2-Faktor-Authentifizierung (2FA) für die eigene Webseite

Guten Morgen,

im Netz gibt es schon seit einigen Jahren PHP Projekte, die eine zwei Faktor Authentifizierung ermöglichen sollen.
Hat jemand bitteschön damit Erfahrungen gemacht?
Mich interessiert vor allem welches PHP Projekt zu welcher Hardware (dem 2FA-Authentifikator) passt.

Am häufigsten wird als 2FA Hardware dieses Teil von Produktsuchmaschinen empfohlen:

Laut Datenblatt soll das OATH-TOTP nach RFC 6238 möglich sein.
Mich verwirrt aber die Antwort des Reiner Supports, mit der Behauptung, ein 2FA Verfahren für die eigene Internetseite sei nicht möglich! Habe ich eine Niete beim Support erwischt, die über das eigene Produkt nicht Bescheid weiß?

Ein oft im Netz gefundenes PHP Gegenstück zum Authentifikator ist dieses PHP Projekt:

Vielleicht passen die Beiden Teile zusammen und ermöglichen zusätzliche Sicherheit bei der Anmeldung?

Ich bin kurz davor die Angeben des Herstellers zu ignorieren und eine Umsetzung zu wagen. Ich wäre für Tipps und Erfahrungsberichte sehr dankbar.

Gruß Markus

Es ist etwas Zeit vergangen und ich möchte euch das Ergebnis mitteilen: die beiden Teile passen wie Faust aufs Auge! Ich muss mein Projekt noch verfeinern, aber das grobe funktioniert einwandfrei.
Gruß Markus

Noch ein Nachtrag zum Thema 2FA:
Das RobTree TwoFactorAuth Projekt ist leider offline nicht funktionsfähig, da der eigentliche QR-Privider nicht vorhanden ist und ein Onlinedienst genutzt wird. Das kann womöglich leicht umprogrammiert werden, aber ich habe aktuell keine Zeit mich damit auseinanderzusetzen. Aus Sicherheitsgründen habe ich inzwischen einen eigenen QR-Privider gefunden aber der Umbau des Kodes scheint sehr umfangreich zu sein.
Auch die Zugriffe auf Google müssen entfernt werden. Ich sende doch keine Statistiken (indirekt Time-Server) zu meinen Logins an Google!

Das erinnert etwas an unsere Beweggründe, warum wir selbst einen 2FA-Mechanismus gebaut haben :grin: https://inside.bplaced.net/bplaced-app/

Ich würde ansonsten eventuell 2FA über Codeeingabe empfehlen, ähnlich wie es Apps wie z.B. Aegis lösen, wobei man immer abwägen muss, wem man vertrauen möchte.

Hallo Miro.

Der Tipp mit der Kodeeingabe ist gut, auch wenn die meisten Authentifikatoren keine manuelle Kodeeingabe kennen, ist es nie verkehrt, wenn der Benutzer mehrere Möglichkeiten hat.

Die BPlaced.net QR-Kodes sind schön umgesetzt, aber leider kann mein Authentifikator derartige 2FA QR-Kodes nicht lesen! Es wird ein (mir unbekanntes) 2FA-QR-Kode-Schema verwendet.

QR-Inhalt (Zeilenumbrüche wurden hinzugefügt):

{
"target":"2fa",
"version":"4",
"request":"tfa_add",
"data":"30e0e4649d49246498fed0ed25b58969",
"etc":"4d9a82ea1163fc30a5ed1916d34c38bf79194047438fb7ba34ae9e3d4a2438ae102414a664979475b94458fb1ba3cafac959d48bc279cd1b04721e91058e92a4",
"hza":"37841",
"hzb":"nnvxym"
}

Das BPlaced.net QR-Schema kann (oder muss?) mit der dazugehörender SmartPhone-App verwendet werden.

Vielleicht wäre es besser das standardisierte OATH-TOTP URI Schema nach RFC 6238 zu nutzen?

Hier ein Beispiel mit 180 Zeichen (1440 Bit) Secret.

QR-Inhalt (Zeilenumbrüche wurden hinzugefügt):

otpauth://totp/Miro
?secret=VA73ZH4EADBSR4VYMUM3ZKHLQHWFIB2NTIXWLMONAMDSDELP5WM533DVZ3QWO3NS6TV22U6E3JGHDPRV4SA3K3O5LXXVSEERN4RZ2HVQIP5ITDC4T26DPZEG2XGLKIIGGPBLTXGXCZ2F4SABFNNYLH3WAQAE7PL65LTH56Q7V2FTQK62DROEYXCYIVSACGVNKMU5U7N5Y7H3OZ6N7GDZ6UFUMRRMPZZFHUVFE7S67R2MHMOWJO5RBNL4KT7ZEZ37YF6Q4LUSQRWEOVBQDSLLUUGWIO3OSV7W
&issuer=BPlaced.net
&period=30
&algorithm=SHA512
&digits=8

Andere Baustelle: Mir scheinen die (BPlaced.net) QR-Kodes mit verwendeter optionaler Beschreibung nicht fehlerfrei zu funktionieren. Solche QR-Kodes kann ich gar nicht einlesen, egal mit welcher Software.

Gruß Markus

der QR-Code bei uns ist nur für die bplaced-App gedacht, nicht für jegliche andere Software.
Wie gesagt, haben wir das hier selbst entworfen und kein einziger Datensatz verlässt bei das Haus zu irgendeinem anderen Unternehmen, Seite oder fremden App.

Liebes Team, ich frag ganz nett nach. Sowohl meine Domain, als auch meine EMails liegen bei euch. Da ich nun mehr in der Öffentlichkeit stehe, ist mir ein einfaches PW zu gefährlich. Kommt was für Authy oder iOS raus? Hab nur Apple. Muss ich mir ein Android für euch kaufen? Würde ich sonst wohl tun müssen, außer ihr habt in den nächsten 3 Monaten etwas.

Wie schauts aus? Was denkt ihr?

Oder wie schauts es mit EinwegCodes aus?

Ich denke, dass aus einer Veröffentlichung für iOS demnächst etwas wird - wir sind zuvor auf einige Stolpersteine bei dieser Plattform gestoßen, diese steht jedoch für diesen Sommer wieder auf unserer Liste.

1 Like