[1.2.0] CBACK 2-Factor Authentication

CBACK 2-Factor Authentication
E-Mail basierte 2FA für das CBACK Forum

Plugin Version: 1.2.0
Plugin Kompatibilität: CF4 / Version >= 4.7.0
enthaltene Sprachen: Deutsch, Englisch


Wir sind stets bemüht das Thema Sicherheit und Privatsphäre im CBACK Forum äußerst ernst zu nehmen und erweitern das System gerne mit zusätzlichen Funktionen, um für unsere Anwender (und deren Nutzern) immer wieder neue und bessere Funktionen zum Erhöhen der Systemsicherheit einzuführen. Dieses Plugin ist genau ein solches Plugin und installiert eine E-Mail basierte 2-Faktor Authentifizierung (2FA) für das CBACK Forum, mit der man die Sicherheit der Nutzeraccounts durch Einmal-Codes zur zusätzlichen Bestätigung der Identitität noch weiter verbessern kann. Jeder Benutzer findet nach der Installation des Plugins in seinem Benutzer-Kontrollzentrum eine neue zusätzliche Option "2-Faktor Authentifizierung" über die er das System einrichten kann.

Jeder Nutzer, der das System aktiviert und eingerichtet hat erhält dann bei jedem Login an seine im Forum angegebene E-Mail Adresse einen zusätzlichen 6-Stelligen numerischen Code geschickt, welcher 10 Minuten gültig ist um den Login zusätzlich zu bestätigen. Bei genutztem Autologin (auf privaten Rechnern) ist die Eingabe dieses Codes natürlich nur beim initialen Login erforderlich (ähnlich der Funktion "auf diesem Computer nicht mehr Fragen" bei anderen 2FA Systemen). Um bei dieser langen Zeit (wegen dem E-Mail Weg) jedoch Brute Force zu verhindern wird bei Falscheingabe die mögliche Zeitspanne pro Code immer um 2 Minuten reduziert (= maximal 5 Falscheingaben) und der Seitenaufbau künstlich um einige Sekunden verzögert, bis man den nächsten Code probieren kann. Diese Maßnahme macht dieses E-Mail Basierte 2FA System also so sicher wie die bekannten 30 Sekunden-Rollcode Systeme.

Der Admin hat im ACP unter "Plugins" -> "CBACK 2-Factor Authentication" die Möglichkeit die 2FA bei einem User, der damit Probleme hat, wieder selbst auszuschalten. Außerdem sehen Administratoren dort im ACP eine Statistik, wie viele Benutzer (und wie viel % der Userbase) die 2FA bereits aktiviert haben.

Die E-Mail basierte Lösung eines 2FA Systems ist zudem dahingehend vorteilhaft, da sie sofort für jedes Forum "out of the box" nutzbar wird und keine Drittanbieter (z.B. QR Code Anbieter oder Google Auth Provider mit zusätzlichen API Keys) benötigt werden. Dies macht dieses 2FA System auch vollständig DSGVO konform und benötigt keine zusätzlichen Passagen in den Datenschutzerklärungen.


Funktionen des Plugins

• E-Mail basierte 2FA für das CBACK Forum
  
• neues Modul im UserCP, mit der User die 2FA einrichten können und eine Erklärung erhalten, was das System tut
  
• abschalten der 2FA via ACP für den Admin möglich (falls ein User z.B. keine Codes mehr empfangen kann)
  
• Statistik im ACP wie viele User bereits die 2FA nutzen
  
• völlig unabhängig zu Drittanbietern, "out of the box" nutzbar
  
• DSGVO konform umgesetzt
  
• Schutz vor Brute-Force Attacken auf den Code
  

Ich wünsche viel Spaß mit dem Plugin!


TIPP
Auch wenn mit diesem System gerade Admin-Accounts die Accounts sind, die man damit auf jeden Fall sichern sollte, empfiehlt es sich zumindest bis zu einem ersten kurzen Test nach der erstmaligen Installation zumindest einen Admin Account kurzzeitig noch ohne aktivierte 2FA zu belassen. Sollte mit dem eigenen Webspace ein Problem mit der Nutzung des Plugins auftreten (z.B. wegen E-Mail Limitierungen des Hosters), ist man so immer noch in der Lage das Plugin mit diesem nicht zusätzlich gesicherten Admin-Account wieder zu deinstallieren bzw. es selektiv bei einem bestimmten Nutzer zu deaktivieren. Ansonsten wäre ein Datenbank-Eingriff notwendig. Wenn ein erster Test funktioniert hat und das System läuft kann man den Admin Account nachziehen.

Im ersten Beitrag wurde jetzt der Release Candidate (v1.0.1) des Pluginpaketes angehangen.
Zum aktualisieren reicht es das Plugin einfach nochmal via ACP hochzuladen, bereits eingerichtete 2FAs bleiben dabei natürlich aktiv.


Geändert hat sich noch folgendes an den Features:

Um Brute Force Angriffe auf den generierten Code zu vermeiden wird bei Falscheingabe jetzt der Seitenaufbau künstlich um einige Sekunden verzögert. Außerdem wird die gültige Zeit (10 Minuten) bei jeder Falscheingabe um 2 Minuten reduziert. Somit sind maximal 5 Falscheingaben möglich, bevor ein neuer Code gesendet werden muss. Dies macht das System trotz der großzügigen Eingabezeit von 10 Minuten (wegen dem E-Mail Weg) nun doch genau so sicher wie die 30-Sekunden Rollcode Systeme. Da nach den 5 Falscheingaben beim nächstmöglichen Versuch auch ein ganz neuer Code generiert wird schließt das auch aus, dass man danach immer versucht per Brute Force weiter den Code auszuprobieren, da der nächste generierte Code ja mitunter wieder kleiner sein kann als der vorherige.


Außerdem (ganz wichtig!) funktioniert dieses Plugin jetzt nur noch mit der aktuellsten CBACK Forum Version (v4.5).
Es macht nun auch von den neuen Möglichkeiten Gebrauch derartige 2FA Plugins tiefer im System zu integrieren. Vor dem Einspielen der RC sollte daher - falls noch nicht passiert - Euer Forum auf die v4.5 aktualisiert werden.

Das Plugin hat nun seinen Finalstatus erreicht.

Wer schon die RC (v1.0.1) hatte braucht das Plugin nicht nochmal zu aktualisieren, es gab von RC zu Final jetzt keine Änderungen mehr am Paket, das heißt die Finalversion ist genau das gleiche Paket wie die RC Version.

Wer noch die v1.0.0 (Beta) hat kann das Plugin über den Installer vom ersten Post aktualisieren.

Außerdem wurde das Plugin jetzt auch in der CBACK Community installiert, über das Nutzer-CP kann man - wenn gewünscht - jetzt auch für die CBACK Community eine 2FA einrichten. Bitte stellt davor sicher, dass Euer Spamfilter E-Mails von noreply {(at)} cback {(punkt)} de nicht blockt.


LG,
Chris