Bequemere 2FA-Anmeldung?

    Hallo zusammen,


    aktuell verwenden wir die in Joomla (Version 3.10.x) eingebaute Zwei-Faktor Authentifizierung mit dem Plugin "Zwei-Faktor-Authentifizierung - Google Authenticator". Als Authentifizierungsanwendung verwenden wir den Microsoft Authenticator zur Erzeugung des Einmalkennworts, das dann bei der Anmeldung eingegeben wird.


    Bei einem anderen Anwendungsfall (eine VPN-Anmeldung bei einem Kunden) wird der Microsoft Authenticator offenbar so angesteuert, dass er die Anmeldeanforderung als Push Nachricht erhält und ich dann eine Minute lang Zeit habe, auf "Genehmigen" oder "Ablehnen" zu drücken. Das erspart das Ablesen und Eintippen des Einmalkennworts.


    Frage: Gibt es eine solche Möglichkeit auch für Joomla? Eine entsprechende Konfiguration habe ich beim "Google Authenticator"-Plugin nicht gefunden. Gibt es ggf. hier eine externe Komponente, die so etwas bietet? Meine bisherige Suche war nicht erfolgreich. Es gibt ja durchaus Angebote zu diesem Thema, aber die entsprechenden Extensions waren nicht unbedingt häufig kommentiert worden oder der Anbieter sitzt in Panama ohne Impressum, alles Dinge, die bei einem sicherheitsrelevanten Thema wenig Lust machen, sich das auch nur näher anzuschauen.


    Viele Grüße,

    Georg

    Zitat von georgffm

    entsprechenden Extensions waren nicht unbedingt häufig kommentiert worden

    Will nur einwerfen, dass das nicht unbedingt mehr ein Kriterium ist, weil das Berwertungen schreiben im JED mittlerweile nervtötende Beschäftigung ist, weil man zu viel und mit Mindestzeichenzahl ausfüllen muss.


    Ich weiß nur, dass Joomla 4 "passwortloses Anmelden" dabei hat. Vielleicht später dann eine Alternative?

    Zitat

    Ermöglicht die passwortlose Authentifizierung über die W3C-Web-Authentifizierungs-API (WebAuthn). Die Registerkarte WebAuthn im Benutzerprofil-Editor und die WebAuthn-Anmeldeschaltflächen werden nur angezeigt werden, wenn der Benutzer über HTTPS auf die Website zugreift. Außerdem funktioniert die Registrierung von WebAuthn-Authentifizierern und deren Verwendung zur Anmeldung nur dann, wenn ein gültiges Zertifikat verwendet wird, das von einer Zertifizierungsstelle signiert ist, der der Browser des Benutzers vertraut.

    Zitat von WM-Loose

    Das soll sehr gut sein aber noch nicht von mir getestet:

    https://plugins.miniorange.com/joomla

    Hallo Dirk,


    das hatte ich mir vorher auch schon angesehen. Wenn ich es richtig verstehe, gibt es die "Push-Option" aber dort nur in Verbindung mit der eigenen miniOrange Authenticator-App. Da alle unsere Seiten-Admins sowieso bereits die Microsoft Authenticator App nutzen (müssen), wäre es nicht so schön, nur für diesen Zweck eigens eine weitere App installieren zu müssen:



    Trotzdem vielen Dank für den Vorschlag.


    Viele Grüße,

    Georg

    Hi,


    ja, das "passwortlose Anmelden" hört sich durchaus interessant an (da muss ich mich aber erst mal aufschlauen, wie das genau funktioniert). Joomla 4 wird noch eine Weile dauern, da das von uns verwendete Template noch nicht fit dafür ist und ich dann auch nicht direkt die erste Version vom angepassten Template unter 4 produktiv einsetzen wollte... ;)


    Was das Thema "Bewertungen" angeht, ist das wirklich immer eine zweischneidige Sache, auch vor dem Hintergrund von "gekauften Bewertungen". Bei Amazon bin ich mittlerweile dazu übergegangen, mir fast nur noch die schlechten Bewertungen durchzulesen, um ein Gefühl für die eventuellen Nachteile eines Produkts zu bekommen. Die sind wahrscheinlich deutlich seltener gekauft.

    Zitat von Re:Later

    Will nur einwerfen, dass das nicht unbedingt mehr ein Kriterium ist, weil das Berwertungen schreiben im JED mittlerweile nervtötende Beschäftigung ist, weil man zu viel und mit Mindestzeichenzahl ausfüllen muss.


    Ich weiß nur, dass Joomla 4 "passwortloses Anmelden" dabei hat. Vielleicht später dann eine Alternative?

    Einmal editiert, zuletzt von Indigo66 () aus folgendem Grund: Ein Beitrag von georgffm mit diesem Beitrag zusammengefügt.

    Gefällt mir 1

    Hey Georg,


    ich habe mal eine überarbeitete Version des 2FA Plugins vom Core veröffentlicht, in dem du das Gerät (also den Browser) "merken" lassen kannst und somit den Sicherheitscode nicht bei jedem Einloggen eingeben musst. Vielleicht hilft dir das schon als Erleichterung?


    Ich habe das Plugin auch in einer kostenlosen Version mit abgespeckten Feature veröffentlicht. Download der Pro (mit Subscription) und Free hier: https://kubik-rubik.de/de/downloads/totpe-totp-extended


    Viel Erfolg!