You want to make the login safer for your users? Then install now the new 2 step verification for your WSC. This 2 step verification adds TOTP authentication to the frontend and the backend of your WSC. Users can decide for themselves whether they want to use Authy, Google Authenticator or any other app for TOTP.
Libraries
PHP-QR-Code by chillerian
What happens after the purchase?
Create a user account on hanashi.dev. In your settings, go to Activate purchases. And enter your API information from the API Access page. Now click Submit. You have now activated access to the support forum.
-
Version 1.4.7
- 486.91 kB
- 19 Downloads
- Preliminary adjustments for WSC 5.4
-
Version 1.4.6
- 480.26 kB
- 12 Downloads
CHANGE: Extended login has been added to the exclude, because the functionality is already covered by this plugin
-
Version 1.4.5
- 480.26 kB
- 12 Downloads
- FIX: mobile view in ACP with key overview of users protruded beyond the menu
- FIX: same input length for confirmation input field in user account management
- FIX: Device overview is now also visible when the user can manually "enable/disable device verification
-
Version 1.4.4
- 480.26 kB
- 16 Downloads
- FIX: Forwarding after verification did not work properly
- FIX: Menu item for devices was not independent from normal two step verification
- FIX: incorrect scaling of the key overview table
-
Version 1.4.3
- 479.74 kB
- 10 Downloads
- FIX: used backup codes were not invalidated
-
Version 1.4.2
- 479.23 kB
- 24 Downloads
- FIX: Device verification did not run independently of 2FA
-
Version 1.4.1
- 478.72 kB
- 31 Downloads
- Behebt Problem, dass jeden Tag neue Mails versendet werden, wenn Ablauf der Geräteauthentisierung auf 0 gestellt ist
-
Version 1.4.0 pl 1
- 484.86 kB
- 10 Downloads
- FIX: behebt Problem wenn man Ablauf der Authentisierung auf 0 stellt
-
Version 1.4.0
- 484.86 kB
- 10 Downloads
- FEATURE: Entwickler können mit Hilfe eines EventListeners den QR-Code manipulieren und ihren eigenen QR-Code anzeigen
- FEATURE: Es kann eingestellt werden, dass Wartungsmodus Seiten aufgerufen werden können, wenn man noch nicht authentisiert ist (sinnvoll für Impressum, Datenschutzerklärung, etc.)
- FEATURE: die Geräteverifizierung kann nun rein informell eingestellt werden
- FEATURE: optional kann der Standort, bei der Geräteverifizierung, in der Mail mit aufgenommen werden
- FEATURE: Entwickler können den Issuer mit einem EventListener manipulieren
- FEATURE: Benutzer können sich den Link für die Geräteverifizierung selbst neu zusenden lassen
- FEATURE: Admins können Ajax-Ausnahmen im ACP selbst hinzufügen
- FEATURE: es kann Benutzergruppen-spezifisch eingestellt werden, dass Benutzer die Geräteverifizierung selbst de-/aktivieren können
- FEATURE: optional können nun mehrere Sicherheitstypen gleichzeitig aktivieren werden (z.B: 1x TOTP & 2 YubiKeys)
- FEATURE: es ist optional einstellbar, dass Benutzer ihren Sicherheitsschlüssel nutzen müssen um Änderungen am Benutzerkonto vorzunehmen
- CHANGE: Die Optionen "Ablauf der Authentisierung" (TOTP) und "Ablauf der Verifizierung" (Geräteverifizierung) sind nun in Tagen satt Sekunden angegeben. Die Konvertierung erfolgt automatisch beim Updaten.
- CHANGE: Der Ablauf der Verifizierung kann auf permanent gestellt werden, indem der Zahlenwert auf 0 gesetzt wird.
- CHANGE: Eingabefeld mit Einmal-Codes haben nun das Attribut autocomplete="one-time-code"
- CHANGE: Der Secret-Code bei TOTP wird nun fett dargestellt
- CHANGE: Die Backup-Codes werden erst nach Eingabe des Sicherheitscodes angezeigt
- CHANGE: Es gibt nun Conditions für die automatische Benutzergruppenzuordnung, gleichzeitig ist die Gruppen-Option aus dem ACP entfernt wurden
- CHANGE: 2FA-Workflow überarbeitet, beim ersten Sicherheitsschlüssel muss bestätigt werden, dass die Backup-Codes gespeichert wurden
- CHANGE: rudimentäre Benutzergruppenzuordnung wurde entfernt
- CHANGE: Captcha- und Cooldown-Einstellungen wurden in die Hauptkategorie verschoben
- FIX: zu kleine Werte führen nicht mehr zum Aussperren von Benutzern
- FIX: der QR-Code war ungültig wenn im Benutzernamen oder im Seitennamen Sonderzeichen waren
- FIX: Fehler behoben, wenn man als Gast die Geräteverifizierung aufruft
- FIX: Zugriffsbeschränkung für Gäste wurde überarbeitet
- FIX: IPv4 wird nun auch als IPv4 ausgegeben und nicht mehr als konvertierte IPv6
-
Version 1.3.9
- 409.6 kB
- 15 Downloads
- optionaler Captcha bei TOTP-Code-Eingabe hinzugefügt (ist standardmäßig aktiviert)
- Cooldown-Zeit bei TOTP-Code-Eingabe hinzugefügt (standardmäßig auf 5 Sekunden)
Beide neuen Funktionen sollen das TOTP-Brute-Forcing erschweren bzw. verhinden
hfichtner
Ich habe das Plugin in meinem Testforum eingebaut und es läuft super! Nun habe ich es in Produktion einsetzen wollen, aber die Anlage eines Schlüssels klappt nicht. Wenn ich auf "+ Schlüssel hinzufügen" klicke, wird nicht das Formular geöffnet, sondern die Anzeige springt zum Anfang der Seite. (wie beim Button "Zum Seitenanfang")
Woran kann das liegen und was kann ich machen damit es klappt?
Grüße
Hajö
Hanashi Author
Hallo,
das klingt nach einem JavaScript-Fehler. Schau am besten mal in die Browser-Konsole. Für weitere Support-Anfragen bitte im Support-Forum melden (siehe Plugin-Beschreibung).
hfichtner
Danke, habe Dir eine Ticket geschickt.
ArnoEdwin
Hallo ich hätte da mal eine Frage/Bitte. ist es Möglich einmal Aufzuzeigen Welche Parameter der Admin für einen Korrekten Ablauf des Plugin Einstellen kann bzw. muss, damit sich User für die TFA eintragen Können. Bei mir Kommt Jeden Tag weil ich die TFA nicht Nutzen kann eine Mail man Hätte sich von einem Neuen Gerät angemeldet, was aber nicht der Fall ist.
Hanashi Author
Hallo, blockierst du mglw. Cookies oder lässt Cookies automatisch löschen?
ArnoEdwin
Hallo noch einmal, nachdem ich die google authenticator app Synchronisiert habe, Läuft das Plugin ohne Weitere Probleme. Danke Dafür.
mmaark
Braucht man pro Woltlab Suite Installation eine Lizenz, oder gilt eine Lizenz für mehrere Installationen?
Braucht man unbedingt die Forum Erweiterung oder funktioniert das ganze mit Suite?
Hanashi Author
Hallo,
siehe Lizenzbedingungen:
Für das Plugin wird lediglich der WoltLab Suite Core benötigt. Die Installation von WoltLab Suite Forum oder anderen Paketen ist nicht notwendig.
mmaark
Wo kann man die Installationsverweis als Adresse angeben?
Muss man das angeben?
Ist es sinnvoller in deinem Shop zu registrieren?
Hanashi Author
Hallo,
deine Homepage-URL musst du bei dem Kauf von Plugins, zumindest bei mir, nirgendwo angeben.
Ob du ein Plugin lieber im offiziellen Plugin-Store oder bei mir erwirbst, ist dir völlig freigestellt. Du hast dadurch weder Vorteile, noch Nachteile (abgesehen vom Preis vielleicht). Mittlerweile kommen Updates hier im Store und bei mir zur gleichen Zeit raus.
mmaark
Alles Klar.
Ich habe es verstanden.
OTP Auth, kann man auch verwenden wenn man eine Pin Code Abfrage machen würde.
Siehe hier:
https://apps.apple.com/de/app/otp-auth/id659877384
Wenn man zwei Lizenzen braucht, kann man eine jetzt kaufen und später einfach den Kauf nochmals tätigen, richtig?
Dann wäre meine Fragen beantwortet.
Hanashi Author
Ich empfehle als Apps immer Authy oder Google Authenticator für TOTP. Die App, die du gepostet hast, klappt aber auch.
Ja, du kannst jederzeit eine Lizenz nachkaufen, wenn du eine weitere benötigst.
Shalin
Wie beantworte ich folgende Frage:
Was ist der Backup-Code und wofür brauche ich den genau bzw WANN?
Hanashi Author
Hallo,
falls du deinen 2. Faktor verloren haben solltest (Handy oder YubiKey), kannst du dich mit den Backup Codes weiterhin einloggen und das verlorene Gerät deaktivieren.
Shalin
Ah okay, danke für die Antwort
Philipp.S
Leider komme ich wegen der 2FA nicht mehr in mein Adminpanel oder sonst ins Forum. Kann man dies umgehe?
Hanashi Author
Hallo,
melde dich bei so einem Fall am besten direkt bei mir im Forum oder im Discord. Da wird dir schnell geholfen.
Erazor
Mir sind leider 2 Dinge noch nicht klar:
Ist es dem User überlassen die 2-Wege-Authentifizierung zu nutzen oder nicht oder gilt die Aktivierung im ACP pauschal für alle und die Nutzung ist somit verpflichtend?
Die Benutzergruppen-Zuweisung verstehe ich auch noch nicht wirklich, ist diese optional? Falls nein, warum muss sich diese ändern wenn ein User die 2-Way-Auth aktiviert hat? Für mich ist und bleibt es einfach ein "Registrierter-User", wenn es optional ist verstehe ich natürlich den Hintergrund da man somit Nutzer welche die 2-Way-Auth aktiviert haben für zusätzliche Bereiche berechtigen könnte.
Gruss,
Era
Hanashi Author
Hallo,
standardmäßig ist es dem Benutzer selbst überlassen, ob er 2FA aktiviert oder nicht. Du hast als Admin allerdings die Möglichkeit die 2FA Benutzergruppen-spezifisch verpflichtend einzustellen.
Die Benutzergruppenzuweisung ist optional. Diese ist aus einem Wunsch von Benutzern heraus entstanden um das Verteilen von Trophäen oder JCoins zu vereinfachen.
holic
Warum gibt es die Brandingfree-Lizenz nicht hier im Plugin-Store?
Ein Kauf direkt über die Seite ist leider keine Option, da die Schweiz für Bestellungen ausgeschlossen ist.
Danke!
Bantor
Hallo Hanashi,
leider ist in deinem Plugin nicht die Option gegeben, einstellen zu können, ob „normale“ Benutzer überhaupt die 2FA verwenden dürfen. Eigentlich hatten wir nämlich vor, das Plugin zu installieren, unsere Teammitglieder 2FA verpflichtend einzustellen und später für alle Benutzer das Feature zu releasen.
Es wäre sehr praktisch, wenn du eine weitere Berechtigung wie „Darf 2-Faktor-Authentisierung benutzen“ hinzufügen könntest.
Liebe Grüße
Bantor
Hanashi Author
Hallo Bantor,
warum sollten denn normale Benutzer die 2FA nicht benutzen dürfen?
VG
Peter
Bantor
Nein, man sollte einfach einstellen können, ob sie die Funktion überhaupt nutzen dürfen oder nicht. Manche Foren wollen eine solche Verifikation sicher nur für Teammitglieder.
Tai Yagami
Hallo Hanashi,
ich wollte folgendes vor dem Kauf Wissen, da es nicht in der Beschreibung steht.
Wird beim einrichten also aktivieren der 2FA ein Buckap Code erstellt?
Es kann ja mal vorkommen, das ein Smartphone kaputt gehen kann und dann hat man kein Zugang mehr.
Hanashi Author
Hallo, ja wird erstellt
Tai Yagami
Vielen Dank. Werde mir das sofort kaufen, wenn mein aktuelles Problem behoben ist.
Client_not_found
Hey,
Ist das Plugin auch mit der Version 5.2 kompatibel?
Freundliche Grüsse
Client_not_found
Hanashi Author
Ja, die Version ist nicht umsonst bei dem Plugin angegeben
master g
Is it possible to re-send a device verification email ?
webpexel
Huhu
Gibt es ein sichtbares Copyright?
Hanashi Author
Ja, gibt es.
Tyroonis
Kann man einstellen in welchen Gruppen eine 2Faktoren Authentifizierung pflicht ist.
Möchte es nur für die Admins und Mods zur pflicht machen
Hanashi Author
Hi, ja das ist möglich.
oppi
Kann ich das Plugin ohne die zusätzliche Librarie benutzen? Da ich auf meinem Server keine Erweiterungen installieren kann.
Hanashi Author
Hallo, die Library ist im Plugin enthalten. Auf dem Server muss nichts extra installiert werden.
TT2_Flo
Hallo.
leider habe ich mein Altes Handy "Verloren" - Es ist kaputt und ich habe den google-aut. verwendet.
Wie kann ich denn das Plugin (ohne acp) wieder loswerden?
Hanashi Author
Hallo, Support gibt es nur für Kunden des Plugins direkt in meinem Supportforum. Anleitung zur Verifizierung im Supportforum findest du in der Plugin-Beschreibung.
TT2_Flo
Ja, ich habe leider eine Version die noch Kostenlos war.
Wollte jetzt umsteigen und komme nicht ins ACP...
Wörki
Hallöle,
mich nervt etwas doch immens:
Ich logge mich am PC ein => Muss Auth-code eingeben => Bin und bleibe erst mal eingeloggt.
Sobald ich mich am Handy einlogge => Muss Auth-Code eingeben => Bin und bleibe hier eingeloggt.
Okay, wenn es denn einmalig wäre (oder zumindest periodisch).
Wechsel ich nach der Authentifizierung am Handy wieder zurück an den PC, muss ich dort wieder den Auth-Code eingeben und wechsel ich dann wieder zurück ans Handy, geht das Spiel dort von vorne los. Für diejenigen, die viel hin und her wechseln (eben weil sie von der Arbeit aus mit dem Handy reingucken), ist das m.E. auf Dauer arg nervig. "Merkt" sich das Plugin nicht die bereits authentifizierten Geräte, um diesem permanenten Hin-und-Her vorzubeugen?
Hanashi Author
Hallo, das kann ich so nicht reproduzieren. Mglw. hast du das permanente Speichern von Cookies deaktiviert.
Wörki
Cookies sind aktiviert, das ist nicht das Problem. Über die gemerkten Geräte kommt aber auch niemals eine eMail, allgemein kommt nie eine Mail nach der Anmeldung bei Eingabeerfordernis der 2FA (oder würde das nur i.V.m. Yubi funktionieren?).
Hanashi Author
Bekommst du überhaupt Mails von deinem Webserver?
Wörki
Aber natürlich! Da die benutzerseitigen Benachrichtigungseinstellungen auch keine Deaktivierung einer Benachrichtigung über die 2FA zulassen, muss sich wohl irgendwas "beißen", wodurch die Funktionalität nicht einwandfrei ist. - Anders lässt es sich m.E. nicht erklären.
Hanashi Author
Die Geräteverifizierung ist aber schon für die entsprechenden Benutzergruppen aktiviert, oder?
dl1jph
Erstmal vielen Dank für ein Plugin, das eigentlich Standard sein sollte... Eine Kleinigkeit ist mir allerdings aufgefallen: Bei Debian Servern mit einer Standard Debian 9 Installation (wird aktuell noch mit Sicherheitspatches versorgt) ist die PHP-Version zu alt. Ein guter Grund für ein rasches Update... Aber vielleicht erspart dieser Hinweis jemandem eine längere Suche nach kryptischen Fehlermeldungen.
Hanashi Author
Hi, vielen Dank für das Feedback. Aus diesem Grund steht in den Voraussetzungen PHP 7.2+
.Neo
Heisst es nicht Authentifizierung?
Hanashi Author
Korrekt ist beides, siehe auch https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
.Neo
Hmm, okay. Ja verwirrend
Danke für die Information!