im Netz gibt es schon seit einigen Jahren PHP Projekte, die eine zwei Faktor Authentifizierung ermöglichen sollen. Hat jemand bitteschön damit Erfahrungen gemacht?
Mich interessiert vor allem welches PHP Projekt zu welcher Hardware (dem 2FA-Authentifikator) passt.
Am häufigsten wird als 2FA Hardware dieses Teil von Produktsuchmaschinen empfohlen:
Laut Datenblatt soll das OATH-TOTP nach RFC 6238 möglich sein.
Mich verwirrt aber die Antwort des Reiner Supports, mit der Behauptung, ein 2FA Verfahren für die eigene Internetseite sei nicht möglich! Habe ich eine Niete beim Support erwischt, die über das eigene Produkt nicht Bescheid weiß?
Ein oft im Netz gefundenes PHP Gegenstück zum Authentifikator ist dieses PHP Projekt:
Vielleicht passen die Beiden Teile zusammen und ermöglichen zusätzliche Sicherheit bei der Anmeldung?
Ich bin kurz davor die Angeben des Herstellers zu ignorieren und eine Umsetzung zu wagen. Ich wäre für Tipps und Erfahrungsberichte sehr dankbar.
Es ist etwas Zeit vergangen und ich möchte euch das Ergebnis mitteilen: die beiden Teile passen wie Faust aufs Auge! Ich muss mein Projekt noch verfeinern, aber das grobe funktioniert einwandfrei.
Gruß Markus
Noch ein Nachtrag zum Thema 2FA:
Das RobTree TwoFactorAuth Projekt ist leider offline nicht funktionsfähig, da der eigentliche QR-Privider nicht vorhanden ist und ein Onlinedienst genutzt wird. Das kann womöglich leicht umprogrammiert werden, aber ich habe aktuell keine Zeit mich damit auseinanderzusetzen. Aus Sicherheitsgründen habe ich inzwischen einen eigenen QR-Privider gefunden aber der Umbau des Kodes scheint sehr umfangreich zu sein.
Auch die Zugriffe auf Google müssen entfernt werden. Ich sende doch keine Statistiken (indirekt Time-Server) zu meinen Logins an Google!
Ich würde ansonsten eventuell 2FA über Codeeingabe empfehlen, ähnlich wie es Apps wie z.B. Aegis lösen, wobei man immer abwägen muss, wem man vertrauen möchte.
Der Tipp mit der Kodeeingabe ist gut, auch wenn die meisten Authentifikatoren keine manuelle Kodeeingabe kennen, ist es nie verkehrt, wenn der Benutzer mehrere Möglichkeiten hat.
Die BPlaced.net QR-Kodes sind schön umgesetzt, aber leider kann mein Authentifikator derartige 2FA QR-Kodes nicht lesen! Es wird ein (mir unbekanntes) 2FA-QR-Kode-Schema verwendet.
Andere Baustelle: Mir scheinen die (BPlaced.net) QR-Kodes mit verwendeter optionaler Beschreibung nicht fehlerfrei zu funktionieren. Solche QR-Kodes kann ich gar nicht einlesen, egal mit welcher Software.
der QR-Code bei uns ist nur für die bplaced-App gedacht, nicht für jegliche andere Software.
Wie gesagt, haben wir das hier selbst entworfen und kein einziger Datensatz verlässt bei das Haus zu irgendeinem anderen Unternehmen, Seite oder fremden App.
Liebes Team, ich frag ganz nett nach. Sowohl meine Domain, als auch meine EMails liegen bei euch. Da ich nun mehr in der Öffentlichkeit stehe, ist mir ein einfaches PW zu gefährlich. Kommt was für Authy oder iOS raus? Hab nur Apple. Muss ich mir ein Android für euch kaufen? Würde ich sonst wohl tun müssen, außer ihr habt in den nächsten 3 Monaten etwas.
Ich denke, dass aus einer Veröffentlichung für iOS demnächst etwas wird - wir sind zuvor auf einige Stolpersteine bei dieser Plattform gestoßen, diese steht jedoch für diesen Sommer wieder auf unserer Liste.
