[Sg-webseite] Logins fuer das System

[Wolfgang Wiese <pirat AT xwolf.de>]

Hallo,

es wird wieder höchste Zeit, dass wir mal prüfen, wer alles
Zugang in die Website hat und wer diese Zugänge noch braucht.

Am liebsten wäre mir, wenn wir ganz viele aktive Redakteure hätten.
Leider ist es aber eher so, dass wir stattdessen viele
Accounts haben, die fast garnicht (und manche nie) genutzt werden.
Einige haben davon auch Rollen, die fragwürdig sind.

Wir sollten aber im Hinterkopf behalten, dass unsere Website
ein Zielobjekt für etwaige Angriffe ist.
Dabei denke ich nicht an die dummen dDoS-Attacken, sondern
an Versuche über gehackte oder kompromitierte Accounts
bei uns reinzukommen um dann Content zu ändern.

Jeder ungenutzt Account, der irgendwo rumgammelt, wo irgendwer
vielleicht noch einen Zugangsdaten in seinen Cookies (z.B. auf seinem
Laptop!) hat, ist eine Gefahr.

tl;dr:

Ich möchte folgende Dinge tun:
1. Alle Accounts, die eine leicht erratbare und kurze Loginkennung haben
   (z.B. ein Vorname) werden ersetzt durch Accounts in einer
   Form, die mindestens 8 Zeichen lang ist.
   Z.B. etwas aus Vorname.Nachname
2. Alle Personen die ein Account haben, werden angeschrieben und
   erhalten max. 2 Wochen Zeit sich zu melden und darin zu begründen
   wofür sie den Account noch brauchen.
   Prämisse: Wer einen Account hat, soll ihn auch nutzen.
   Wer seinen Account nicht nutzt (egal ob Begründung oder nicht)
   oder sich nicht zurückmeldet, wird halt aus dem System entfernt.

Die Liste der Leute (aber nicht deren Accounts) und die Nutzungsbegründung
wird im Wiki dokumentiert.


Diskussion? Meinungen?

Ciao,
 Wolfgang