WoltLab Cloud Two Step Verification 1.4.4

Two step verification for your WSC.

You want to make the login safer for your users? Then install now the new 2 step verification for your WSC. This 2 step verification adds TOTP authentication to the frontend and the backend of your WSC. Users can decide for themselves whether they want to use Authy, Google Authenticator or any other app for TOTP.

Libraries

PHP-QR-Code by chillerian

What happens after the purchase?

Create a user account on hanashi.dev. In your settings, go to Activate purchases. And enter your API information from the API Access page. Now click Submit. You have now activated access to the support forum.

Images

  • Version 1.4.4

    • FIX: Forwarding after verification did not work properly
    • FIX: Menu item for devices was not independent from normal two step verification
    • FIX: incorrect scaling of the key overview table
  • Version 1.4.3

    • FIX: used backup codes were not invalidated
  • Version 1.4.2

    • FIX: Device verification did not run independently of 2FA
  • Version 1.4.1

    • Behebt Problem, dass jeden Tag neue Mails versendet werden, wenn Ablauf der Geräteauthentisierung auf 0 gestellt ist
  • Version 1.4.0 pl 1

    • FIX: behebt Problem wenn man Ablauf der Authentisierung auf 0 stellt
  • Version 1.4.0

    • FEATURE: Entwickler können mit Hilfe eines EventListeners den QR-Code manipulieren und ihren eigenen QR-Code anzeigen
    • FEATURE: Es kann eingestellt werden, dass Wartungsmodus Seiten aufgerufen werden können, wenn man noch nicht authentisiert ist (sinnvoll für Impressum, Datenschutzerklärung, etc.)
    • FEATURE: die Geräteverifizierung kann nun rein informell eingestellt werden
    • FEATURE: optional kann der Standort, bei der Geräteverifizierung, in der Mail mit aufgenommen werden
    • FEATURE: Entwickler können den Issuer mit einem EventListener manipulieren
    • FEATURE: Benutzer können sich den Link für die Geräteverifizierung selbst neu zusenden lassen
    • FEATURE: Admins können Ajax-Ausnahmen im ACP selbst hinzufügen
    • FEATURE: es kann Benutzergruppen-spezifisch eingestellt werden, dass Benutzer die Geräteverifizierung selbst de-/aktivieren können
    • FEATURE: optional können nun mehrere Sicherheitstypen gleichzeitig aktivieren werden (z.B: 1x TOTP & 2 YubiKeys)
    • FEATURE: es ist optional einstellbar, dass Benutzer ihren Sicherheitsschlüssel nutzen müssen um Änderungen am Benutzerkonto vorzunehmen
    • CHANGE: Die Optionen "Ablauf der Authentisierung" (TOTP) und "Ablauf der Verifizierung" (Geräteverifizierung) sind nun in Tagen satt Sekunden angegeben. Die Konvertierung erfolgt automatisch beim Updaten.
    • CHANGE: Der Ablauf der Verifizierung kann auf permanent gestellt werden, indem der Zahlenwert auf 0 gesetzt wird.
    • CHANGE: Eingabefeld mit Einmal-Codes haben nun das Attribut autocomplete="one-time-code"
    • CHANGE: Der Secret-Code bei TOTP wird nun fett dargestellt
    • CHANGE: Die Backup-Codes werden erst nach Eingabe des Sicherheitscodes angezeigt
    • CHANGE: Es gibt nun Conditions für die automatische Benutzergruppenzuordnung, gleichzeitig ist die Gruppen-Option aus dem ACP entfernt wurden
    • CHANGE: 2FA-Workflow überarbeitet, beim ersten Sicherheitsschlüssel muss bestätigt werden, dass die Backup-Codes gespeichert wurden
    • CHANGE: rudimentäre Benutzergruppenzuordnung wurde entfernt
    • CHANGE: Captcha- und Cooldown-Einstellungen wurden in die Hauptkategorie verschoben
    • FIX: zu kleine Werte führen nicht mehr zum Aussperren von Benutzern
    • FIX: der QR-Code war ungültig wenn im Benutzernamen oder im Seitennamen Sonderzeichen waren
    • FIX: Fehler behoben, wenn man als Gast die Geräteverifizierung aufruft
    • FIX: Zugriffsbeschränkung für Gäste wurde überarbeitet
    • FIX: IPv4 wird nun auch als IPv4 ausgegeben und nicht mehr als konvertierte IPv6
  • Version 1.3.9

    • optionaler Captcha bei TOTP-Code-Eingabe hinzugefügt (ist standardmäßig aktiviert)
    • Cooldown-Zeit bei TOTP-Code-Eingabe hinzugefügt (standardmäßig auf 5 Sekunden)

    Beide neuen Funktionen sollen das TOTP-Brute-Forcing erschweren bzw. verhinden

  • Version 1.3.8 pl 1

    Kleiner Fix

  • Version 1.3.8

    Es können keine Admingruppen mehr automatisch hinzugefügt oder entfernt werden

  • Version 1.3.7

    Kleinere Bugfixes

  • Hallo ich hätte da mal eine Frage/Bitte. ist es Möglich einmal Aufzuzeigen Welche Parameter der Admin für einen Korrekten Ablauf des Plugin Einstellen kann bzw. muss, damit sich User für die TFA eintragen Können. Bei mir Kommt Jeden Tag weil ich die TFA nicht Nutzen kann eine Mail man Hätte sich von einem Neuen Gerät angemeldet, was aber nicht der Fall ist.

    • Hallo, blockierst du mglw. Cookies oder lässt Cookies automatisch löschen?

    • Hallo noch einmal, nachdem ich die google authenticator app Synchronisiert habe, Läuft das Plugin ohne Weitere Probleme. Danke Dafür. ^^

      Like 1
  • Braucht man pro Woltlab Suite Installation eine Lizenz, oder gilt eine Lizenz für mehrere Installationen?

    Braucht man unbedingt die Forum Erweiterung oder funktioniert das ganze mit Suite?

    • Hallo,


      siehe Lizenzbedingungen:

      1. Der Nutzer ist berechtigt das erworbene Produkt auf einer Webseite gleichzeitig zu nutzen, insofern die Webseite eindeutig dem Nutzer zuzuordnen ist (z.B. über Impressum). Das Produkt darf zu Testzwecken auf einer nicht öffentlich zugänglichen Webseite genutzt werden.


      Für das Plugin wird lediglich der WoltLab Suite Core benötigt. Die Installation von WoltLab Suite Forum oder anderen Paketen ist nicht notwendig.

    • Wo kann man die Installationsverweis als Adresse angeben?

      Muss man das angeben?

      Ist es sinnvoller in deinem Shop zu registrieren?

    • Hallo,


      deine Homepage-URL musst du bei dem Kauf von Plugins, zumindest bei mir, nirgendwo angeben.


      Ob du ein Plugin lieber im offiziellen Plugin-Store oder bei mir erwirbst, ist dir völlig freigestellt. Du hast dadurch weder Vorteile, noch Nachteile (abgesehen vom Preis vielleicht). Mittlerweile kommen Updates hier im Store und bei mir zur gleichen Zeit raus.

      Like 1
    • Alles Klar.

      Ich habe es verstanden.

      OTP Auth, kann man auch verwenden wenn man eine Pin Code Abfrage machen würde.

      Siehe hier:

      https://apps.apple.com/de/app/otp-auth/id659877384


      Wenn man zwei Lizenzen braucht, kann man eine jetzt kaufen und später einfach den Kauf nochmals tätigen, richtig?

      Dann wäre meine Fragen beantwortet.

    • Ich empfehle als Apps immer Authy oder Google Authenticator für TOTP. Die App, die du gepostet hast, klappt aber auch.


      Ja, du kannst jederzeit eine Lizenz nachkaufen, wenn du eine weitere benötigst.

      Like 1
  • Wie beantworte ich folgende Frage:


    Was ist der Backup-Code und wofür brauche ich den genau bzw WANN?

    • Hallo,


      falls du deinen 2. Faktor verloren haben solltest (Handy oder YubiKey), kannst du dich mit den Backup Codes weiterhin einloggen und das verlorene Gerät deaktivieren.

    • Ah okay, danke für die Antwort :)

      Like 1
  • Leider komme ich wegen der 2FA nicht mehr in mein Adminpanel oder sonst ins Forum. Kann man dies umgehe?

    • Hallo,


      melde dich bei so einem Fall am besten direkt bei mir im Forum oder im Discord. Da wird dir schnell geholfen.

  • Mir sind leider 2 Dinge noch nicht klar:


    Ist es dem User überlassen die 2-Wege-Authentifizierung zu nutzen oder nicht oder gilt die Aktivierung im ACP pauschal für alle und die Nutzung ist somit verpflichtend?


    Die Benutzergruppen-Zuweisung verstehe ich auch noch nicht wirklich, ist diese optional? Falls nein, warum muss sich diese ändern wenn ein User die 2-Way-Auth aktiviert hat? Für mich ist und bleibt es einfach ein "Registrierter-User", wenn es optional ist verstehe ich natürlich den Hintergrund da man somit Nutzer welche die 2-Way-Auth aktiviert haben für zusätzliche Bereiche berechtigen könnte.


    Gruss,

    Era

    • Hallo,


      standardmäßig ist es dem Benutzer selbst überlassen, ob er 2FA aktiviert oder nicht. Du hast als Admin allerdings die Möglichkeit die 2FA Benutzergruppen-spezifisch verpflichtend einzustellen.


      Die Benutzergruppenzuweisung ist optional. Diese ist aus einem Wunsch von Benutzern heraus entstanden um das Verteilen von Trophäen oder JCoins zu vereinfachen.

      Thanks 1
  • Warum gibt es die Brandingfree-Lizenz nicht hier im Plugin-Store?


    Ein Kauf direkt über die Seite ist leider keine Option, da die Schweiz für Bestellungen ausgeschlossen ist.


    Danke!

  • Hallo Hanashi,


    leider ist in deinem Plugin nicht die Option gegeben, einstellen zu können, ob „normale“ Benutzer überhaupt die 2FA verwenden dürfen. Eigentlich hatten wir nämlich vor, das Plugin zu installieren, unsere Teammitglieder 2FA verpflichtend einzustellen und später für alle Benutzer das Feature zu releasen.


    Es wäre sehr praktisch, wenn du eine weitere Berechtigung wie „Darf 2-Faktor-Authentisierung benutzen“ hinzufügen könntest.



    Liebe Grüße

    Bantor

    • Hallo Bantor,


      warum sollten denn normale Benutzer die 2FA nicht benutzen dürfen?


      VG

      Peter

    • Nein, man sollte einfach einstellen können, ob sie die Funktion überhaupt nutzen dürfen oder nicht. Manche Foren wollen eine solche Verifikation sicher nur für Teammitglieder.

  • Hallo Hanashi,


    ich wollte folgendes vor dem Kauf Wissen, da es nicht in der Beschreibung steht.

    Wird beim einrichten also aktivieren der 2FA ein Buckap Code erstellt?

    Es kann ja mal vorkommen, das ein Smartphone kaputt gehen kann und dann hat man kein Zugang mehr.

    • Hallo, ja wird erstellt :)

    • Vielen Dank. Werde mir das sofort kaufen, wenn mein aktuelles Problem behoben ist.

  • Hey,


    Ist das Plugin auch mit der Version 5.2 kompatibel?


    Freundliche Grüsse

    Client_not_found

    • Ja, die Version ist nicht umsonst bei dem Plugin angegeben ;)

  • Is it possible to re-send a device verification email ?

  • Huhu :-)


    Gibt es ein sichtbares Copyright?

  • Kann man einstellen in welchen Gruppen eine 2Faktoren Authentifizierung pflicht ist.
    Möchte es nur für die Admins und Mods zur pflicht machen

    • Hi, ja das ist möglich.

  • Kann ich das Plugin ohne die zusätzliche Librarie benutzen? Da ich auf meinem Server keine Erweiterungen installieren kann.

    • Hallo, die Library ist im Plugin enthalten. Auf dem Server muss nichts extra installiert werden.

  • Hallo.
    leider habe ich mein Altes Handy "Verloren" - Es ist kaputt und ich habe den google-aut. verwendet.
    Wie kann ich denn das Plugin (ohne acp) wieder loswerden?

    • Hallo, Support gibt es nur für Kunden des Plugins direkt in meinem Supportforum. Anleitung zur Verifizierung im Supportforum findest du in der Plugin-Beschreibung.

    • Ja, ich habe leider eine Version die noch Kostenlos war.
      Wollte jetzt umsteigen und komme nicht ins ACP...

  • Hallöle,


    mich nervt etwas doch immens:

    Ich logge mich am PC ein => Muss Auth-code eingeben => Bin und bleibe erst mal eingeloggt.

    Sobald ich mich am Handy einlogge => Muss Auth-Code eingeben => Bin und bleibe hier eingeloggt.

    Okay, wenn es denn einmalig wäre (oder zumindest periodisch).


    Wechsel ich nach der Authentifizierung am Handy wieder zurück an den PC, muss ich dort wieder den Auth-Code eingeben und wechsel ich dann wieder zurück ans Handy, geht das Spiel dort von vorne los. Für diejenigen, die viel hin und her wechseln (eben weil sie von der Arbeit aus mit dem Handy reingucken), ist das m.E. auf Dauer arg nervig. "Merkt" sich das Plugin nicht die bereits authentifizierten Geräte, um diesem permanenten Hin-und-Her vorzubeugen?

    • Hallo, das kann ich so nicht reproduzieren. Mglw. hast du das permanente Speichern von Cookies deaktiviert.

    • Cookies sind aktiviert, das ist nicht das Problem. Über die gemerkten Geräte kommt aber auch niemals eine eMail, allgemein kommt nie eine Mail nach der Anmeldung bei Eingabeerfordernis der 2FA (oder würde das nur i.V.m. Yubi funktionieren?).

      Like 1
    • Bekommst du überhaupt Mails von deinem Webserver?

    • Aber natürlich! Da die benutzerseitigen Benachrichtigungseinstellungen auch keine Deaktivierung einer Benachrichtigung über die 2FA zulassen, muss sich wohl irgendwas "beißen", wodurch die Funktionalität nicht einwandfrei ist. - Anders lässt es sich m.E. nicht erklären.

    • Die Geräteverifizierung ist aber schon für die entsprechenden Benutzergruppen aktiviert, oder?

  • Erstmal vielen Dank für ein Plugin, das eigentlich Standard sein sollte... Eine Kleinigkeit ist mir allerdings aufgefallen: Bei Debian Servern mit einer Standard Debian 9 Installation (wird aktuell noch mit Sicherheitspatches versorgt) ist die PHP-Version zu alt. Ein guter Grund für ein rasches Update... Aber vielleicht erspart dieser Hinweis jemandem eine längere Suche nach kryptischen Fehlermeldungen.

    • Hi, vielen Dank für das Feedback. Aus diesem Grund steht in den Voraussetzungen PHP 7.2+ :)

  • Heisst es nicht Authentifizierung?

Customers Who Bought This File Also Bought