[1.0.1] CBACK 2-Factor Authentication

E-Mail basierte 2FA für das CBACK Forum

 
Admin
Avatar
Geschlecht:
Herkunft:
Alter: 33
Homepage: cback.de
Beiträge: 17153
Dabei seit: 12 / 2003
Betreff:

[1.0.1] CBACK 2-Factor Authentication

 · 
Gepostet: 06.02.2019 - 14:55 Uhr  ·  #1
CBACK 2-Factor Authentication
E-Mail basierte 2FA für das CBACK Forum

Plugin Version: 1.0.1
Plugin Kompatibilität: CF4 / Version >= 4.5.0
enthaltene Sprachen: Deutsch, Englisch


Wir sind stets bemüht das Thema Sicherheit und Privatsphäre im CBACK Forum äußerst ernst zu nehmen und erweitern das System gerne mit zusätzlichen Funktionen, um für unsere Anwender (und deren Nutzern) immer wieder neue und bessere Funktionen zum Erhöhen der Systemsicherheit einzuführen. Dieses Plugin ist genau ein solches Plugin und installiert eine E-Mail basierte 2-Faktor Authentifizierung (2FA) für das CBACK Forum, mit der man die Sicherheit der Nutzeraccounts durch Einmal-Codes zur zusätzlichen Bestätigung der Identitität noch weiter verbessern kann. Jeder Benutzer findet nach der Installation des Plugins in seinem Benutzer-Kontrollzentrum eine neue zusätzliche Option "2-Faktor Authentifizierung" über die er das System einrichten kann.

Jeder Nutzer, der das System aktiviert und eingerichtet hat erhält dann bei jedem Login an seine im Forum angegebene E-Mail Adresse einen zusätzlichen 6-Stelligen numerischen Code geschickt, welcher 10 Minuten gültig ist um den Login zusätzlich zu bestätigen. Bei genutztem Autologin (auf privaten Rechnern) ist die Eingabe dieses Codes natürlich nur beim initialen Login erforderlich (ähnlich der Funktion "auf diesem Computer nicht mehr Fragen" bei anderen 2FA Systemen). Um bei dieser langen Zeit (wegen dem E-Mail Weg) jedoch Brute Force zu verhindern wird bei Falscheingabe die mögliche Zeitspanne pro Code immer um 2 Minuten reduziert (= maximal 5 Falscheingaben) und der Seitenaufbau künstlich um einige Sekunden verzögert, bis man den nächsten Code probieren kann. Diese Maßnahme macht dieses E-Mail Basierte 2FA System also so sicher wie die bekannten 30 Sekunden-Rollcode Systeme.

Der Admin hat im ACP unter "Plugins" -> "CBACK 2-Factor Authentication" die Möglichkeit die 2FA bei einem User, der damit Probleme hat, wieder selbst auszuschalten. Außerdem sehen Administratoren dort im ACP eine Statistik, wie viele Benutzer (und wie viel % der Userbase) die 2FA bereits aktiviert haben.

Die E-Mail basierte Lösung eines 2FA Systems ist zudem dahingehend vorteilhaft, da sie sofort für jedes Forum "out of the box" nutzbar wird und keine Drittanbieter (z.B. QR Code Anbieter oder Google Auth Provider mit zusätzlichen API Keys) benötigt werden. Dies macht dieses 2FA System auch vollständig DSGVO konform und benötigt keine zusätzlichen Passagen in den Datenschutzerklärungen.


Funktionen des Plugins
  • E-Mail basierte 2FA für das CBACK Forum
  • neues Modul im UserCP, mit der User die 2FA einrichten können und eine Erklärung erhalten, was das System tut
  • abschalten der 2FA via ACP für den Admin möglich (falls ein User z.B. keine Codes mehr empfangen kann)
  • Statistik im ACP wie viele User bereits die 2FA nutzen
  • völlig unabhängig zu Drittanbietern, "out of the box" nutzbar
  • DSGVO konform umgesetzt
  • Schutz vor Brute-Force Attacken auf den Code



Ich wünsche viel Spaß mit dem Plugin! :)


TIPP
Auch wenn mit diesem System gerade Admin-Accounts die Accounts sind, die man damit auf jeden Fall sichern sollte, empfiehlt es sich zumindest bis zu einem ersten kurzen Test nach der erstmaligen Installation zumindest einen Admin Account kurzzeitig noch ohne aktivierte 2FA zu belassen. Sollte mit dem eigenen Webspace ein Problem mit der Nutzung des Plugins auftreten (z.B. wegen E-Mail Limitierungen des Hosters), ist man so immer noch in der Lage das Plugin mit diesem nicht zusätzlich gesicherten Admin-Account wieder zu deinstallieren bzw. es selektiv bei einem bestimmten Nutzer zu deaktivieren. Ansonsten wäre ein Datenbank-Eingriff notwendig. Wenn ein erster Test funktioniert hat und das System läuft kann man den Admin Account nachziehen.
Der an diesem Beitrag angefügte Anhang ist entweder nur im eingeloggten Zustand sichtbar oder die Berechtigung Deiner Benutzergruppe ist nicht ausreichend.
OWS
Benutzer
Avatar
Geschlecht:
Herkunft: Niedersachsen
Homepage: forentalk.de
Beiträge: 300
Dabei seit: 03 / 2006
Betreff:

Re: [1.0.0 BETA] CBACK 2-Factor Authentication

 · 
Gepostet: 08.02.2019 - 12:53 Uhr  ·  #2
Merci Chris. :)

Ich bin beim Beta-Test auf jeden Fall dabei. :)
Admin
Avatar
Geschlecht:
Herkunft:
Alter: 33
Homepage: cback.de
Beiträge: 17153
Dabei seit: 12 / 2003
Betreff:

Re: [1.0.0 BETA] CBACK 2-Factor Authentication

 · 
Gepostet: 08.02.2019 - 15:32 Uhr  ·  #3
Moin Heiko,

super, das freut mich, dass Du mittestest! Herzlich Willkommen an Board! :)

Und nichts zu danken, das mach ich gerne: Diese Erweiterung liegt mir selber nämlich auch sehr am Herzen. Heutzutage nimmt der "passive" Klau von Zugangsdaten ja immer weiter zu und es gibt leider immer noch zu viele Leute, die überall das selbe Passwort verwenden. Da ist so eine 2FA denke ich auch für ein Forum ganz sinnvoll - und wenns zumindest nur das Foren-Team nutzt, um seine Accounts besser zu schützen. Und da man ja weiterhin von Autologin in Stammforen gebrauch machen kann, ist dieser Extraschritt vermutlich auch nicht mal so nervig. Man machts ja nur einmal beim einloggen.

Wenn das CF v4.5 so circa im März/April kommt werd ich die Final Version von diesem Plugin auch hier in der Community zuschalten. Muss wegen dem Lizenz/Support Plugin hier immer noch ein paar Anpassungen machen damit ich das nicht mit aussperre. ;)

Auf jeden Fall bietet es allen CF Usern aber wieder eine zusätzliche Möglichkeit der Sicherung. :)

Viele Grüße und ein schönes Wochenende,
Chris
Benutzer
Avatar
Geschlecht:
Alter: 26
Beiträge: 28
Dabei seit: 06 / 2018
Betreff:

Re: [1.0.0 BETA] CBACK 2-Factor Authentication

 · 
Gepostet: 24.03.2019 - 09:45 Uhr  ·  #4
Huhu,

ich werde auch am Beta Test teilnehmen. :) Benutze recht gerne die 2-Faktor Authentifikation, gerade weil es die Zugangsdaten absichert.

Meine Liste in den Android App Authenticatoren ist auch meist voll, besonders der von Google. 😂
Admin
Avatar
Geschlecht:
Herkunft:
Alter: 33
Homepage: cback.de
Beiträge: 17153
Dabei seit: 12 / 2003
Betreff:

Re: [1.0.0 BETA] CBACK 2-Factor Authentication

 · 
Gepostet: 25.03.2019 - 15:28 Uhr  ·  #5
Hey hey und Willkommen an Board des Beta Tests! :)

Finde ich eine super Einstellung! Heutzutage kann man die Accounts nicht genug absichern, gerade die kritischeren.

Diese oder spätestens nächste Woche (die Tests laufen gerade schon auf Hochtouren) kommt übrigens die CF v4.5 raus, dann gibt es von diesem Plugin kurz danach noch eine neue Version, welche dann nur noch ab CF v4.5 läuft und zusätzlich noch eine weitere Sicherheitssache enthält, nämlich, dass bei Falscheingabe die Zeit die man hat einen Code zu bestätigen immer um 2 Minuten reduziert wird. Das verhindert dann auch Brute Force Versuche völlig. 10 Minuten ist ja recht lange gewählt, da die Codes hier unabhängig von Apps oder Anbietern per Mail zugestellt werden und mitunter Mailanbieter mit Greylisting Filter erstmal einmalig eine Weile brauchen bis die Mail ankommt. Mit der "Zeit reduzieren bei Falscheingabe" kommt man dann aber auf die selbe Sicherheit wie mit 30 Sekunden (von den Authenticator Apps).

Diese wird dann sozusagen als der "Release Candidate" deklariert und wenns damit auch läuft, dann können wir das Teil denke ich Final nennen. :)

LG,
Chris
Admin
Avatar
Geschlecht:
Herkunft:
Alter: 33
Homepage: cback.de
Beiträge: 17153
Dabei seit: 12 / 2003
Betreff:

Re: [1.0.1 RC] CBACK 2-Factor Authentication

 · 
Gepostet: 28.03.2019 - 15:03 Uhr  ·  #6
Im ersten Beitrag wurde jetzt der Release Candidate (v1.0.1) des Pluginpaketes angehangen.
Zum aktualisieren reicht es das Plugin einfach nochmal via ACP hochzuladen, bereits eingerichtete 2FAs bleiben dabei natürlich aktiv.


Geändert hat sich noch folgendes an den Features:

Um Brute Force Angriffe auf den generierten Code zu vermeiden wird bei Falscheingabe jetzt der Seitenaufbau künstlich um einige Sekunden verzögert. Außerdem wird die gültige Zeit (10 Minuten) bei jeder Falscheingabe um 2 Minuten reduziert. Somit sind maximal 5 Falscheingaben möglich, bevor ein neuer Code gesendet werden muss. Dies macht das System trotz der großzügigen Eingabezeit von 10 Minuten (wegen dem E-Mail Weg) nun doch genau so sicher wie die 30-Sekunden Rollcode Systeme. Da nach den 5 Falscheingaben beim nächstmöglichen Versuch auch ein ganz neuer Code generiert wird schließt das auch aus, dass man danach immer versucht per Brute Force weiter den Code auszuprobieren, da der nächste generierte Code ja mitunter wieder kleiner sein kann als der vorherige.


Außerdem (ganz wichtig!) funktioniert dieses Plugin jetzt nur noch mit der aktuellsten CBACK Forum Version (v4.5).
Es macht nun auch von den neuen Möglichkeiten Gebrauch derartige 2FA Plugins tiefer im System zu integrieren. Vor dem Einspielen der RC sollte daher - falls noch nicht passiert - Euer Forum auf die v4.5 aktualisiert werden.
Gewählte Zitate für Mehrfachzitierung:   0

Registrierte in diesem Topic

Aktuell kein registrierter in diesem Bereich

Die Statistik zeigt, wer in den letzten 5 Minuten online war. Erneuerung alle 90 Sekunden.