CBACK 2-Factor Authentication
E-Mail basierte 2FA für das CBACK Forum
Plugin Version: 1.2.0
Plugin Kompatibilität: CF4 / Version >= 4.7.0
enthaltene Sprachen: Deutsch, Englisch
Wir sind stets bemüht das Thema Sicherheit und Privatsphäre im CBACK Forum äußerst ernst zu nehmen und erweitern das System gerne mit zusätzlichen Funktionen, um für unsere Anwender (und deren Nutzern) immer wieder neue und bessere Funktionen zum Erhöhen der Systemsicherheit einzuführen. Dieses Plugin ist genau ein solches Plugin und installiert eine E-Mail basierte 2-Faktor Authentifizierung (2FA) für das CBACK Forum, mit der man die Sicherheit der Nutzeraccounts durch Einmal-Codes zur zusätzlichen Bestätigung der Identitität noch weiter verbessern kann. Jeder Benutzer findet nach der Installation des Plugins in seinem Benutzer-Kontrollzentrum eine neue zusätzliche Option "2-Faktor Authentifizierung" über die er das System einrichten kann.
Jeder Nutzer, der das System aktiviert und eingerichtet hat erhält dann bei jedem Login an seine im Forum angegebene E-Mail Adresse einen zusätzlichen 6-Stelligen numerischen Code geschickt, welcher 10 Minuten gültig ist um den Login zusätzlich zu bestätigen. Bei genutztem Autologin (auf privaten Rechnern) ist die Eingabe dieses Codes natürlich nur beim initialen Login erforderlich (ähnlich der Funktion "auf diesem Computer nicht mehr Fragen" bei anderen 2FA Systemen). Um bei dieser langen Zeit (wegen dem E-Mail Weg) jedoch Brute Force zu verhindern wird bei Falscheingabe die mögliche Zeitspanne pro Code immer um 2 Minuten reduziert (= maximal 5 Falscheingaben) und der Seitenaufbau künstlich um einige Sekunden verzögert, bis man den nächsten Code probieren kann. Diese Maßnahme macht dieses E-Mail Basierte 2FA System also so sicher wie die bekannten 30 Sekunden-Rollcode Systeme.
Der Admin hat im ACP unter "Plugins" -> "CBACK 2-Factor Authentication" die Möglichkeit die 2FA bei einem User, der damit Probleme hat, wieder selbst auszuschalten. Außerdem sehen Administratoren dort im ACP eine Statistik, wie viele Benutzer (und wie viel % der Userbase) die 2FA bereits aktiviert haben.
Die E-Mail basierte Lösung eines 2FA Systems ist zudem dahingehend vorteilhaft, da sie sofort für jedes Forum "out of the box" nutzbar wird und keine Drittanbieter (z.B. QR Code Anbieter oder Google Auth Provider mit zusätzlichen API Keys) benötigt werden. Dies macht dieses 2FA System auch vollständig DSGVO konform und benötigt keine zusätzlichen Passagen in den Datenschutzerklärungen.
Funktionen des Plugins
Ich wünsche viel Spaß mit dem Plugin!
TIPP
Auch wenn mit diesem System gerade Admin-Accounts die Accounts sind, die man damit auf jeden Fall sichern sollte, empfiehlt es sich zumindest bis zu einem ersten kurzen Test nach der erstmaligen Installation zumindest einen Admin Account kurzzeitig noch ohne aktivierte 2FA zu belassen. Sollte mit dem eigenen Webspace ein Problem mit der Nutzung des Plugins auftreten (z.B. wegen E-Mail Limitierungen des Hosters), ist man so immer noch in der Lage das Plugin mit diesem nicht zusätzlich gesicherten Admin-Account wieder zu deinstallieren bzw. es selektiv bei einem bestimmten Nutzer zu deaktivieren. Ansonsten wäre ein Datenbank-Eingriff notwendig. Wenn ein erster Test funktioniert hat und das System läuft kann man den Admin Account nachziehen.
E-Mail basierte 2FA für das CBACK Forum
Plugin Version: 1.2.0
Plugin Kompatibilität: CF4 / Version >= 4.7.0
enthaltene Sprachen: Deutsch, Englisch
Wir sind stets bemüht das Thema Sicherheit und Privatsphäre im CBACK Forum äußerst ernst zu nehmen und erweitern das System gerne mit zusätzlichen Funktionen, um für unsere Anwender (und deren Nutzern) immer wieder neue und bessere Funktionen zum Erhöhen der Systemsicherheit einzuführen. Dieses Plugin ist genau ein solches Plugin und installiert eine E-Mail basierte 2-Faktor Authentifizierung (2FA) für das CBACK Forum, mit der man die Sicherheit der Nutzeraccounts durch Einmal-Codes zur zusätzlichen Bestätigung der Identitität noch weiter verbessern kann. Jeder Benutzer findet nach der Installation des Plugins in seinem Benutzer-Kontrollzentrum eine neue zusätzliche Option "2-Faktor Authentifizierung" über die er das System einrichten kann.
Jeder Nutzer, der das System aktiviert und eingerichtet hat erhält dann bei jedem Login an seine im Forum angegebene E-Mail Adresse einen zusätzlichen 6-Stelligen numerischen Code geschickt, welcher 10 Minuten gültig ist um den Login zusätzlich zu bestätigen. Bei genutztem Autologin (auf privaten Rechnern) ist die Eingabe dieses Codes natürlich nur beim initialen Login erforderlich (ähnlich der Funktion "auf diesem Computer nicht mehr Fragen" bei anderen 2FA Systemen). Um bei dieser langen Zeit (wegen dem E-Mail Weg) jedoch Brute Force zu verhindern wird bei Falscheingabe die mögliche Zeitspanne pro Code immer um 2 Minuten reduziert (= maximal 5 Falscheingaben) und der Seitenaufbau künstlich um einige Sekunden verzögert, bis man den nächsten Code probieren kann. Diese Maßnahme macht dieses E-Mail Basierte 2FA System also so sicher wie die bekannten 30 Sekunden-Rollcode Systeme.
Der Admin hat im ACP unter "Plugins" -> "CBACK 2-Factor Authentication" die Möglichkeit die 2FA bei einem User, der damit Probleme hat, wieder selbst auszuschalten. Außerdem sehen Administratoren dort im ACP eine Statistik, wie viele Benutzer (und wie viel % der Userbase) die 2FA bereits aktiviert haben.
Die E-Mail basierte Lösung eines 2FA Systems ist zudem dahingehend vorteilhaft, da sie sofort für jedes Forum "out of the box" nutzbar wird und keine Drittanbieter (z.B. QR Code Anbieter oder Google Auth Provider mit zusätzlichen API Keys) benötigt werden. Dies macht dieses 2FA System auch vollständig DSGVO konform und benötigt keine zusätzlichen Passagen in den Datenschutzerklärungen.
Funktionen des Plugins
- E-Mail basierte 2FA für das CBACK Forum
- neues Modul im UserCP, mit der User die 2FA einrichten können und eine Erklärung erhalten, was das System tut
- abschalten der 2FA via ACP für den Admin möglich (falls ein User z.B. keine Codes mehr empfangen kann)
- Statistik im ACP wie viele User bereits die 2FA nutzen
- völlig unabhängig zu Drittanbietern, "out of the box" nutzbar
- DSGVO konform umgesetzt
- Schutz vor Brute-Force Attacken auf den Code
Ich wünsche viel Spaß mit dem Plugin!
TIPP
Auch wenn mit diesem System gerade Admin-Accounts die Accounts sind, die man damit auf jeden Fall sichern sollte, empfiehlt es sich zumindest bis zu einem ersten kurzen Test nach der erstmaligen Installation zumindest einen Admin Account kurzzeitig noch ohne aktivierte 2FA zu belassen. Sollte mit dem eigenen Webspace ein Problem mit der Nutzung des Plugins auftreten (z.B. wegen E-Mail Limitierungen des Hosters), ist man so immer noch in der Lage das Plugin mit diesem nicht zusätzlich gesicherten Admin-Account wieder zu deinstallieren bzw. es selektiv bei einem bestimmten Nutzer zu deaktivieren. Ansonsten wäre ein Datenbank-Eingriff notwendig. Wenn ein erster Test funktioniert hat und das System läuft kann man den Admin Account nachziehen.
Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.