Ich habe zufällig eine E-Mail von Discourse erhalten, in der mir mitgeteilt wurde, dass jemand eine Zurücksetzung meines Passworts angefordert hat. Ich habe gerade einen Film geschaut, als diese E-Mail kam, es war beängstigend. Ich habe sofort mein Passwort und meinen Authentifizierungsschlüssel geändert.
Kann sich das bitte jemand ansehen? Ich habe Angst.
Es gibt wahrscheinlich keinen Grund zur Sorge. Discourse sendet diese Nachricht an die E-Mail-Adresse eines Benutzers, wenn jemand auf den Link „Ich habe mein Passwort vergessen“ im Anmeldeformular klickt und die E-Mail-Adresse des Benutzers in das Formular eingibt:
Es gibt nichts, was jemanden daran hindert, eine beliebige E-Mail-Adresse in das Formular einzugeben. Dies ist eine Standardpraxis für die Handhabung vergessener Passwörter im Web. Die integrierte Sicherheitsfunktion besteht darin, dass die E-Mail zur Passwortzurücksetzung nur an die E-Mail-Adresse gesendet wird, die in das Formular eingegeben wurde. Wenn die Person, die die E-Mail ausgelöst hat, keinen Zugriff auf den Posteingang der E-Mail hat, kann sie keinen Zugriff auf die Website erhalten.
Sie sollten jedoch die Zwei-Faktor-Authentifizierung für Ihr Discourse-Konto aktivieren. Dies bietet Ihnen zusätzliche Sicherheit für den unwahrscheinlichen Fall, dass jemand Zugriff auf Ihr E-Mail-Konto hat. Sie können die Zwei-Faktor-Authentifizierung auf der Seite „Sicherheit“ Ihres Discourse-Kontos aktivieren. Wenn Sie Probleme bei der Einrichtung haben, erhalten Sie hier Hilfe.
Es ist unwahrscheinlich, dass Sie sich wegen des Problems an HackerOne wenden müssen. HackerOne ist für Personen gedacht, die einen wiederholbaren Exploit in Discourse entdeckt haben. Ich denke, Sie haben es hier mit der erwarteten Funktionalität des Formulars „Ich habe mein Passwort vergessen“ zu tun.
Bearbeiten: Sind Sie Administrator der Website? Wenn ja, ist es möglich, dass Ihre E-Mail-Adresse in der Einstellung site contact username festgelegt ist. Diese E-Mail-Adresse wird auf der Seite „Über“ der Website angezeigt. Es wäre einfach, sie von dort abzurufen. Idealerweise sollten alle Mitarbeiter der Website die Zwei-Faktor-Authentifizierung für ihre Discourse-Konten aktivieren.
Vielen Dank für die schnelle Antwort und ich denke, Sie haben Recht!
Ich habe keine Registrierung, nur eine Login-Seite. Direkt über der Login-Seite gibt es eine kurze Nachricht, die meine E-Mail-Adresse anzeigt, damit ich kontaktiert werden kann, und ich denke, jemand muss diese E-Mail-Adresse benutzt haben, um einen Link zum Zurücksetzen des Passworts zu erstellen. Das ist clever! Ich habe die E-Mail-Adresse geändert und sie ist jetzt mit keinem Konto mehr verbunden.
Vielen Dank! Als das passierte, sah ich in einem Bruchteil einer Sekunde so viele Variationen und versuchte, alle möglichen Ergebnisse zu bearbeiten.
Die Zwei-Faktor-Authentifizierung ist von Anfang an aktiviert.
Nun, es war ein Fehlalarm, was ich zu meiner größten Freude sagen kann, und ich möchte von ganzem Herzen die erstaunliche Plattform Discourse, die Sie geschaffen haben, loben. Ich bin sehr glücklich, sie zu benutzen!! 
Diese Art von E-Mails macht mir immer ein bisschen Angst, also verstehe ich das.
Tatsächlich gab es in meiner Antwort einen Tippfehler. Der Link „Passwort vergessen“ befindet sich im Anmeldefenster, nicht im Registrierungsfenster. Es ist also wahrscheinlich, dass sie nur auf diesen Link geklickt und auf das Formular zugegriffen haben.
Das ist großartig!
Technisch gesehen glaube ich nicht, dass jemand die E-Mail-Adresse eines Kontos kennen muss, um eine Passwortzurücksetzung anzufordern, nur den Benutzernamen.
Wenn der Benutzername öffentlich ist, könnte jeder ihn in das Formular “Passwort vergessen” eingeben und eine solche E-Mail würde gesendet werden.
Kein Sicherheitsrisiko, solange die E-Mail-Postfächer sicher sind.
Ich verstehe, dass das für jemanden lebensrettend sein könnte, aber gleichzeitig auch einen Herzinfarkt auslösen könnte.
Gibt es eine Möglichkeit, dies für Benutzernamen zu deaktivieren?
Gibt es auch Schritte, die Sie dafür empfehlen würden?
Verwenden Sie keine kostenlosen und zwielichtigen E-Mail-Dienste, mit Ausnahme von Gmail und Hotmail, aber einschließlich mail.ru, alibaba usw. Und verwenden Sie starke Passwörter sowie VPNs, wenn Sie kostenloses oder anderweitig unzuverlässiges WLAN nutzen. Normale Sicherheitsmaßnahmen.
Aber das hat nichts mit Discourse zu tun.
Ich bin ein Apple-Nutzer und abonniere iCloud Plus, das Private Relay (im Grunde VPN) anbietet.
Ja, ich verwende ein extrem starkes und langes Passwort, das vorgeschlagen und in den Schlüsselbünden von iCloud gespeichert wird.
Wäre das genug?
Sie können die Admin-Einstellung hide email address taken verwenden, die dann die vollständige E-Mail-Adresse für Passwort-Zurücksetzungsanfragen erfordert:
Ratschläge zur Erstellung eines Passworts für Ihr E-Mail-Konto würden den Rahmen dieses Forums sprengen, obwohl ich sicher bin, dass Sie einige gute Ressourcen von Ihrem E-Mail-Anbieter dafür finden werden. 
Wie Jakke erwähnte, hängt es von Ihrem E-Mail-Dienst ab. iCloud ist wahrscheinlich ziemlich sicher, aber ich bin kein Experte dafür.
Oft gibt es die Option zur Zwei-Faktor-Authentifizierung, was bedeutet, dass Sie sowohl ein Passwort als auch einen physischen Sicherheitsschlüssel oder einen von einer Authentifizierungs-App generierten Authentifizierungscode zum Anmelden benötigen.
Ich glaube, die Nachricht besagt, dass Sie sich keine Sorgen machen müssen, wenn Sie die Nachricht nicht angefordert haben. Richtig?
Für die Passwortzurücksetzung hier bei Meta lautet die E-Mail:
„Jemand hat darum gebeten, Ihr Passwort zurückzusetzen. Wenn Sie es nicht waren, können Sie diese E-Mail einfach ignorieren.“
Dies kann wahrscheinlich für verschiedene Websites angepasst werden, um etwas anderes auszusagen.
Bei der Option zur Passwortzurücksetzung heißt es auch, dass man sich an das Discourse-Team wenden soll, wenn jemand den E-Mail-Zugang verloren hat. Ich weiß nicht, wie deren Prozess dafür aussieht.
Administratoren können (fast) jeden Text hier ändern. Gehen Sie einfach zu admin > anpassen > Text.
Selbst dieser Text ist recht allgemein gehalten, er funktioniert für (fast) jedes Forum – nur weil die Dinge so sind, ist die Anforderung eines neuen Passworts kein Sicherheitsrisiko. Es kann ein wenig ärgerlich sein, wenn es ziemlich oft vorkommt (wie vor einiger Zeit bei Instagram).
Das war hilfreich, danke!!
This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.
