Wikipedia:Administratoren/Notizen

Die Administratoren-Notizen dienen dazu, die Zusammenarbeit unter den Administratoren besser zu koordinieren und um sie auf wichtige oder außergewöhnliche Vorgänge in der Wikipedia hinzuweisen. Die Seite ist nicht der richtige Ort, um auf Konflikte zwischen Benutzern oder Missbrauch von Adminrechten aufmerksam zu machen.
Die Seite ist nicht der richtige Ort, um projektweite Diskussionen zu führen, geh dazu bitte nach Wikipedia:Projektdiskussion.

Ist das die richtige Seite für mich?

Für viele konkrete Anliegen gibt es spezielle Seiten:

• Fragen zur Wikipedia für alle Probleme, deren Lösung keiner besonderen Rechte bedarf
• Vandalismusmeldung zum Melden von Vandalismus, Edit-Wars und persönlichen Angriffen
• Entsperrwünsche zum Aufheben und Verringern von Seitenschutzen
• Löschprüfung zur Überprüfung von Löschantragsentscheidungen
• Sperrprüfung zur Überprüfung noch laufender Benutzersperren
• Verschiebewünsche zum Verschieben von Seiten
• Probleme mit Administratoren zur Diskussion und Prüfung missbräuchlicher bzw. grob fehlerhafter Verwendung der Adminrechte
• Anfragen an Administratoren, wenn dein Anliegen zu keiner anderen Seite passt
• Projektdiskussion zur Diskussion seitenübergreifender Themen mit Projektbezug

Wie lege ich einen neuen Abschnitt an?

Über den Link unten öffnet sich ein Bearbeitungsfenster, in dem du deinen Beitrag eintragen kannst. Verwende bitte eine sinnvolle Überschrift im Feld Betreff: und beschreibe die Situation möglichst sorgfältig. Insbesondere werden Links auf Bearbeitungen (Diff-Links) und Logbücher geschätzt. Versuche dabei möglichst schon ein paar Vorschläge einzubauen, wie die Situation gelöst werden könnte, sofern dies notwendig ist.

Neuen Abschnitt hinzufügen

Alte Abschnitte werden vierzehn Tage nach dem neuesten Beitrag automatisch ins Archiv (aktuelles Archiv) verschoben. Mit dem {{Erledigt|1=--~~~~}}-Baustein markierte Abschnitte werden nach zwei Tagen archiviert.

Abkürzung: WP:A/N, WP:AN

Wartung

• Wunschlisten
• Vandalismus

• Qualitätssicherung

• Textbausteine

Verhalten im Notfall

Auf dieser Seite werden Abschnitte ab Überschriftenebene 2 automatisch archiviert, die seit einem Tag mit dem Baustein {{Erledigt|1=--~~~~}} versehen sind oder deren jüngster Beitrag 14 Tage alt ist.

Moin, der Bot läuft gerade alle paar Sekunden auf der Spielwiese in einen Mißbrauchsfilter. Den Botbetreiber habe ich bereits angesprochen, aber dann festgestellt, dass er zuletzt am 2. September 15 editiert hat... Gruß, --Björn 22:42, 17. Jul. 2016 (CEST)Beantworten

Das beste wird sein, den Filter abzuschalten, und entweder den AsuraBot den Job machen zu lassen, oder einen Labs-Admin zu kontaktieren, damit er diesen Job des AsuraBots aus der Crontab löscht. Ansonsten geht das so weiter.... Viele Grüße, Luke081515 23:00, 17. Jul. 2016 (CEST)Beantworten

Das hier sieht mir auch nach Resourcenvergeudung aus... --Zollernalb (Diskussion) 23:04, 17. Jul. 2016 (CEST)Beantworten

Das Problem hatten wir auch mal auf einer Seite im BNR von Merlissimo. Damals half eine Vollsperre der Seite. Das Problem ist, das man den Bot nur ganz sperren kann, oder nicht. Jedenfalls sollte der Filter mal aus, der spammt das Log voll. Man sollte den Bot vllt einen Tag sperren, vllt hilft das. Morgen versuche ich einen LabsAdmin zu erreichen, aber heute ist noch Wochenende, daher heute schlecht. Bitte dann ohne Autoblock (weil Labs) sperren. Viele Grüße, Luke081515 23:08, 17. Jul. 2016 (CEST)Beantworten

Vgl. BD:Sitic#Dein Bot, die Spielwiese und der Mißbrauchsfilter: Itti hat den Bot gesperrt und wieder entsperrt, seitdem arbeitet er wieder normal. Filter ist nach wie vor aktiv. Mal beobachten … Gruß --Schniggendiller Diskussion 23:13, 17. Jul. 2016 (CEST)Beantworten

Zu früh gefreut, er legte wieder los. Habe erst mal unbeschränkt gesperrt. Ist das, was Zollernalb verlinkt, sinnvoll? Wenn ja: Den Spielwiese-Job auf Labs killen. Wenn nein: Sperre beibehalten. Oder? Gruß --Schniggendiller Diskussion 23:22, 17. Jul. 2016 (CEST)Beantworten

@Schniggendiller: Ich nehm den Filter mal raus und werde AsuraBot erst mal wieder aktivieren, wegen seiner Hauptseiten- und AdT-Funktionen. Diese Funktionen fahre ich dann langsam rüber auf TaxonBot und damit fahren wir AsuraBot langsam runter. Unterdessen warte ich weiterhin auf Kontakt. Das wäre wohl zunächst die beste Lösung. Danke, – Doc Taxon • Disk. • WikiMUC • Wikiliebe?! • 23:33, 17. Jul. 2016 (CEST)Beantworten

Die Diskusseiten-Zusammenstellung (Portal:Wuppertal/Diskussionen) läuft auch über AsuraBot. --Atamari (Diskussion) 23:40, 17. Jul. 2016 (CEST)Beantworten

@Atamari: Das mach ich gleich mit, – Doc Taxon • Disk. • WikiMUC • Wikiliebe?! • 23:44, 17. Jul. 2016 (CEST)Beantworten

MerlBot soll heute (19. Juli) auch nicht mehr funktionieren, denn bei WMF wird ein Patch eingespielt, da Requests nur noch per HTTPS, nicht aber mehr per HTTP möglich sein sollen. Merlissimo ist aber schon seit längerer Zeit nicht mehr sprechbar, und wo er eigentlich steckt, kann man nur vermuten. Möglicherweise wird es dann jetzt viele Anfragen dazu aus der Community geben. Ich versuche nach und nach so viel wie möglich zu übernehmen. Aber alles zugleich zu programmieren, ist auch nicht ganz so einfach. Deshalb muss ich da um etwas Geduld bitten. Sollen Jobs von MerlBot zeitweise übernommen werden, bitte hier eintragen: Benutzer:TaxonBot/MerlBot. Danke sehr, – Doc Taxon • Disk. • WikiMUC • Wikiliebe?! • 22:01, 19. Jul. 2016 (CEST)Beantworten

Gibt es niemand anderen, der da Dinge abnehmen und Funktionen übernehmen kann? Ich kenne mich ja bei den bots nicht sooo gut aus, aber dass jede Funktion Überwachung, Wartung etc braucht, soviel ist mir klar. Und mir scheint, dass Doc Taxon hier bereits einen sehr großen Teil Arbeit tun, für die ich hier an dieser Stelle auch ausdrücklich danken möchte. --Kritzolina (Diskussion) 07:59, 20. Jul. 2016 (CEST)Beantworten

@Doc Taxon: Uhhh, das ist ganz schlecht. Der Bot liefert neue Artikel in der allgemeinen QS ein, wenn was fehlt/falsch ist... Kann man da was machen? --Kurator71 (D) 08:27, 20. Jul. 2016 (CEST)Beantworten

@Kurator71: wenn Du etwas vermisst, dann hier melden: Benutzer:TaxonBot/MerlBot. Danke sehr, – Doc Taxon • Disk. • WikiMUC • Wikiliebe?! • 14:15, 20. Jul. 2016 (CEST)Beantworten

@Doc Taxon: Soll dieser AN-Abschnitt noch offenbleiben? -- MBq ^Disk 18:24, 19. Sep. 2016 (CEST)Beantworten

@MBq: ja, stört doch nicht, oder? Der Abschnitt informiert über die momentane Lage und zwar am besten, bis ich damit fertig bin, meine ich. Lass es mal noch drin, danke, – Doc Taxon • Disk. • WikiMUC • Wikiliebe?! • 21:38, 19. Sep. 2016 (CEST)Beantworten

Alles klar, danke -- MBq ^Disk 21:47, 19. Sep. 2016 (CEST)Beantworten

Update: Ich werde wahrscheinlich im Oktober noch die QSWORKLIST, BWWORKLIST und WORKLIST von MerlBot ersetzen können. – Doc Taxon • Disk. • WikiMUC • Wikiliebe?! • 11:44, 13. Okt. 2016 (CEST)Beantworten

Auf allen Projekten haben Administratoren, Bürokraten, Checkuser und Oversighter nun die Mögichlichkeit, eine Zwei-Faktor-Authentifizierung unter "Die Zwei-Faktor-Authentifizierung aktivieren" (der Klick ist noch harmlos) zu aktivieren. Dass dies ohne Vorankündigung an einem Wochenende geschehen ist, beruht auf gehackten Accounts von Jimbo u.a.

• Erstinformation: en:Wikipedia:Administrators' noticeboard#Two-Factor Authentication now available for admins
• Anfang einer FAQ auf Englisch: en:Help:Two-factor authentication

— Raymond ^Disk. 20:47, 12. Nov. 2016 (CET)Beantworten

Siehe auch meinen gerade veröffentlichten Kurierbeitrag. —DerHexer (Disk., Bew.) 20:50, 12. Nov. 2016 (CET)Beantworten

(BK) Seit aber bitte vorsichtig mit dem aktivieren. Es gab allein auf Labs (auf Wikitech steht 2FA bereits zur Verfügung) mehrere Fälle, wo Benutzer ihr Handy verloren hatten, oder die Zeitzone des Handy verstellt war. Daher: Macht euch Backups! möchte ich an dieser Stelle sagen. Auf Labs gab es umgefähr ein dutzend Fälle, wo User sich nicht mehr einloggen konnten. Nur da kann man noch über Shell bestätigen, das man der richtige User ist, und sein 2FA deaktiviert haben will, das geht hier nicht (oder wurde bisher noch nicht so angekündigt). Ob also verlorengegagene Daten resettet werden, steht bisher noch nicht fest, legoktm schrieb, das es möglich sein kann, das die Accounts nicht wiederhergestellt werden können. Bitte daher vorsichtig sein. Normale Passwörter sollte man aber dennoch ändern, und nicht auf mehreren Seiten eins verwenden. Viele Grüße, Luke081515 20:54, 12. Nov. 2016 (CET)Beantworten

Entschuldige, dass ich so dumm Frage. Wovon soll ich ein Backup machen? --Drahreg01 (Diskussion) 21:03, 12. Nov. 2016 (CET)Beantworten

du kopierst / schreibst dir einfach die handvoll "sondertoken" auf, die dir bei der aktivierung angezeigt werden und hast damit die möglichkeit, im fall der fälle dich dennoch einloggen zu können. gruß, --JD {æ} 21:05, 12. Nov. 2016 (CET)Beantworten

Bei aller Liebe und Verständnis für die Sicherheit, aber meine Meinung hierzu: Ich will nicht wegen jedem Scheiß eine App haben. Ich will nicht von der Verfügbarkeit meines Handys abhängig sein um mich einloggen zu können. Und: Es ist immer noch „nur“ Wikipedia. Danke, aber nein danke. … «« Man77 »» (A) wie Autor 21:30, 12. Nov. 2016 (CET)Beantworten

+1 --Felistoria (Diskussion) 00:16, 14. Nov. 2016 (CET)Beantworten

 Info: neu: mw:Help:Two-factor authentication, meta:Help:Two-factor authentication (verschoben von en:Help:Two-factor authentication) --Bjarlin 23:43, 12. Nov. 2016 (CET)Beantworten

Ich hoffe die Frage ist nicht allzu doof, aber mir ist das irgendwie noch unklar: Wenn ich die Two-factor authentication aktiviere, wird doch dank SUL sicher beim Login in jedem der WM-Projekte der Token abgefragt, richtig?

Was mich irritiert: Wenn ich die Aktivierungsseite mehrmals aufrufe, wird immer der gleiche Zwei-Faktor-Geheimschlüssel und auch immer die gleichen Sondertoken angezeigt. So weit, so sinnvoll. Wenn ich die Aktivierungsseite aber in einem anderen WM-Projekt aufrufe, bekomme ich sowohl einen anderen Zwei-Faktor-Geheimschlüssel als auch andere Sondertoken angezeigt. Und das finde ich irgendwie merkwürdig. --Stepro (Diskussion) 23:01, 13. Nov. 2016 (CET)Beantworten

Ist bekannt, warum nicht auf das offene U2F-Verfahren aus der FIDO-Allianz gesetzt wird? Oder habe ich da nur was falsch verstanden?--wdwd (Diskussion) 14:35, 14. Nov. 2016 (CET)Beantworten

Ich kann nur mutmaßen: Lt. U2F wird das Verfahren standardmäßig nur von Chrome unterstützt. Siehe auch Task T100373: U2F integration for Extension:OATHAuth. — Raymond ^Disk. 15:17, 14. Nov. 2016 (CET)Beantworten

Phabricator: Übersicht über OATHauth-Bugs. Da gibt es zum Beispiel diesen von April: phab:T131789, Survey how other web properties using 2FA handle token/account reset. Oder neu seit Samstag den: phab:T150562, Force OATHAuth for all users. --Bjarlin 20:00, 14. Nov. 2016 (CET)Beantworten

und bevor es jetzt allgemein Panik aufkommt: da steht auch for certain wikis. Das dürften vor allem die Spezialwikis (Office, Checkuser, OTRS usw.) sein. — Raymond ^Disk. 20:28, 14. Nov. 2016 (CET)Beantworten

Mehr Infos, warum das ganze passiert. Der Umherirrende 17:30, 16. Nov. 2016 (CET)Beantworten

If you are an administrator and have not enabled two-factor authentication on your account, please do so right away. D. Patrick, WMF.-- MBq ^Disk 06:51, 17. Nov. 2016 (CET)Beantworten

Sorry, doch wenn das soooooo dringend und wichtig ist, hätte ich schon gerne einen Text auf deutsch, den ich gerade auch, wenn es um technische Dinge geht verstehen kann. Das halte ich für ein Mindestmaß an Gebotenheit. --Itti 08:14, 17. Nov. 2016 (CET)Beantworten

Exkat! So lange ich nirgends Infos finde, wie das Ganze z. B. wikiübergreifend funktioniert (siehe weiter oben), lasse ich die Finger davon. --Stepro (Diskussion) 12:06, 17. Nov. 2016 (CET)Beantworten

Ich habe das Verfahren jetzt seit 5 Tagen und kann sagen, dass es völlig problemlos funktioniert. Wenn ich mich auf WP anmelde, muss ich kurz aufs Handy schauen, das ich ohnehin immer in der Tasche habe. Das Verfahren funktioniert unabhängig davon, ob ich mit dem Smartphone online oder offline bin. Zusammen mit dem ohnehin fälligen Passwortwechsel kann ich jetzt ziemlich sicher sein, dass mein Account nicht gehackt wird – zumindest nicht durch ein geleaktes Passwort. --Drahreg01 (Diskussion) 11:45, 17. Nov. 2016 (CET)Beantworten

Und wenn du dich mit dem Handy anmeldest? --Itti 11:54, 17. Nov. 2016 (CET)Beantworten

Hast Du Dich mal woanders als bei de-WP angemeldet? Was passiert da? --Stepro (Diskussion) 12:06, 17. Nov. 2016 (CET)Beantworten

Es funktioniert bei mir überall, wo ich es probiert habe (fr, en, meta) -- MBq ^Disk 14:16, 17. Nov. 2016 (CET)Beantworten

Ich habe den Alarm mal übersetzt. Aus meiner Sicht gibt es da keinen Spielraum für uns:

@Stepro: Die Anmeldung funktioniert auf allen SUL-Wikis der WMF. Selber getestet: 2FA auf dewiki vor einigen Tagen aktiviert und heute mal testweise auf Commons angemeldet. — Raymond ^Disk. 12:17, 17. Nov. 2016 (CET)Beantworten

 Info: Kurzanleitung für die Zwei-Faktor-Authentifizierung:

-- MBq ^Disk 12:20, 17. Nov. 2016 (CET)Beantworten

Jedesmal, wenn ich mich anmelde, muss ich dann mein Handy parat halten und einen zusätzlichen Code eingeben? --Itti 12:49, 17. Nov. 2016 (CET)Beantworten

Ja. Das ist der zweite Faktor: "Erstens etwas, was nur Du weisst, und zweitens etwas, was nur Du hast." Man kann allerdings auch mehrere Handys mit demselben Secret ausstatten, dann liefern sie auch alle dasselbe Token. Und es gibt Desktopanwendungen für den PC, mit derselben Funktion. (Naja: ob man die verwenden sollte?) -- MBq ^Disk 13:08, 17. Nov. 2016 (CET)Beantworten

(BK) Genau das ist der Witz bei Zwei-Faktor-Authentifizierung. Statt nur auf Wissen (geheimes Passwort), an das Dritte u.U. leicht gelangen können (Ausprobieren, Phishing, Keylogger, Abhören der unsicheren Leitung, Über-die-Schulter-schauen beim Eingeben, Entschlüsseln nach Datenbankhack, oder eben wie hier womöglich geschehen über die Verwendung anderweitig, etwa durch Hacks von Drittdatenbanken, bekannt gewordener Passwörter) setzt das Verfahren auf Wissen und Besitz. Nur dein Passwort zu kennen reicht dann eben nicht mehr, um an deinen Account zu kommen, man braucht noch dazu dein Smartphone. An das gelangt der Hacker aus Russland oder Kolumbien schlicht nicht, und der Taschendieb, der dein Handy hat, kennt dagegen dein Passwort nicht. Der Aufwand, beides zu erlangen ist wesentlich grösser.

Genau genommen muss es nicht unbedingt ein Smartphone sein. Es gibt auch PC-Programme mit derselben Funktion (dann ist der Besitz deines Computers notwendig), oder spezielle Hardware-Tokens, die du dann z.B. an deinem Schlüsselbund hast (z.B. sowas). In wie weit die hier konkret unterstützt werden, kann ich nicht genau sagen, aber auf jeden Fall wurden speziell die YubiKeys in der Vergangenheit als "promising" getestet. --YMS (Diskussion) 13:13, 17. Nov. 2016 (CET)Beantworten

Gibt es eigentlich schon Infos, ob und wann das für Standardbenutzer verfügbar ist? --Magnus (Diskussion) 12:27, 17. Nov. 2016 (CET)Beantworten

Nein, aber es kann nach der Testphase jederzeit für alle aktiviert werden, ist einfach ein neues Zugriffsrecht oathauth-enable [2] -- MBq ^Disk 13:05, 17. Nov. 2016 (CET)Beantworten

@MBq: "Aus meiner Sicht gibt es da keinen Spielraum für uns" - wie meinst Du das? Dass Tim Starlings Mail auf einer Technik-Mailliste bindend für unser Projekt ist? Da hätte ich gerne von Seiten der WMF eine andere Kommunikation. Techniker finden natürlich technische Lösungen toll. Ob aber eine bindende Zwei-Faktor-Authentifizierung (für alle oder nur für Funktionsträger) der Weg ist, den man in diesem Projekt in Zukunft gehen will, hat auch mit Themen wie "Offenheit", "Diversity" etc. zu tun und sollte auf anderen Ebenen als in Technik-Maillisten besprochen werden. Eigentlich wollte das Projekt ja mal möglichst viele Menschen erreichen und nicht nur die technikaffinen. Ich werde in jedem Fall erst mal abwarten, ob die Zwei-Faktor-Authentifizierung wirklich bindend wird oder ob sich auch andere Gremien der WMF dazu äußern werden. --Magiers (Diskussion) 17:25, 17. Nov. 2016 (CET)Beantworten

Starkes Passwort + regelmäßig ändern ist Standard, aber ich möchte weder mein Handy noch Google einbinden ehrlich gesagt. Ich weiß nicht, wer da snifft und werde das daher nicht machen. −Sargoth 18:08, 17. Nov. 2016 (CET)Beantworten

Ich habe kein Smartphone, sondern ein Samsung GT-E1080i; damit kann man telefonieren! Darf ich trotzdem weiter mitspielen? --Logo 18:19, 17. Nov. 2016 (CET)Beantworten

Schon recht, ich habe euch nichts vorzuschreiben, und wenn alle die anderen beiden Empfehlungen von Tim umsetzen, wäre das auch schon sehr viel wert. @Magiers: Wer soll sich da denn äußern, Mr. Jimmy "weak password" Wales etwa, oder das Board der sogenannten Trustees? Pff. Für mich sind die beiden Praktiker wichtiger: einer unser erfahrensten Entwickler (Tim) und der Securitychef der Foundation [3] bitten beide darum, die 2FA einzusetzen. -- MBq ^Disk 18:27, 17. Nov. 2016 (CET) PS: statt der Google-App kann man [4] nehmen, statt Handy [5].Beantworten

This repository is empty. ? −Sargoth 18:56, 17. Nov. 2016 (CET)Beantworten

Entschuldigung, die Frage war ernst gemeint. Ich habe weder Smartphone noch Tablett. Was soll/muss ich jetzt machen? --Logo 19:03, 17. Nov. 2016 (CET)Beantworten

Kein Stress, aber wenn das Thema dich interessiert, probier vielleicht WinAuth. Das ist ein Windows-Programm, funktioniert genau wie die mobilen Apps und läuft ohne Installation, zB auch von einem Stick aus. @Sargoth: ja, merkwürdig das. -- MBq ^Disk 19:43, 17. Nov. 2016 (CET)Beantworten

Bevor ich versuche, das Ganze technisch zu verstehen - wird die Lösung eines Sicherheitsproblems darin gesehen, dass die User das Sicherheitsproblem selber abstellen sollen? Angemeldet lebt gefährlich hier? Das ist aber jetzt nicht Teil des erklärten Ziels, neue User und Autoren zu gewinnen, nein? --Felistoria (Diskussion) 19:50, 17. Nov. 2016 (CET)Beantworten

@Logo: Neben den vorgeschlagenen Software-Lösungen gibt es auch käuflich zu erwerbende USB-Hardware-Dongles wie Yubikey 4 (Kosten ca. 50,- Euro) welche an einen Rechner mit genauer Uhr auch das von wikimedia eingesetzte Verfahren OATH – TOTP unterstützen. Mit den Vorteil, im Gegensatz zu den erwähnten Software-Lösungen am Smartphone, PC und USB-Memorystick, dass das Geheimnis nicht ausgelesen werden kann. Leider wird von Wikimedia nicht das für diesen Anwendungsfall technisch bessere U2F eingesetzt - wie es z.B. auf github schon länger der Fall ist.--wdwd (Diskussion) 19:59, 17. Nov. 2016 (CET)Beantworten

@Felistoria: Siehe oben die Antwort von YMS. Die Zweifaktor-Authentifizierung verunmöglicht es, ein Passwort zu klauen und bietet daher schon ziemlich erheblichen Schutz gegen Account-Diebstahl. Dass dies mit einem Nachteil für den Benutzer verbunden ist, lässt sich wohl kaum vermeiden. Es ist ja schliesslich auch viel einfacher, überall nur "1234" als Passwort zu verwenden, als für alle Accounts (und heute hat man ja wirklich deren viele) verschiedene und "sichere" Passwörter zu verwenden. --PaterMcFly Diskussion ^Beiträge 21:40, 17. Nov. 2016 (CET)Beantworten

Nach der Schilderung des ursächlichen Vorganges und nach den Prinzipien praktischer Vernunft scheint ausreichend, ein starkes Passwort und dieses ausschließlich bei deWP zu verwenden: ich schließe mich dem Statement von Sargoth von heute 18.08 Uhr an. --Holmium (d) 20:17, 17. Nov. 2016 (CET)Beantworten

Wäre gut, wenn dem so wäre. Der Frust kann nämlich groß sein. Erstens, da ist Mist gechehen, und auf die User wird Druck ausgeübt, nicht nur auf'm PC, sondern zugleich auch noch mit Smarties zu arbeiten. Ich habe so ein Ding, allerdings verwende ich es nicht zum Einkaufen, nicht zum Vorzeigen einer bording card, nicht zum online banking - nix dergelcihen, einfach telefonieren. Und nachdem in der letzten hinreichend bekannt wurde, wie anfällig Handys sind, und zwar zunehmend mit der Zahl der installierten Apps, will mir jemand klar machen, dass ich noch eine App installiere, damit aller sicher wird. Sehr bedenklich, und auf meinem Handy ist absolut kein Platz (und Bedarf) für irgendwelche Appies. Und zweitens: ich schätzte es sehr, als SUL-Konten eingeführt wurden: ein Login-klick, und ich war drinn, überall. Jetzt muss ich wohl daran denken, mein Handy immer mitzuschleppen (tue ich höchst selten, ich sterbe nicht von Sucht), dafür zu sorgen, dass mein Akku nicht leer ist... Was tue ich, wenn ich unterwegs bin, ohne Handy, und schnell mich einloggen möchte? Das ist ein Druck, aber auch eine Behindedrung meiner Arbeit. Da sollte man sich etwas anderes ausdenken. Demnächs, wenn man mit Handy an der Kasse zahlen kann, ja, wer liest da was überhaupt mit??? -jkb- 21:41, 17. Nov. 2016 (CET)Beantworten

Es gibt statt Handys für dasselbe auch sogenannte Token (Ein Ding in der Größe eines Schlüsselanhängers mit einem Display) das diese Zahlenreihen generiert, aber ja, das Verfahren basiert darauf, dass du über etwas verfügst, das ein Hacker nicht in Besitz bringen kann (zumindest nicht, ohne dass du es merkst). Wenn dir eine andere sichere Methode einfällt, dann solltest du dich wahrscheinlich bei einer Sicherheitsfirma als Berater einstellen lassen. --PaterMcFly Diskussion ^Beiträge 21:53, 17. Nov. 2016 (CET)Beantworten

Nach dem Zitat bzw. der Übersetzung der Mitteilung von Tim Starling durch MBq bin ich beruhigt: "Wir sind jetzt ziemlich sicher, dass sie die Adminziele in Benutzer-/Passwort-Dumps suchen, die andernorts veröffentlicht wurden, z.B. bei dem Adobe-Hack von 2013." Da ich meine (gelegentlich geänderten) Wikipedia-Passwörter nie irgendwo sonst verwendet und zudem das Passwort auch jetzt wieder geändert habe, dürfte ich somit nicht gefährdet sein (mal abgesehen davon, dass sie sich offenbar gegenwärtig auf Accounts mit erweiterten Berechtigungen in der englischen Wikipedia konzentrieren). Danke für die Info, MBq! Und der dramatische Ruf nach Zwei-Faktor-Authentifizierung scheint um so mehr übertrieben (nichts gegen die Möglichkeit, aber die Dringlichkeit scheint nicht so gegeben): Vernünftiger Umgang mit Passwörtern reicht also weiterhin aus. Gestumblindi 22:01, 17. Nov. 2016 (CET)Beantworten

@PaterMcFly: dass Entwickler Passwörter wie "1234.." verwenden, glaub' ich ja nun nicht;-) Und bei Neulingen sollten die Hürden wirklich woanders liegen als nun gerade bei der Anmeldung. Schwache bzw. starke Passwörter werden bei guten Programen angezeigt, wenn man eins macht, und mit schwachem wirst du nicht zugelassen. Wenn ich nun noch weitere Sicherheitszonen via Apps aufbaue, installier' ich lediglich weiterer Bezugsquellen für Fehler. Also ich tanz' mal vorerst nicht nach den Pfeifchen von Übersetzungen einer Mail. --Felistoria (Diskussion) 22:16, 17. Nov. 2016 (CET)Beantworten

Ausser seit etwa einem Jahr für Admins akzeptiert die Wikipedia leider praktisch beliebig schwache Passwörter. Das sollte man wirklich mal ändern. Hier geht es aber nicht im die Problematik starker oder schwacher Passwörter, sondern - wenn ich es recht verstehe - darum, dass die Betroffenen ihre Passwörter auch für andere Dienste (wie z.B. evtl. von Adobe, dessen Nutzerdaten 2013 gestohlen wurden) genutzt hatten. Ein noch so starkes Passwort nützt nichts, wenn man es für unterschiedliche Websites/Dienste verwendet und dann nur eine davon gehackt wird. Gestumblindi 22:28, 17. Nov. 2016 (CET)Beantworten

PEBKAC... - Wer möchte, kann ja seinen Nick mal bei https://haveibeenpwned.com/ eingeben. Nur zum Spass, darauf ist natürlich kein Verlass. -- MBq ^Disk 22:56, 17. Nov. 2016 (CET)Beantworten

Auf die Seite bin ich auch schon aufmerksam geworden. Scheint recht gut und seriös zu sein (ein "Guter", der öffentlich bekanntgewordene Accountdaten sammelt, und auf dessen Seite man überprüfen kann, ob man von so einem "Hack" wie z.B. bei Adobe oder Dropbox betroffen ist); insbesondere der Dropbox-Hack scheint mehrere Leute aus meiner Bekanntschaft betroffen zu haben. Gestumblindi 23:24, 17. Nov. 2016 (CET)Beantworten

Sehe ich das richtig: Wenn jemand im Besitz von gehackten Zugangsdaten ist und die 2FA mittels dieser Daten auf seinen eigenen Endgeräten und noch vor dem rechtmäßigen Accountinhaber aktiviert, dann ist der rechtmäßige Inhaber praktisch unwiderruflich und ohne Gegenwehrmöglichkeiten rausgekickt? --Epipactis (Diskussion) 19:32, 20. Nov. 2016 (CET)Beantworten

Das ist kein besonderes Merkmal von 2FA. Wenn jemand Zugang zu Deinem Account hat, braucht er blos Passwort und Mailadresse ändern (bzw. letztere auch einfach nur löschen), und theoretisch hast Du keine Chance, Deinen Account jemals wiederzubekommen. --Stepro (Diskussion) 19:42, 20. Nov. 2016 (CET)Beantworten

Immerhin hätte ich aber noch eine Chance, solange der Missbraucher das Passwort z.B. aus Gleichgültigkeit nicht ändert, denn ebensolange könnte ich ihn einfach wieder rauswerfen. Wenn ich mich recht erinnere, hat es solche Fälle, zumindest Verdachtsfälle, auch in de:WP vereinzelt schon gegeben, und die betroffenen User konnten ihre Accounts jeweils noch retten. Wie wurde denn in den hier anlassgebenden Fällen verfahren, mussten diese Accounts aufgegeben werden? Mit 2FA wäre das künftig wohl unvermeidlich, und die Restchance wäre auch bei harmlosen Attacken von vornherein ausgeschlossen. --Epipactis (Diskussion) 22:02, 20. Nov. 2016 (CET)Beantworten

Ich verstehe Deine Gedankengänge dazu ehrlich gesagt nicht: Wenn ein Hacker oder Wasauchimmer das Passwort aus Gleichgültigkeit nicht ändert, wird er doch erst recht nicht das vergleichsweise aufwändige 2FA-Verfahren initiieren. Und wenn der rechtmäßige Nutzer das 2FA schon aktiviert hätte, gäbe es ja den fremden Zugriff theoretisch gar nicht (von absoluter Sicherheit will ich lieber nicht schreiben). --Stepro (Diskussion) 22:09, 20. Nov. 2016 (CET)Beantworten

Okay, das angedachte Szenario ist wohl überkonstruiert und nicht ganz konsistent. Die Überlegung ging ungefähr so: Bislang hatten Zugangsdatendiebe die Wahl zwischen harmlosen oder bösartigen Aktionen oder auch garnichts zu unternehmen und sich nur an der Möglichkeit zu delektieren, und bislang waren die Aktionen ja auch selten und anscheinend durchweg harmlos. Jetzt geraten die eventuell noch schlummernden illegalen Zugänge aber allesamt unter Zugzwang, da sie u.U. bald erlöschen und nicht so leicht wiederzuerlangen sein werden, sodass sich vor Toresschluss vielleicht der eine oder andere doch noch zu einer bösartigen Aktion provoziert fühlt, um seinen Spaß zu haben. --Epipactis (Diskussion) 02:06, 21. Nov. 2016 (CET)Beantworten

Grüße von ‎Schnark & PerfektesChaos 13:18, 18. Nov. 2016 (CET)Beantworten

Super, vielen Dank! --Stepro (Diskussion) 16:46, 20. Nov. 2016 (CET)Beantworten

Für Leute mit schlechtem Internetzugang, kleiner Bandbreite, Mobil, keine Flat etc. sind Admin-Disks, die (im Quelltext) über 1 MB groß sind, schlicht eine Zumutung. Admins, die sich damit überfordert fühlen, eine Archivierung einzurichten, können sich auch gern bei mir melden. -- Wolfgang Rieger (Diskussion) 01:58, 25. Nov. 2016 (CET)Beantworten

Ganz davon abgesehen ist es auch unübersichtlich. Das wiegt die einfachere Möglichkeit, auch sehr alte Vorgänge zu verfolgen, in meinen Augen nicht auf. Gilt natürlich nicht nur für Admins, aber deren Diskussionsseiten sollten natürlich besonders gut zugänglich sein. -- Perrak (Disk) 10:07, 25. Nov. 2016 (CET)Beantworten

Wie von Wolfgang Rieger vorgeschlagen, auch in einem Archiv lassen sich sehr alte Vorgänge mit wenigen Klicks verfolgen. Die Grenze sehe ich bei deutlich weniger als 1 MB, denn oft ist z. B. mobil ≠ maximale Bandbreite. --Holmium (d) 10:18, 25. Nov. 2016 (CET)Beantworten

Ich bin ja nicht so der API-Wizard, aber die Frage scheint Benutzer Diskussion:Armin P. und Benutzer_Diskussion:PDD zu betreffen [6]. Bitten wir die beiden Kollegen doch freundlich, ihre alten Abschnitte zu archivieren. Ein Deja-vu hab ich auch, Wolfgang [7] -- MBq ^Disk 10:35, 25. Nov. 2016 (CET)Beantworten

Ich archiviere ab 128.000 Byte. Alles darüber empfinde ich schon als Zumutung. --Gereon K. (Diskussion) 11:16, 25. Nov. 2016 (CET)Beantworten

Bei mir geht das automatisch: {{Archivübersicht|{{Archiv-Liste Jahre|{{FULLPAGENAME}}/Archiv/|richtung=aufsteigend}}}} {{Autoarchiv|Alter=15|Ziel='Benutzer Diskussion:Tsor/Archiv/((Jahr))/((Monat:Kurz))'|Klein=ja}} --tsor (Diskussion) 11:21, 25. Nov. 2016 (CET)Beantworten

Ich archiviere quartalsweise händisch. Man findet alte Beiträge so leichter und erspart sich und anderen die dauernden Archivbotläufe. --Otberg (Diskussion) 11:35, 25. Nov. 2016 (CET)Beantworten

Auf meiner Disk.seite gibt es eine Suchfunktion für das Archiv. Da findet man eigentlich auch alles recht schnell. --tsor (Diskussion) 11:45, 25. Nov. 2016 (CET)Beantworten

Es betrifft nicht nur Armin P. Es ist mir schon ein paarmal aufgefallen und ich fand das ärgerlich. Ich habe zwar eine gute Internetanbindung aber dennoch keine Lust, mich durch Bildschirmkilometer von obsoletem Zeugs zu scrollen. Und Admin-Disks sollten zugänglich sein.

@MBq: Ja, ich hatte das schon mal moniert. Getan hat sich seitdem offenbar nicht durchgängig was. Vielleicht sollte man den betreffenden Admins eine kleine Erinnerung auf die WW-Seite setzen? Vielleicht gewinnt man so ihre Aufmerksamkeit? -- Wolfgang Rieger (Diskussion) 11:38, 25. Nov. 2016 (CET)Beantworten

q.e.d.: auf die Diskussionsseite, nicht auf die AWW! --Holmium (d) 11:44, 25. Nov. 2016 (CET)Beantworten

Na da bin ich ja beruhigt, dass Wolfgang nicht eine Diskussion anleiert, weil ihn mein Revert von heute Nacht verärgert hat und das obwohl er zugleich einräumt alles problemlos mit seiner Internetverbindung lesen zu können. Archiviert habe ich übrigens erst vor einigen Wochen. Ansonsten hat grundsätzlich auf Benutzerseiten der jeweilige Benutzer die Gestaltungshoheit. --Armin (Diskussion) 12:32, 25. Nov. 2016 (CET)Beantworten

Deine Disk hat aktuell über 1MB Quelltext. Ich stelle fest, dass Dir zB Benutzer von Mobilgeräten offenbar völlig gleichgültig sind und Deine "Gestaltungshoheit" Dir in erster Linie wichtig ist. Vielleicht solltest Du die Knöpfe abgeben, dann kannst Du Dich gestalterisch völlig frei entfalten, ohne dass jemand daran Anstoß nimmt. Man braucht sich dann auch mit Dir nicht mehr auseinander zu setzen. -- Wolfgang Rieger (Diskussion) 12:54, 25. Nov. 2016 (CET)Beantworten

Diese Diskussion ist doch ein erfreuliches Zeichen dafür, dass es momentan keine wesentliche(re)n Probleme gibt ... ;-) --Wwwurm 12:44, 25. Nov. 2016 (CET)Beantworten

Wenn man Leute ohne Flat für unwesentlich hält, magst Du recht haben. Ich war zB längere Zeit nur mit Stick im Internet und da zählte jedes MB. Solche zugemüllten Disks haben mich da noch mehr geärgert. Und wenn Leute, die man anspricht, dann gar nicht oder recht arrogant, uneinsichtig und intransigent reagieren, fand ich das noch ärgerlicher. -- Wolfgang Rieger (Diskussion) 12:54, 25. Nov. 2016 (CET)Beantworten

… und wie man Unfrieden stiften kann, in dem man ein konkretes Problem zu einem allgemeinen Problem macht. SCNR, --emha ^d℩^b 12:50, 25. Nov. 2016 (CET)Beantworten