugang zu ChurchTools "ergaunern" unterbinden:

Erst wenn sie eingeladen wird

Eben! Dachte schon, ich hätte was verpasst ...

fschrempf

@jziegeler Ja, stimmt. Das hatte ich falsch im Kopf. Da bei uns ein Admin sowieso noch bestätigen muss, ist es nicht so schlimm, wenn dabei dann zusätzlich noch die Einladung verschickt werden muss. Aber eine echte Registrierung wo das wegfällt und wo weniger Schritte für den User notwendig sind wäre natürlich schon besser.

Andy

@fschrempf wenn, dann optional... wie beim Einteilen von Diensten.

rschi

Vielen Dank für die rege Diskussion!
Nun habe ich doch auch endlich wieder einmal in diesen Thread geschaut.

Mir geht es nicht wirklich um böswilliges "Ergaunern". Tut mir leid, wenn ich das etwas falsch formuliert habe.

Bei uns wird einfach relativ oft auf Accounts von Kindern zugegriffen, die es eigentlich noch nicht gibt. Dies deshalb, weil diese Kinder halt einfach die gleichen Adressen die ein Elternteil haben.

Dies würde ich eigentlich gerne unterbinden.

@jziegeler Wäre es denkbar, den Zugriff auf Accounts von Personen, welche die gleiche Adresse haben, nur zu erlauben, wenn dieser via eine Einladung bereits existiert.