Login Benachrichtigungen [GELÖST]
Login Benachrichtigungen
Wenn Keyhelp für shared Hosts eingesetzt wird, wäre es sehr nützlich für den Admin wenn dieser Login Benachrichtigungen erhalten könnte, dies würde es erleichtern unzulässige Logins zu erkennen z.b. wenn die Login Details des Kunden irgendwo abgefischt wurden (Email Account hacked etc.) um Missbrauch zu verhindern und früh genug eingreifen zu können.
Diese Email sollte Hostname, Username, Datum, Zeit und IP Adresse enthalten, eventl. auch als Kopie an den Kunden selbst.
Kann per default inaktiv sein, aber der Admin sollte die Möglichkeit haben bei Bedarf diese Email Benachrichtigung zu aktivieren.
Diese Email sollte Hostname, Username, Datum, Zeit und IP Adresse enthalten, eventl. auch als Kopie an den Kunden selbst.
Kann per default inaktiv sein, aber der Admin sollte die Möglichkeit haben bei Bedarf diese Email Benachrichtigung zu aktivieren.
Kunden Login Benachrichtigungen
### edit ###
Kunden Login Benachrichtigungen
Login Benachrichtigung soll nur an den Kunden gesendet werden
Also ich sehe momentan auf meinen alten Systemen die noch Login Benachrichtigungen senden immer wieder mal nicht autorisierte Logins.
Derzeit werden sehr viele Mail Accounts gehackt wo die Angreifer in einigen Fällen auch Emails mit Login Daten finden und verwenden.
Bei einer Benachrichtigung kann der Kunde reagieren und ggf. den Kundenaccount sperren lassen oder das Passwort ändern bevor es zu einem Missbrauch kommt.
Die Login Benachrichtigung soll nur an den Kunden gesendet werden, der auch die Möglichkeit hat die Benachrichtigung zu deaktiviern.
Bei Admin Benachrichtigungen nur für den eigenen Account.
Kunden Login Benachrichtigungen
Login Benachrichtigung soll nur an den Kunden gesendet werden
Also ich sehe momentan auf meinen alten Systemen die noch Login Benachrichtigungen senden immer wieder mal nicht autorisierte Logins.
Derzeit werden sehr viele Mail Accounts gehackt wo die Angreifer in einigen Fällen auch Emails mit Login Daten finden und verwenden.
Bei einer Benachrichtigung kann der Kunde reagieren und ggf. den Kundenaccount sperren lassen oder das Passwort ändern bevor es zu einem Missbrauch kommt.
Die Login Benachrichtigung soll nur an den Kunden gesendet werden, der auch die Möglichkeit hat die Benachrichtigung zu deaktiviern.
Bei Admin Benachrichtigungen nur für den eigenen Account.
Last edited by Ralph on Tue 28. Mar 2023, 11:06, edited 3 times in total.
- Jolinar
- Community Moderator
- Posts: 3614
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Login Benachrichtigungen
Also ich als Kunde würde dir mächtig auf die Füße treten und wäre als Kunde sehr schnell wieder weg, wenn du als Admin meine Logins überwachen würdest (ausgenommen es gäbe eine entsprechende SLA).
Sorry, aber ich kann den Sinn dahinter nicht erkennen
Wenn jemand tatsächlich die Logindaten des Kunden abgegriffen hat, dann reicht in der Regel ein erfolgreicher Login (was ja mit den abgefishten Daten funktionieren sollte), um aus dem Account Daten abzugreifen oder in dem Account Schaden zu verursachen, sowas dauert im besten bzw. schlimmsten Fall nur Sekunden. Also ist da nicht wirklich Zeit, um noch zu reagieren.
Was nützt es dir dann noch, wenn du (oder der Kunde) eine Benachrichtigung bekommt? Der Schaden ist dann doch eh schon angerichtet...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Login Benachrichtigungen
Gemäß Jolinar' Äußerungen, von mir ein deutliches -1 (Keine Zustimmung) und bin aus den genannten Gründen auch absolut dagegen.
Ralph: Und bitte versuche in deine Threads keine doppelposts hintereinander zu verfassen, so was wird in den Foren ungerne gesehen und somit auch hier. Das habe ich nämlich schon in 1 bis 2 weitere Threads beobachten können.
Ralph: Und bitte versuche in deine Threads keine doppelposts hintereinander zu verfassen, so was wird in den Foren ungerne gesehen und somit auch hier. Das habe ich nämlich schon in 1 bis 2 weitere Threads beobachten können.
Re: Login Benachrichtigungen
Login Benachrichtigungen sind mitlerweile bei fast allen Account Verwaltungssystemen integriert, von Banking bis Webhosting, du kannst mir nicht erzählen dass du nicht wissen möchtest wenn sich jemand unbefugt in einen deiner Accounts eingeloggt hat.Jolinar wrote: ↑Mon 27. Mar 2023, 21:25Also ich als Kunde würde dir mächtig auf die Füße treten und wäre als Kunde sehr schnell wieder weg, wenn du als Admin meine Logins überwachen würdest (ausgenommen es gäbe eine entsprechende SLA).
Sorry, aber ich kann den Sinn dahinter nicht erkennen
Wenn jemand tatsächlich die Logindaten des Kunden abgegriffen hat, dann reicht in der Regel ein erfolgreicher Login (was ja mit den abgefishten Daten funktionieren sollte), um aus dem Account Daten abzugreifen oder in dem Account Schaden anzurichten, sowas dauert im besten bzw. schlimmsten Fall nur Sekunden. Also ist da nicht wirklich Zeit, um noch zu reagieren.
Was nützt es dir dann noch, wenn du (oder der Kunde) eine Benachrichtigung bekommt? Der Schaden ist dann doch eh schon angerichtet...
Wer das nicht möchte kann in den Benachrichtigungs-Einstellungen diese Emails deaktivieren.
Das macht jedenfalls mehr Sinn als überall Hirnrissige Cookie-Warn Fensterchen wegklicken zu müssen
Re: Login Benachrichtigungen
Jawoll, ich werde in Zukunft peinlichst genau darauf achten das dies nicht wieder vorkommtSeklfreak wrote: ↑Tue 28. Mar 2023, 08:19 Gemäß Jolinar' Äußerungen, von mir ein deutliches -1 (Keine Zustimmung) und bin aus den genannten Gründen auch absolut dagegen.
Ralph: Und bitte versuche in deine Threads keine doppelposts hintereinander zu verfassen, so was wird in den Foren ungerne gesehen und somit auch hier. Das habe ich nämlich schon in 1 bis 2 weitere Threads beobachten können.
- Jolinar
- Community Moderator
- Posts: 3614
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Login Benachrichtigungen
Bei Benachrichtigungen an den Kunden geh ich ja noch mit.Ralph wrote: ↑Tue 28. Mar 2023, 08:28 Login Benachrichtigungen sind mitlerweile bei fast allen Account Verwaltungssystemen integriert, von Banking bis Webhosting, du kannst mir nicht erzählen dass du nicht wissen möchtest wenn sich jemand unbefugt in einen deiner Accounts eingeloggt hat.
Wer das nicht möchte kann in den Benachrichtigungs-Einstellungen diese Emails deaktivieren.
Aber warum soll der Admin des Servers über alle Logins informiert werden? Ich bin kein Jurist, aber aus meinem Bauchgefühl heraus könnte dein Ansatz möglicherweise mit irgendwelchen Datenschutzgesetzen kollidieren...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Login Benachrichtigungen
OK - Du hast Recht, das mit der Admin Benachrichtigung ist vieleicht zu viel des guten ...Jolinar wrote: ↑Tue 28. Mar 2023, 08:38Bei Benachrichtigungen an den Kunden geh ich ja noch mit.Ralph wrote: ↑Tue 28. Mar 2023, 08:28 Login Benachrichtigungen sind mitlerweile bei fast allen Account Verwaltungssystemen integriert, von Banking bis Webhosting, du kannst mir nicht erzählen dass du nicht wissen möchtest wenn sich jemand unbefugt in einen deiner Accounts eingeloggt hat.
Wer das nicht möchte kann in den Benachrichtigungs-Einstellungen diese Emails deaktivieren.
Aber warum soll der Admin des Servers über alle Logins informiert werden? Ich bin kein Jurist, aber aus meinem Bauchgefühl heraus könnte dein Ansatz möglicherweise mit irgendwelchen Datenschutzgesetzen kollidieren...
Also ändere ich das im Feature Request entsprechend auf Kunden Login Benachrichtigungen die der Kunde auf Wunch auch deaktivieren kann.
Re: Login Benachrichtigungen
Sehe ich genau so, der Admin braucht und soll das nicht für alle Accounts auf dem System sehen. Aber für Kunden (und Admins für ihren eigenen Account) kann das nützlich sein.Jolinar wrote: ↑Tue 28. Mar 2023, 08:38 Bei Benachrichtigungen an den Kunden geh ich ja noch mit.
Aber warum soll der Admin des Servers über alle Logins informiert werden? Ich bin kein Jurist, aber aus meinem Bauchgefühl heraus könnte dein Ansatz möglicherweise mit irgendwelchen Datenschutzgesetzen kollidieren...
Wir hatten z.B. mal einen Fall, wo ein Admin-Account eines CMS über ein abgegriffenes Passwort unerlaubt genutzt wurde. Wir konnten aus den Logs des CMS nachträglich sehen, dass der Angreifer sich zunächst unbemerkt erfolgreich einmal eingeloggt, dann mehrere Wochen gewartet und danach erst seinen eigentlichen Angriff gestartet hat (den wir dann auch bemerkt haben). Seitdem aktivieren wir zumindest für alle Admin-Accounts in den CMS unserer Kunden die dort vorhandene Login-Benachrichtigung, damit die CMS-Admins im Idealfall verdächtige Logins sofort mitbekommen. Eine 100%-Garantie gegen Schaden ist das natürlich nicht, erweitert aber den möglichen Abwehrspielraum.
Re: Login Benachrichtigungen
Login-Benachrichtigung für den jeweils eigenen Account (also ob Kunde oder Administrator) fände ich durchaus auch sinnvoll.
Klar dürfte es oft zu spät sein, um akut etwas zu verhindern. Aber ggf. ist es doch ein Hinweis, dass man etwas näher untersuchen sollte
Klar dürfte es oft zu spät sein, um akut etwas zu verhindern. Aber ggf. ist es doch ein Hinweis, dass man etwas näher untersuchen sollte
Re: Login Benachrichtigungen
@Alexander
Dürfte ich mir dieses Feature denn NUR für die Pro Version wünschen?
Also Einfach eine Login Benachrichtigung "an den Kunden" senden:
So in etwa ...
Account Login notification from "hostname"
Your account was recently successfully accessed by a remote user. If this was not you, please do contact us immediately.
If this was you Great! There's nothing else you need to do.
Time / date:
IP Address:
Ich weiß dass ich nicht alles haben kann wie ich es mir vorstelle, aber diese Sache finde ich beim shared Hosting wirklich wichtig, 2FA ist sehr gut, aber nur wenn die Kunden es dann auch aktiviert haben und nutzen.
Ich würde wirklich gerne so schnell wie möglich meine shared Hosts zu KH-Pro migrieren.
Dürfte ich mir dieses Feature denn NUR für die Pro Version wünschen?
Also Einfach eine Login Benachrichtigung "an den Kunden" senden:
So in etwa ...
Account Login notification from "hostname"
Your account was recently successfully accessed by a remote user. If this was not you, please do contact us immediately.
If this was you Great! There's nothing else you need to do.
Time / date:
IP Address:
Ich weiß dass ich nicht alles haben kann wie ich es mir vorstelle, aber diese Sache finde ich beim shared Hosting wirklich wichtig, 2FA ist sehr gut, aber nur wenn die Kunden es dann auch aktiviert haben und nutzen.
Ich würde wirklich gerne so schnell wie möglich meine shared Hosts zu KH-Pro migrieren.
- Jolinar
- Community Moderator
- Posts: 3614
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Login Benachrichtigungen
Ich verstehe die Frage nicht ganz...
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Login Benachrichtigungen
Grüße,
Und die Mail soll bei jedem Login kommen? Oder soll dahinter ein "halbwegs intelligentes" System prüfen, ob es sich vielleicht nicht um die selbe Maschine handelt, von der sich gerade eingeloggt wird?
Und die Mail soll bei jedem Login kommen? Oder soll dahinter ein "halbwegs intelligentes" System prüfen, ob es sich vielleicht nicht um die selbe Maschine handelt, von der sich gerade eingeloggt wird?
Mit freundlichen Grüßen / Best regards
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Alexander Mahr
**************************************************************
Keyweb AG - Die Hosting Marke
Neuwerkstr. 45/46, 99084 Erfurt / Germany
http://www.keyweb.de - http://www.keyhelp.de
**************************************************************
Re: Login Benachrichtigungen
Ganz unkompliziert bei jedem Login eine Benachrichtigung wäre schon Klasse, jedenfalls schon mal ein guter Anfang!
Das mit der Machine ID ist sicher nicht einfach umzusetzen, es gibt viele Geräte die beim Neustart die MAC Adresse ändern bzw. neu generieren und nur auf IPs zu prüfen ist auch schwierig wenn Kunden einen ISP haben der laufend rotierende IPs vergibt.