Zwei-Faktor Authentifizierung mit YubiKey - Secure Code wird nicht erzeugt

Hanomax · 20. Oktober 2019

Hallo,

ich habe mir einen YubiKey bestellt (U2F und FIDO2) um den Administrator Zugang zusätzlich zu sichern.
Joomla 3.9.12 ist installiert. Das Yubikey Plugin ist für das Backend aktiviert. Als Authentification Method ist "YubiKey" für den Super User eingestellt.

Der Curser steht im Feld "Security code". Der Yubikey steckt im USB-Slot und wird erkannt. Dennoch passiert rein gar nichts, wenn ich den Sensor Yubikeys berühre.

Habe ich etwas übersehen?

Ein Test des Yubikeys auf der Herstellerseite verlief positiv.

Gruß

Hano

Hanomax · 20. Oktober 2019

Kleine Ergänzung: Es handelt sich um den blauen Yubico Security Key. Geht der überhaupt für Joomla?

Gruß

Hano

CurlY BracketS · 20. Oktober 2019

Hast du dir dieses Video schon reingezogen? Du schreibst leider nicht, ob du deinen Benutzer auch be-Yubikeyed hast.

Hanomax · 20. Oktober 2019

Das Video kenne ich.

Was meinst du mit: "Du schreibst leider nicht, ob du deinen Benutzer auch be-Yubikeyed hast."?

Ich habe für den Benutzer "Super User" den YubiKey als Authentifizierungsmethode eingestellt. Allerdings funktioniert das Set up nicht. Es wird kein Security Code erzeugt!
Ich glaube mittlerweile, dass der Yubico Security Key nicht für Joomla geeinet ist, obwohl er FIDO U2F unterstützt.

Gruß

Hano

CurlY BracketS · 20. Oktober 2019

Ich hab das mit einem 'normalen' Yubikey mal probiert. Wenn ich beim Benutzer als Loginmethode Yubikey wähle, den Key einstecke und im Feld die Keytaste betätige, sehe ich, dass was geschrieben wird. Beim Speichern werden dann die Notfallkeys angezeigt. in der Maske angezeigt.

Wenn das bei dir nicht geht, ist entweder mit dem Key oder mit Joomla was nicht so, wie es sollte.

Hanomax · 23. Oktober 2019

Folgendes habe ich mittlerweile in Erfahrung gebracht:

Der "normale" Yubikey (Yubikey 5 schwarz) funktioniert einwandfrei. Der Yubico Security Key (blau) funktioniert für Joomla definitiv nicht, obwohl er mit "Zweifaktor Authentifizierung" beworben wird.

Farrell · 23. Oktober 2019

Du hast den falschen YubiKey. Du hast nur den SecurityKey, der kann "nur" FIDO (und bissel mehr). Aber kein OTP für Joomla. Da brauchst du den YubiKey5 NFC zum Beispiel. Übersicht der Funktionen https://www.bit-elements.de/yu…u2f-security-key-nfc.html (AUCHTUNG Schleich Werbung)

Raimund · 16. Januar 2020

Hallo Hanomax,

nachdem ich mich jetzt einige Stunden damit herumgeärgert habe, dass mein blauer Yubikey FIDO2-Stick (Security Key) nicht zusammen mit Joomla funktioniert, bin ich auf diesen Chat gestoßen. Hätte ich ihn nur früher gelesen.

Ich finde es, um es zurückhaltend auszudrücken, ein Unding, dass nirgends, aber auch nirgends ein Hinweis zu finden ist, dass das Hardware-Token für Joomla OTP-Fähigkeit haben muss. Und das hat bei Ybico anscheinend nur die 5er-Serie.

Überall wird nur davon gesprochen, dass das Token FIDO-U2F-fähig sein muss. Und das ist dieses Token.

Es wäre sehr hilfreich, wenn in Joomla der klare Hinweis gegeben würde, dass das Token OTP-Fähigkeiten haben muss.

Re:Later · 16. Januar 2020

Raimund

Vorab: Jeder kann so einen Wunsch an Joomla einreichen.

Wenn's nur per Deutsch geht, auch in diesem Forum: Joomla Core Fehler gefunden?

Als jemand, der ja nun viel, auch vor Joomla sitzt, kann ich zum Thema nur sagen, dieses unsägliche Geschleuder von irgendwelchen XYZ-Dinsgbums-Anfordernissen-Abkürzungen, egal, ob nun bei den Key-Anbietern und/oder Plattformen, die einen auffordern sich eine 2-Factor-Authentifizierung einzurichten, war mir bisher zu sehr Lotterie, als, dass ich jemals auf die Idee gekommen wäre die erheblichen Euronen zu verballern, noch dazu, wenn man einen Backup-Key haben will... Und ich hatte über die Jahre mehrere Anläufe mich durch dieses nutzerunfreundliche Gefasel (nach der eigentlichen Arbeit) durchzuwundern

Und am Ende komme ich trotzdem nicht damit bei meiner Bank rein, weil die's nicht anbietet

Raimund · 16. Januar 2020

Mir ist nicht ganz klar, was mir diese Antwort sagen will oder soll.

Aber ich finde die Idee bzw. die Möglichkeit, meinen Joomla Backend-Zugang durch einen zweiten Faktor abzusichern, nach wie vor hervorragend. Und da ist es mir zunächst mal egal, ob ich damit auch bei meiner Bank reinkomme. Ich will ja vor allem Joomla absichern.

Ich denke auch, dass wir uns darauf einigen können, dass die Zeitschrift "ct" eine durchaus ernstzunehmende Fachzeitschrift ist. Und in dieser wurde in den letzten Monaten das Thema "FIDO/FIDO2" ausführlich behandelt. Es wurde auch ganz klar die Empfehlung pro U2F bzw. FIDO2 gegeben.

Es ist ja auch kein Fehler in Joomla, sondern nur eine fehlende Information. Ich möchte aber nicht wissen, wie viele Fehlkäufe diese fehlende Information erzeugt hat.

Indigo66 · 16. Januar 2020

So richtig Sinn macht die Zweifaktor Authentifizierung ja für Projekte an oder in denen mehre Personen oder Gruppen arbeiten.
Also die YubiKey Anbieter die ich kenne, beraten vor dem Kauf und wissen welche Version für Joomla benötigt wird.

Re:Later · 16. Januar 2020

Zitat von Raimund

Mir ist nicht ganz klar, was mir diese Antwort sagen will oder soll.

Mir ist deine Antwort auf meine auch nicht klar, um ehrlich zu sein Du hast doch auch gar keine Frage gestellt.

Du hast gemault:

Zitat von Raimund

Es wäre sehr hilfreich, wenn in Joomla der klare Hinweis gegeben würde, dass das Token OTP-Fähigkeiten haben muss.

Und ich hab dir mitgeteilt:

Zitat von Re:Later

Vorab: Jeder kann so einen Wunsch an Joomla einreichen.

Also mach das doch einfach. Ist doch simpel.

Mir ist es nebenbei nicht wurst, wenn ich für verschiedene Zugänge mehrfach 2-stellige Beträge x 2 zahlen muss, weil diverse Dingsbums-Standards angewendet werden, die morgen schon wieder olle Kamellen sind oder gar nicht erst unterstützt werden.

Und: Echt jetzt? Studium des c't-Magazins, damit man sich wo anmelden kann? Dieses Thema interessiert mich von der technischen Seite nicht die Bohne.

Tags