Ich habe ein ziemliches Problem mit der Anmeldung in dieses Portal. Und zwar konkret mit dem Captcha. In 95% der Fälle scheitert die Anmeldung. Einziger funktionierender Weg ist „Passwort neu setzen“. Ziemlich mühsam, wenn man das quasi jedes Mal machen muss.
Haben andere Mitglieder auch solche Probleme?
Wenn ja, schlage ich vor, das schnell zu ändern. Vielleicht nehmt Ihr einen anderen Mechanismus, wenn es ein 2F-Verfahren sein soll? Passkeys? Biometrie? TOTP? Das Captcha nervt ziemlich. Es ist auch nicht gut lesbar.
Wir hatten in der Vergangenheit größere Spamprobleme und haben das Captcha sehr schwierig eingestellt. Ich habe es jetzt etwas entschärft – geht es nun besser?
Auch an anderen Stellen sind wir mit dem aktuellen Sign-On nicht zufrieden und planen bereits eine Umstellung des Login-Verfahrens und auch der Spamschutz-Methoden. Dann soll es endlich auch möglich sein, den Nutzernamen frei zu wählen. Auch das ist nämlich aktuell nicht ideal gelöst.
Danke Andreas für die schnelle Reaktion. Es ist etwas besser geworden, aber immer noch unkomfortabel. Ich habe zwei Versuche gebraucht, weil beim ersten Captcha Zeichen übereinander dargestellt wurden. Das sollte eigentlich nicht passieren.
Was ist das denn für eine Software, die da drunter liegt? Und in welche Richtung wollt Ihr das Login-Verfahren und den Spamschutz umstellen?
Ja, das Community-Portal ist Discourse, der Login und das Captcha kommen aber von unserer (Drupal-)Website per Single-Sign-On. Da der Zusatznutzen des SSO sich aber inwzischen als gering herausgestellt hat, werden wir den zurücknehmen. Es hängt an diesem Schritt aber unter der Haube noch etwas mehr, sonst würden wir es gern gleich und sofort tun Es wird dann in Zukunft voraussichtlich kein sichtbares Captcha-Feld mehr geben.
Wenn ich Logins absichern will/muss und SSO (noch) kein Thema ist, dann habe ich bisher ganz gute Erfahrungen mit TOTP gemacht (z.B. bei Nextcloud und Proxmox VE). Als Passwortmanager verwende ich ein selbstgerostetes Bitwarden/Vaultwarden. Da ist TOTP mit eingebaut, so dass kein zweites Tool (Authenticator) benötigt wird. Wenn SSO ins Spiel kommt, wäre meine aktuelle Wahl Keycloak, da das auch Bestandteil des Sovereign Cloud Stack (SCS) ist.
Dann hangele ich mich mich bis zum Abschalten irgendwie durch.
Bei einer Community würde auf TOTP und Captchas verzichten. Ich habe das nur ins Spiel gebracht, weil Ihr ja bereits Captchas nutzt. Warum Blödsinn nicht mit Fail2Ban oder Crowdsec verhindern? Die normalen Nutzer merken dann nichts davon?
Es wird dann in Zukunft voraussichtlich kein sichtbares Captcha-Feld mehr geben.