Zwei-Faktor Authentifizierung mit YubiKey - Secure Code wird nicht erzeugt

  • Hallo,


    ich habe mir einen YubiKey bestellt (U2F und FIDO2) um den Administrator Zugang zusätzlich zu sichern.
    Joomla 3.9.12 ist installiert. Das Yubikey Plugin ist für das Backend aktiviert. Als Authentification Method ist "YubiKey" für den Super User eingestellt.


    Der Curser steht im Feld "Security code". Der Yubikey steckt im USB-Slot und wird erkannt. Dennoch passiert rein gar nichts, wenn ich den Sensor Yubikeys berühre.

    Habe ich etwas übersehen?

    Ein Test des Yubikeys auf der Herstellerseite verlief positiv.


    Gruß


    Hano

  • Das Video kenne ich.


    Was meinst du mit: "Du schreibst leider nicht, ob du deinen Benutzer auch be-Yubikeyed hast."?

    Ich habe für den Benutzer "Super User" den YubiKey als Authentifizierungsmethode eingestellt. Allerdings funktioniert das Set up nicht. Es wird kein Security Code erzeugt!
    Ich glaube mittlerweile, dass der Yubico Security Key nicht für Joomla geeinet ist, obwohl er FIDO U2F unterstützt.


    Gruß


    Hano

  • Ich hab das mit einem 'normalen' Yubikey mal probiert. Wenn ich beim Benutzer als Loginmethode Yubikey wähle, den Key einstecke und im Feld die Keytaste betätige, sehe ich, dass was geschrieben wird. Beim Speichern werden dann die Notfallkeys angezeigt. in der Maske angezeigt.

    Wenn das bei dir nicht geht, ist entweder mit dem Key oder mit Joomla was nicht so, wie es sollte.

  • Hallo Hanomax,


    nachdem ich mich jetzt einige Stunden damit herumgeärgert habe, dass mein blauer Yubikey FIDO2-Stick (Security Key) nicht zusammen mit Joomla funktioniert, bin ich auf diesen Chat gestoßen. Hätte ich ihn nur früher gelesen.


    Ich finde es, um es zurückhaltend auszudrücken, ein Unding, dass nirgends, aber auch nirgends ein Hinweis zu finden ist, dass das Hardware-Token für Joomla OTP-Fähigkeit haben muss. Und das hat bei Ybico anscheinend nur die 5er-Serie.


    Überall wird nur davon gesprochen, dass das Token FIDO-U2F-fähig sein muss. Und das ist dieses Token.


    Es wäre sehr hilfreich, wenn in Joomla der klare Hinweis gegeben würde, dass das Token OTP-Fähigkeiten haben muss.

  • Raimund

    Vorab: Jeder kann so einen Wunsch an Joomla einreichen.

    Wenn's nur per Deutsch geht, auch in diesem Forum: Joomla Core Fehler gefunden?


    Als jemand, der ja nun viel, auch vor Joomla sitzt, kann ich zum Thema nur sagen, dieses unsägliche Geschleuder von irgendwelchen XYZ-Dinsgbums-Anfordernissen-Abkürzungen, egal, ob nun bei den Key-Anbietern und/oder Plattformen, die einen auffordern sich eine 2-Factor-Authentifizierung einzurichten, war mir bisher zu sehr Lotterie, als, dass ich jemals auf die Idee gekommen wäre die erheblichen Euronen zu verballern, noch dazu, wenn man einen Backup-Key haben will... Und ich hatte über die Jahre mehrere Anläufe mich durch dieses nutzerunfreundliche Gefasel (nach der eigentlichen Arbeit) durchzuwundern ;-)

    Und am Ende komme ich trotzdem nicht damit bei meiner Bank rein, weil die's nicht anbietet ;-)

  • Mir ist nicht ganz klar, was mir diese Antwort sagen will oder soll.


    Aber ich finde die Idee bzw. die Möglichkeit, meinen Joomla Backend-Zugang durch einen zweiten Faktor abzusichern, nach wie vor hervorragend. Und da ist es mir zunächst mal egal, ob ich damit auch bei meiner Bank reinkomme. Ich will ja vor allem Joomla absichern.


    Ich denke auch, dass wir uns darauf einigen können, dass die Zeitschrift "ct" eine durchaus ernstzunehmende Fachzeitschrift ist. Und in dieser wurde in den letzten Monaten das Thema "FIDO/FIDO2" ausführlich behandelt. Es wurde auch ganz klar die Empfehlung pro U2F bzw. FIDO2 gegeben.


    Es ist ja auch kein Fehler in Joomla, sondern nur eine fehlende Information. Ich möchte aber nicht wissen, wie viele Fehlkäufe diese fehlende Information erzeugt hat.

  • Mir ist nicht ganz klar, was mir diese Antwort sagen will oder soll.

    Mir ist deine Antwort auf meine auch nicht klar, um ehrlich zu sein ;-) Du hast doch auch gar keine Frage gestellt.


    Du hast gemault:

    Es wäre sehr hilfreich, wenn in Joomla der klare Hinweis gegeben würde, dass das Token OTP-Fähigkeiten haben muss.

    Und ich hab dir mitgeteilt:

    Vorab: Jeder kann so einen Wunsch an Joomla einreichen.

    Also mach das doch einfach. Ist doch simpel.



    Mir ist es nebenbei nicht wurst, wenn ich für verschiedene Zugänge mehrfach 2-stellige Beträge x 2 zahlen muss, weil diverse Dingsbums-Standards angewendet werden, die morgen schon wieder olle Kamellen sind oder gar nicht erst unterstützt werden.


    Und: Echt jetzt? Studium des c't-Magazins, damit man sich wo anmelden kann? Dieses Thema interessiert mich von der technischen Seite nicht die Bohne.