Kurz zur Erläuterung: Bei der Multi Faktor Authentifizierung oder kurz MFA geht es darum, den Zugang zu einer Anwendung - in diesem Fall also dem BlackCat Backend - zu sichern.
Die "herkömmliche" Methode ist die Verwendung einer Benutzerkennung zusammen mit einem Kennwort. Zusätzlich kann es dann weitere Schutzmechanismen geben, angefangen von einer Mindestlänge für das Kennwort bis hin zu einer automatischen Sperre des Benutzerkontos nach X fehlgeschlagenen Anmeldeversuchen. (BC unterstützt das.)
Bei der MFA geht es nun darum, ein weiteres Element (Faktor) hinzuzufügen. Das kann z.B. ein Token sein, hier in Form von einem Stück Hardware, das zeitlich begrenzt gültige Einmalkennworte generiert. Vielleicht kennt Ihr das vom Online-Banking. Bei manchen Anwendungen bekommt man z.B. eine SMS mit einer PIN, oder man braucht eine spezielle Anwendung auf dem Handy, zu der die PIN geschickt wird.
Das ist natürlich für ein CMS ziemlich aufwendig, aber auch hierfür gibt es Methoden. Man kann sich z.B. das Einmalkennwort an die im CMS registrierte Mailadresse oder ein Handy schicken lassen, wobei letzteres natürlich nicht überall möglich ist und Kosten verursacht. Eine weitere Methode ist, daß die Website - genauer gesagt die Login-Seite - einen QR-Code ausgibt, den man mit einer beliebigen (Handy-)Anwendung abscannt. Der QR-Code beinhaltet dann wiederum ein Einmalkennwort, das z.B. 10 bis 30 Sekunden gültig ist.
Meine Frage nun: Habt Ihr Bedarf an dieser Art von Absicherung? (Optional aktivierbar natürlich.)
Multi Faktor Authentifizierung (Sicherheit)
Multi Faktor Authentifizierung (Sicherheit)
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is
-
creativecat
- Beiträge: 1430
- Registriert: Mi 6. Feb 2013, 12:41
- Kontaktdaten:
Re: Multi Faktor Authentifizierung (Sicherheit)
Ist sicherlich eine coole Geschichte, aber ob das wirklich den Quotient Zeit/Nutzen aktuell klein hält?
Von meiner Seite aktuell keinerlei Bedarf (wenn ich Interesse an der Umsetzung
)....
Von meiner Seite aktuell keinerlei Bedarf (wenn ich Interesse an der Umsetzung
)....Re: Multi Faktor Authentifizierung (Sicherheit)
Die Umsetzung dürfte gar nicht mal sehr aufwendig sein, guckst Du hier:
https://github.com/RobThree/TwoFactorAuth
https://github.com/RobThree/TwoFactorAuth
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is
Re: Multi Faktor Authentifizierung (Sicherheit)
Bedarf hätte ich direkt nicht!
Wäre aber wieder ein Alleinstellungsmerkmal, bzw. "Hat nicht jeder"
Darum würde ich sagen "JA"
Wäre aber wieder ein Alleinstellungsmerkmal, bzw. "Hat nicht jeder"
Darum würde ich sagen "JA"
Keiner ist unnütz, er kann immer noch als schlechtes Beispiel dienen!
Re: Multi Faktor Authentifizierung (Sicherheit)
Hab Quatsch erzählt, daher einen Beitrag gelöscht. Nochmal von vorn. 
Das Ganze läuft so: Man installiert sich eine OTP-App auf dem Handy oder Tablet oder egal wo. Dann läßt man sich im BC-Backend ein "secret" generieren. Dieses kann man entweder von Hand in die App übertragen, oder per QR Code vom Bildschirm abfotografieren. Ich hab das mal mit "Duo Mobile" getestet, weil FreeOTP beim Abfotografieren immer abgestürzt ist. Hat damit problemlos geklappt.
https://guide.duo.com/third-party-accounts
Mit dem Abfotografieren hat man dann ein Konto in der App eingerichtet. Die App generiert jetzt für dieses Konto in bestimmten Abständen - z.B. alle 20 Sekunden - ein neues Token, das ist eine Art PIN, standardmäßig eine 6-stellige Nummer. Diese muß man bei der Benutzeranmeldung zusätzlich zum Kennwort eingeben.
Neben Benutzername und Kennung wird nun also _zusätzlich_ die PIN geprüft. Da der Server - also hier BC - das Secret kennt, generiert er zur gleichen Zeit auch die gleiche Nummer wie die App.
Voraussetzung ist lediglich, dass Server und Token-App "gleich ticken". (Edit: Damit meine ich buchstäblich, nämlich die Uhrzeit.)
Alles in allem sehr einfach einzubauen. Und jeder Benutzer kann für sich selbst einstellen, ob er das nutzen möchte oder nicht. Zusätzlich können wir eine globale Einstellung "TFA für alle" (=erzwingen) vorsehen, oder das pro Gruppe einstellbar machen. Das fände ich ganz gut, weil man dann für Gruppen mit mehr Rechten TFA erzwingen und bei Gruppen mit wenigen Rechten - z.B. "nur" Lesezugriff auf ein paar sonst verborgene Seiten - darauf verzichten kann.
Das Ganze läuft so: Man installiert sich eine OTP-App auf dem Handy oder Tablet oder egal wo. Dann läßt man sich im BC-Backend ein "secret" generieren. Dieses kann man entweder von Hand in die App übertragen, oder per QR Code vom Bildschirm abfotografieren. Ich hab das mal mit "Duo Mobile" getestet, weil FreeOTP beim Abfotografieren immer abgestürzt ist. Hat damit problemlos geklappt.
https://guide.duo.com/third-party-accounts
Mit dem Abfotografieren hat man dann ein Konto in der App eingerichtet. Die App generiert jetzt für dieses Konto in bestimmten Abständen - z.B. alle 20 Sekunden - ein neues Token, das ist eine Art PIN, standardmäßig eine 6-stellige Nummer. Diese muß man bei der Benutzeranmeldung zusätzlich zum Kennwort eingeben.
Neben Benutzername und Kennung wird nun also _zusätzlich_ die PIN geprüft. Da der Server - also hier BC - das Secret kennt, generiert er zur gleichen Zeit auch die gleiche Nummer wie die App.
Voraussetzung ist lediglich, dass Server und Token-App "gleich ticken". (Edit: Damit meine ich buchstäblich, nämlich die Uhrzeit.)
Alles in allem sehr einfach einzubauen. Und jeder Benutzer kann für sich selbst einstellen, ob er das nutzen möchte oder nicht. Zusätzlich können wir eine globale Einstellung "TFA für alle" (=erzwingen) vorsehen, oder das pro Gruppe einstellbar machen. Das fände ich ganz gut, weil man dann für Gruppen mit mehr Rechten TFA erzwingen und bei Gruppen mit wenigen Rechten - z.B. "nur" Lesezugriff auf ein paar sonst verborgene Seiten - darauf verzichten kann.
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is
Re: Multi Faktor Authentifizierung (Sicherheit)
*zack*
- Dateianhänge
-
- 2016-07-27 19_07_14.png (16.36 KiB) 4753 mal betrachtet
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is
Re: Multi Faktor Authentifizierung (Sicherheit)
Also sowas?
https://play.google.com/store/apps/deta ... tor2&hl=de
Bei WP gefunden:
https://play.google.com/store/apps/deta ... tor2&hl=de
https://play.google.com/store/apps/deta ... tor2&hl=de
Bei WP gefunden:
https://play.google.com/store/apps/deta ... tor2&hl=de
Keiner ist unnütz, er kann immer noch als schlechtes Beispiel dienen!
Re: Multi Faktor Authentifizierung (Sicherheit)
Ja, genau. Gibt's auch für iOS. Und ich glaube, für Windows etc. auch. Das Teil muß ja nur anhand des Secret eine PIN generieren können. 
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is
Re: Multi Faktor Authentifizierung (Sicherheit)
Es gibt auch Plugins für Keepass.
http://keepass.info/plugins.html#keeotp
Edit: Hab das Plugin grad mal getestet, funktioniert einwandfrei und generiert auch eine korrekte PIN.
Ich glaub wir brauchen langsam eine ganze neue Site für die Neuerungen in BC 2.0!
http://keepass.info/plugins.html#keeotp
Edit: Hab das Plugin grad mal getestet, funktioniert einwandfrei und generiert auch eine korrekte PIN.
Ich glaub wir brauchen langsam eine ganze neue Site für die Neuerungen in BC 2.0!
My software never has bugs, it just develops random features.
If it’s not broken, keep fixing it until it is
If it’s not broken, keep fixing it until it is