Neues (kostenpflichtiges) Produkt: WebAuthN-Login

WebAuthN ist ein W3C-Standard, welcher die Authentifizierung von Benutzern ohne Passwörter ermöglichen soll. Das Ganze geschieht durch das Public-Key-Verfahren und die Nutzung verschiedener Faktoren (z.B. Hardware-Schlüssel, Fingerprint/TouchID, etc). WebAuthN wurde von der FIDO-Allianz entwickelt. Zu dieser Allianz gehören unter anderem Google, Amazon, Microsoft, RSA und weitere Firmen.

Das Ziel dieser Erweiterung ist es WebAuthN weiter zu verbreiten. Diese Erweiterung implementiert WebAuthN komplett ins WSC. Benutzer die WebAuthN aktiviert haben, müssen nirgendwo im WSC ihr Passwort eingeben und können sich überall über ihren Sicherheitsschlüssel authentifizieren (Login, ACP-Login, etc.).

Features

  • komplette Implementierung von WebAuthN ins WSC
  • Aktivierung von WebAuthN bereits während der Registrierung möglich
  • Login im Frontend und Backend (ACP) via WebAuthN
  • das Hinzufügen mehrerer Sicherheitsschlüssel ist möglich (z.B. 2 YubiKeys oder ein YubiKey und TouchID, etc.)
  • Administratoren können Sicherheitsschlüssel im ACP entfernen

Sicherheit

Technisch ist WebAuthN aufgrund des Public-Key-Verfahrens sehr sicher. Selbst aus der Ferne (übernommener PC, etc.) können sich Benutzer nicht mit einem Account einloggen, wenn dieser via WebAuthN geschützt ist.

WebAuthN hat allerdings auch Nachteile. Wenn zum Beispiel der Sicherheitsschlüssel physisch gestohlen wird, könnte der Dieb theoretisch auf die Accounts zugreifen. Deswegen ist WebAuthN nur so sicher, wie der Anwender auf seinen Sicherheitsschlüssel aufpasst.

Ich habe meinen Sicherheitsschlüssel verloren und jetzt?

In der Regel ist dein Account damit verloren. Allerdings könnten dir die Administratoren der entsprechenden Seite entgegen kommen und die Sicherheitsschlüssel manuell im ACP entfernen. Hier sollte aber jedem Administrator bewusst sein, dass die meisten Accounts auf Grund von Social Hacking übernommen werden/wurden.

Unterstützte Browser und Sicherheitsschlüssel

Prinzipiell unterstützen die meisten gängigen Browser WebAuthN. Manche Browser unterstützen dabei aber nur Hardware-Schlüssel, andere unterstützen ebenfalls TouchID/Fingerprint, etc.

Unterstützte Browser:

  • Edge (ab Version 18)
  • Firefox (ab Version 60)
  • Chrome (ab Version 67)
  • Safari für macOS (ab Version 12.1, muss aber manuell aktiviert werden)
  • Opera (ab Version 54)
  • Android Browser (ab Version 67)
  • Chrome für Android (ab Version 75)
  • FireFox für Android (ab Version 67)
  • Brave für iOS (ab Version 1.11.3)

Quelle für die Browser-Unterstützung: https://caniuse.com/#search=webauthn

Als Sicherheitsschlüssel, welcher WebAuthN unterstützt, ist aktuell der YubiKey am weitesten verbreitet. Sicherlich gibt es noch einige andere Sicherheitsschlüssel, mit denen WebAuthN bereits funktioniert. Hier wird Eigenrecherche empfohlen, da die Liste sich ständig verändert.

Beta-Test

Vor dem offiziellen Release dieser Erweiterung, wird es einen ausführlichen Test durch die hauseigenen Tester geben. Der Test wird voraussichtlich am 07.09.2019 im Laufe des Tages beginnen. Hier wird wieder allen Testern empfohlen die Erweiterung nicht auf dem Live-System zu testen. Bei dieser Erweiterung ist ein Test besonders wichtig, weil es eine sicherheitstechnische Erweiterung ist. Der Test ist aktuell für maximal 2 Wochen geplant. Update: Der Test dauert leider etwas länger. Das Plugin wird aber Ende 2019 noch veröffentlicht.

Was passiert mit Two-Step-Verification?

Wie bereits im Bereich für Two-Step-Verification geschrieben, wird es WebAuthN auch als Faktor für die 2-Stufen-Authentifizierung geben. WebAuthN-Login hat allerdings ein anderes Konzept und soll die Passwortauthentifizierung für die entsprechenden Benutzer deaktivieren. Eine Implementierung von WebAuthN als 2. Faktor in Two-Step-Verification erfolgt zu einem späteren Zeitpunkt, wird aber auf jeden Fall umgesetzt.

Kompatibilität

Diese Erweiterung ist mit dem WoltLab Suite Core 3.1 und 5.2 voll kompatibel. Eine Kompatibilität für 3.0 wurde bisher nicht hergestellt und ist aktuell auch nicht geplant. Sollte das Interesse für die 3.0 doch groß genug sein, werde ich mir Gedanken darüber machen.

Preise

Das Plugin wird zum Start in meinem Shop 5,99€ (inkl. MwSt.) kosten. Im offiziellen Plugin-Store wird der Preis bei 7,99€ (inkl. MwSt.) liegen.

Copyleft

Für die Umsetzung wurden verschiedene Drittbibliotheken verwendet. Im Nachhinein sind diese aufgelistet.

Antworten 10

7. September 2019 um 12:18

Freue mich drauf!!!!

10. September 2019 um 13:18

Klingt interessant. :)

6. Dezember 2019 um 10:18

Ich habe das Plugin zum Testen nun auch hier installiert.

26. Januar 2020 um 11:40

Die erste Release-Version steht nun mit einiger Verzögerung zum Verkauf bereit :)

6. Februar 2025 um 16:26

Bin grad dabei mein Forum auf V6 zu aktualisieren, und Dein Plugin ist nicht mehr nutzbar mit der Version.

Hast Du Pläne, das Plugin zu aktualisieren, oder gibt es ggf. Alternativen?

6. Februar 2025 um 16:26

Hallo,

das Plugin wurde eingestellt nachdem WoltLab WebAuthn als 2. Faktor entwickelt hat.

6. Februar 2025 um 16:32

Alles klar, dankeschön, Peter ♥️

6. Februar 2025 um 16:47
Zitat von Hanashi

das Plugin wurde eingestellt nachdem WoltLab WebAuthn als 2. Faktor entwickelt hat.

Hast du denn schon eine Idee, wann du den PassKey-Support herausbringst?

7. Februar 2025 um 06:15

https://softcreatr.dev/forum/thread/6…67608#post67608

9. Mai 2025 um 05:38

Zu dem PassKey-Support, kommt von Deiner Seite da noch was?

Oder ist das nur für Euch exklusiv ?

Diskutiere mit!