Nach Upgrade auf J4.4 wird Webauthentifizierung per Passkeys anstelle 2FA gefordert

    Joomla Version
    Joomla 4.4
    PHP Version
    PHP 8.2.x
    Hoster
    localer xampp server

    Hallo Joomla-Community,

    Ich habe nach ähnlichen Passkey-Themen gesucht, aber es gab keine …

    Endlich habe ich meine ziemlich alte Joomla-Seite von J3.10.12 auf J4.4 aktualisiert.

    Um meine Live-Site nicht zu gefährden, führe ich das Upgrade auf einem lokalen Xampp-Server (PHP 8.2.12) auf meinem Windows-PC aus.

    Der Upgrade-Prozess verlief zumindest zunächst erfolgreich.

    Die update.php zeigt keine Anzeichen von Problemen, das Update wurde abgeschlossen:

    Code
    2024-05-21T17:54:07+00:00 INFO ::1 Update Update auf Version 4.4.4 ist vollständig.

    Nach der Migration wurde ich gebeten, mich im Backend anzumelden.

    Ich habe mich (zunächst) mit Benutzername, Passwort und Code aus der konfigurierten 2FA angemeldet. Ich habe meinen Google-Authentificator verwendet, dieselbe Methode, die ich bei der J3-Installation eingerichtet habe. Das hat einwandfrei funktioniert, auch auf dem xampp system. So weit, ist es gut.

    // Das Frontend hat immer noch ein ernstes Problem, die Homepage wird von der neuen Joomla-Installation nicht gefunden (0 Klasse „JString“ nicht gefunden). Allerdings ist das nicht mein Hauptproblem oder es hängt irgendwie mit dem Hauptproblem zusammen.//

    Nachdem ich kurz afk war, musste ich mich erneut anmelden.

    ABER dieses Mal werde ich nicht noch einmal nach den Authentifizierungscodes gefragt. Stattdessen wurde ich nach dem Passkey für den Localhost gefragt. ?(

    Localhost ist der Hostname des Datenbankservers in xampp.

    Ich habe noch nie mit Passkeys gearbeitet. Warum werde ich nicht mehr nach den 2FA-Codes gefragt? Es versteht sich von selbst, dass ich jetzt dauerhaft abgemeldet bin.

    Ich habe das Upgrade jetzt 2 Mal wiederholt, das gleiche Ergebnis. Ich habe sogar versucht, den angezeigten QR-Code mit der Google Authenticator-App zu scannen, wodurch mein Handy zu einem registrierten Passkey-Gerät wurde. (Das Mobiltelefon wurde über Bluetooth über Chrome kontaktiert (vermute ich)). Da ich jedoch keinen Passkey auf meinem Telefon gespeichert habe, keine Schlüssel, keine Passkey-App oder was auch immer für die Nutzung des Passkeys erforderlich ist, war der Anmeldeversuch nicht erfolgreich.

    In der J4.4 Systemserverkonfiguration - Server ist ein neuer Parameter für die Standardauthentifizierungsmethode (serverbasiert /1 Faktor / 2 Faktor) auf den Standardwert voreingestellt, und ich habe ihn nicht auf 2FA geändert (die angeforderten Informationen im Falle von 2FA sagten mir nichts).

    Der Admin-Benutzer meiner Seite ist 2FA-fähig, wie in der Benutzerverwaltung angezeigt.

    Muss ich die Serverbased 2FA-Option aktivieren, um eine Verbindung zum xampp localhost-Server herzustellen? Aber warum dann eine benutzerbasierte Authentifizierung?

    Und wie macht man das für xampp?


    Also, habt ihr einen Rat, was ich ändern muss? Eure Hilfe ist #ußerst willkommen.

    Vielen Dank im Voraus.

    Hi,

    was genau wird denn angezeigt? Also hast du einen Screenshot für uns? Passkeys werden eigentlich erst angezeigt wenn man auf https unterwegs ist, idR. ist das auf xmapp nicht der Fall und die werden auch nur angeboten wenn man einen Passkey vorher eingerichtet hat.

    Zitat von Dautrich

    Joomla 4/5 funktioniert einwandfrei auch per TOTP (z,B. Google Authenticator).

    Glaube ich gerne, nur bei mir läufts nicht. Deswegen der Post...

    Also, wie oben erwähnt, lief das Update ganz gut. Ich habe heute das dritte mal das Update durchgeführt.
    Dabei habe noch einmal soweit wie möglich aufgeräumt.
    Das Problem mit dem nicht anzeigbaren Content besteht immer noch. Aber ich komme nun wieder ins Backend.

    Allerdings nur mit dem Edge Browser. Wenn ich dort die login page des Administrators aufrufe, werde ich brav Username, Passwort und Authenticator Code gefragt. Alles eingegeben und siehe da, ich bin drin.

    Anders allerding,s wenn mich mit Google Chrome einloggen will, wir mir wieder nur ein Login mit Passkey angeboten. Siehe Bilder

    Somit muss das Problem in irgendeinerweise mit Google Chrome zusammenhängen. Vielleicht erkennt ja Chrome via Bluetooth, dass mein Mobile in der Nähe ist und versucht es automatisch mit Passkey. Eine bessere Erklärung habe ich leider nicht. Nervt natürlich, dass ich nun Edge nehmen muss.
    Falls jemand also eine Idee hat, was zu tun ist, damit ich wieder mit 2FA reinkomme, immerzu...

    Natürlich hätte ich grundsätzlich nichts gegen Passkey, aber für den Homepagezugang habe ich das ja gar nicht eingerichtet. und wüsste auch so gar nicht wie das geht.

    Für das Contentproblem werde ich einen neuen Post machen.


    Hmm auf dem Screenshot werden beide Buttons angzeigt. Drückst du zum Anmelden auf "Web Authentifizierung" oder auf "Anmelden"?

    WebAuth ist ein neues System Plugin das kann man im Backend deaktivieren dann wird auch dieser Button nicht mehr angezeigt und wieder so wie früher wird dann nur "Anmelden" angezeigt.

    Zitat von zero24

    Hmm auf dem Screenshot werden beide Buttons angzeigt. Drückst du zum Anmelden auf "Web Authentifizierung" oder auf "Anmelden"?

    WebAuth ist ein neues System Plugin das kann man im Backend deaktivieren dann wird auch dieser Button nicht mehr angezeigt und wieder so wie früher wird dann nur "Anmelden" angezeigt.

    Stimmt, ich habe fast immer "WebAuthentifizierung" geklickt. Selektive Wahrnehmung. Ich hatte es auch einige male mit dem Anmelden Button probiert, hatte aber nicht geklappt. Vermutlich ein falsches Passwort. Nach deinem Hinweis habe ich es noch einmal getestet und klappt es. Super.
    Guter Hinweis mit dem plugin.
    Besten Dank.

    Wenn du WebAuthn nicht nutzt dann deaktiviere das Plugin dann kommt es nicht zu Verwirrung :)

    Edit: Pluginname: plg_multifactorauth_webauthn / Multi-factor Authentication - Passkeys