WoltLab Cloud Two Step Verification 1.4.8

Purchase Two Step Verification

EUR 19.99

Two step verification for your WSC.

Attention: the sale for this product has been discontinued. It is recommended to update to WoltLab Suite 5.4. Multifactor authentication is already natively available in WoltLab Suite 5.4.

You want to make the login safer for your users? Then install now the new 2 step verification for your WSC. This 2 step verification adds TOTP authentication to the frontend and the backend of your WSC. Users can decide for themselves whether they want to use Authy, Google Authenticator or any other app for TOTP.

Instructions for Update to WoltLab Suite 5.4

When updating to WoltLab Suite 5.4, the data from this plugin will be transferred automatically. Please proceed as follows:

  1. Update this plugin to the latest version.
  2. Update your WoltLab Suite to version 5.4.
  3. This plugin loses its functionality under WoltLab Suite 5.4. The plugin can now be uninstalled. An info is displayed in the ACP.

Very important: first update to WoltLab Suite 5.4 and then uninstall the plugin. Otherwise no data will be transferred.

Libraries

PHP-QR-Code by chillerian

What happens after the purchase?

Create a user account on hanashi.dev. In your settings, go to Activate purchases. And enter your API information from the API Access page. Now click Submit. You have now activated access to the support forum.

Images

  • Version 1.4.8

    • Hanashi
    • January 25, 2021 at 5:34 PM
    • 486.91 kB
    • 60 Downloads
    • FEATURE: $locationData can now be overwritten via event

  • Version 1.4.7

    • Hanashi
    • December 9, 2020 at 5:53 PM
    • 486.91 kB
    • 20 Downloads
    • Preliminary adjustments for WSC 5.4

  • Version 1.4.6

    • Hanashi
    • November 14, 2020 at 12:19 AM
    • 480.26 kB
    • 12 Downloads

    CHANGE: Extended login has been added to the exclude, because the functionality is already covered by this plugin

  • Version 1.4.5

    • Hanashi
    • November 5, 2020 at 2:49 PM
    • 480.26 kB
    • 12 Downloads
    • FIX: mobile view in ACP with key overview of users protruded beyond the menu
    • FIX: same input length for confirmation input field in user account management
    • FIX: Device overview is now also visible when the user can manually "enable/disable device verification

  • Version 1.4.4

    • Hanashi
    • September 16, 2020 at 2:07 PM
    • 480.26 kB
    • 16 Downloads
    • FIX: Forwarding after verification did not work properly
    • FIX: Menu item for devices was not independent from normal two step verification
    • FIX: incorrect scaling of the key overview table

  • Version 1.4.3

    • Hanashi
    • September 12, 2020 at 10:28 AM
    • 479.74 kB
    • 10 Downloads
    • FIX: used backup codes were not invalidated

  • Version 1.4.2

    • Hanashi
    • July 20, 2020 at 8:08 AM
    • 479.23 kB
    • 24 Downloads
    • FIX: Device verification did not run independently of 2FA

  • Version 1.4.1

    • Hanashi
    • June 5, 2020 at 4:09 PM
    • 478.72 kB
    • 31 Downloads
    • Behebt Problem, dass jeden Tag neue Mails versendet werden, wenn Ablauf der Geräteauthentisierung auf 0 gestellt ist

  • Version 1.4.0 pl 1

    • Hanashi
    • June 3, 2020 at 3:38 PM
    • 484.86 kB
    • 10 Downloads
    • FIX: behebt Problem wenn man Ablauf der Authentisierung auf 0 stellt

  • Version 1.4.0

    • Hanashi
    • June 3, 2020 at 11:06 AM
    • 484.86 kB
    • 10 Downloads
    • FEATURE: Entwickler können mit Hilfe eines EventListeners den QR-Code manipulieren und ihren eigenen QR-Code anzeigen
    • FEATURE: Es kann eingestellt werden, dass Wartungsmodus Seiten aufgerufen werden können, wenn man noch nicht authentisiert ist (sinnvoll für Impressum, Datenschutzerklärung, etc.)
    • FEATURE: die Geräteverifizierung kann nun rein informell eingestellt werden
    • FEATURE: optional kann der Standort, bei der Geräteverifizierung, in der Mail mit aufgenommen werden
    • FEATURE: Entwickler können den Issuer mit einem EventListener manipulieren
    • FEATURE: Benutzer können sich den Link für die Geräteverifizierung selbst neu zusenden lassen
    • FEATURE: Admins können Ajax-Ausnahmen im ACP selbst hinzufügen
    • FEATURE: es kann Benutzergruppen-spezifisch eingestellt werden, dass Benutzer die Geräteverifizierung selbst de-/aktivieren können
    • FEATURE: optional können nun mehrere Sicherheitstypen gleichzeitig aktivieren werden (z.B: 1x TOTP & 2 YubiKeys)
    • FEATURE: es ist optional einstellbar, dass Benutzer ihren Sicherheitsschlüssel nutzen müssen um Änderungen am Benutzerkonto vorzunehmen
    • CHANGE: Die Optionen "Ablauf der Authentisierung" (TOTP) und "Ablauf der Verifizierung" (Geräteverifizierung) sind nun in Tagen satt Sekunden angegeben. Die Konvertierung erfolgt automatisch beim Updaten.
    • CHANGE: Der Ablauf der Verifizierung kann auf permanent gestellt werden, indem der Zahlenwert auf 0 gesetzt wird.
    • CHANGE: Eingabefeld mit Einmal-Codes haben nun das Attribut autocomplete="one-time-code"
    • CHANGE: Der Secret-Code bei TOTP wird nun fett dargestellt
    • CHANGE: Die Backup-Codes werden erst nach Eingabe des Sicherheitscodes angezeigt
    • CHANGE: Es gibt nun Conditions für die automatische Benutzergruppenzuordnung, gleichzeitig ist die Gruppen-Option aus dem ACP entfernt wurden
    • CHANGE: 2FA-Workflow überarbeitet, beim ersten Sicherheitsschlüssel muss bestätigt werden, dass die Backup-Codes gespeichert wurden
    • CHANGE: rudimentäre Benutzergruppenzuordnung wurde entfernt
    • CHANGE: Captcha- und Cooldown-Einstellungen wurden in die Hauptkategorie verschoben
    • FIX: zu kleine Werte führen nicht mehr zum Aussperren von Benutzern
    • FIX: der QR-Code war ungültig wenn im Benutzernamen oder im Seitennamen Sonderzeichen waren
    • FIX: Fehler behoben, wenn man als Gast die Geräteverifizierung aufruft
    • FIX: Zugriffsbeschränkung für Gäste wurde überarbeitet
    • FIX: IPv4 wird nun auch als IPv4 ausgegeben und nicht mehr als konvertierte IPv6
January 13, 2021 at 3:18 PM

Ich habe das Plugin in meinem Testforum eingebaut und es läuft super! Nun habe ich es in Produktion einsetzen wollen, aber die Anlage eines Schlüssels klappt nicht. Wenn ich auf "+ Schlüssel hinzufügen" klicke, wird nicht das Formular geöffnet, sondern die Anzeige springt zum Anfang der Seite. (wie beim Button "Zum Seitenanfang")


Woran kann das liegen und was kann ich machen damit es klappt?

Grüße

Hajö
January 13, 2021 at 3:21 PM
Author

Hallo,

das klingt nach einem JavaScript-Fehler. Schau am besten mal in die Browser-Konsole. Für weitere Support-Anfragen bitte im Support-Forum melden (siehe Plugin-Beschreibung).
January 13, 2021 at 3:30 PM

Danke, habe Dir eine Ticket geschickt.
August 15, 2020 at 2:21 PM

Hallo ich hätte da mal eine Frage/Bitte. ist es Möglich einmal Aufzuzeigen Welche Parameter der Admin für einen Korrekten Ablauf des Plugin Einstellen kann bzw. muss, damit sich User für die TFA eintragen Können. Bei mir Kommt Jeden Tag weil ich die TFA nicht Nutzen kann eine Mail man Hätte sich von einem Neuen Gerät angemeldet, was aber nicht der Fall ist.
August 17, 2020 at 8:21 AM
Author

Hallo, blockierst du mglw. Cookies oder lässt Cookies automatisch löschen?
August 24, 2020 at 12:02 PM

Hallo noch einmal, nachdem ich die google authenticator app Synchronisiert habe, Läuft das Plugin ohne Weitere Probleme. Danke Dafür. ^^
July 17, 2020 at 1:19 PM

Braucht man pro Woltlab Suite Installation eine Lizenz, oder gilt eine Lizenz für mehrere Installationen?

Braucht man unbedingt die Forum Erweiterung oder funktioniert das ganze mit Suite?
July 17, 2020 at 1:26 PM
Author

Hallo,

siehe Lizenzbedingungen:

Quote from Lizenzbedingungen

1. Der Nutzer ist berechtigt das erworbene Produkt auf einer Webseite gleichzeitig zu nutzen, insofern die Webseite eindeutig dem Nutzer zuzuordnen ist (z.B. über Impressum). Das Produkt darf zu Testzwecken auf einer nicht öffentlich zugänglichen Webseite genutzt werden.

Für das Plugin wird lediglich der WoltLab Suite Core benötigt. Die Installation von WoltLab Suite Forum oder anderen Paketen ist nicht notwendig.
July 17, 2020 at 1:33 PM

Wo kann man die Installationsverweis als Adresse angeben?

Muss man das angeben?

Ist es sinnvoller in deinem Shop zu registrieren?
July 17, 2020 at 1:39 PM
Author

Hallo,

deine Homepage-URL musst du bei dem Kauf von Plugins, zumindest bei mir, nirgendwo angeben.

Ob du ein Plugin lieber im offiziellen Plugin-Store oder bei mir erwirbst, ist dir völlig freigestellt. Du hast dadurch weder Vorteile, noch Nachteile (abgesehen vom Preis vielleicht). Mittlerweile kommen Updates hier im Store und bei mir zur gleichen Zeit raus.
July 17, 2020 at 2:13 PM

Alles Klar.

Ich habe es verstanden.

OTP Auth, kann man auch verwenden wenn man eine Pin Code Abfrage machen würde.

Siehe hier:

https://apps.apple.com/de/app/otp-auth/id659877384

Wenn man zwei Lizenzen braucht, kann man eine jetzt kaufen und später einfach den Kauf nochmals tätigen, richtig?

Dann wäre meine Fragen beantwortet.
July 17, 2020 at 2:58 PM
Author

Ich empfehle als Apps immer Authy oder Google Authenticator für TOTP. Die App, die du gepostet hast, klappt aber auch.

Ja, du kannst jederzeit eine Lizenz nachkaufen, wenn du eine weitere benötigst.
July 4, 2020 at 7:10 PM

Wie beantworte ich folgende Frage:

Was ist der Backup-Code und wofür brauche ich den genau bzw WANN?
July 4, 2020 at 7:23 PM
Author

Hallo,

falls du deinen 2. Faktor verloren haben solltest (Handy oder YubiKey), kannst du dich mit den Backup Codes weiterhin einloggen und das verlorene Gerät deaktivieren.
July 4, 2020 at 7:31 PM

Ah okay, danke für die Antwort :)
April 5, 2020 at 5:49 PM

Leider komme ich wegen der 2FA nicht mehr in mein Adminpanel oder sonst ins Forum. Kann man dies umgehe?
July 2, 2020 at 1:46 PM
Author

Hallo,

melde dich bei so einem Fall am besten direkt bei mir im Forum oder im Discord. Da wird dir schnell geholfen.
March 28, 2020 at 10:51 PM

Mir sind leider 2 Dinge noch nicht klar:

Ist es dem User überlassen die 2-Wege-Authentifizierung zu nutzen oder nicht oder gilt die Aktivierung im ACP pauschal für alle und die Nutzung ist somit verpflichtend?

Die Benutzergruppen-Zuweisung verstehe ich auch noch nicht wirklich, ist diese optional? Falls nein, warum muss sich diese ändern wenn ein User die 2-Way-Auth aktiviert hat? Für mich ist und bleibt es einfach ein "Registrierter-User", wenn es optional ist verstehe ich natürlich den Hintergrund da man somit Nutzer welche die 2-Way-Auth aktiviert haben für zusätzliche Bereiche berechtigen könnte.

Gruss,

Era
March 29, 2020 at 12:10 PM
Author

Hallo,

standardmäßig ist es dem Benutzer selbst überlassen, ob er 2FA aktiviert oder nicht. Du hast als Admin allerdings die Möglichkeit die 2FA Benutzergruppen-spezifisch verpflichtend einzustellen.

Die Benutzergruppenzuweisung ist optional. Diese ist aus einem Wunsch von Benutzern heraus entstanden um das Verteilen von Trophäen oder JCoins zu vereinfachen.
March 22, 2020 at 3:48 PM

Warum gibt es die Brandingfree-Lizenz nicht hier im Plugin-Store?

Ein Kauf direkt über die Seite ist leider keine Option, da die Schweiz für Bestellungen ausgeschlossen ist.

Danke!
February 27, 2020 at 6:43 PM

Hallo Hanashi,

leider ist in deinem Plugin nicht die Option gegeben, einstellen zu können, ob „normale“ Benutzer überhaupt die 2FA verwenden dürfen. Eigentlich hatten wir nämlich vor, das Plugin zu installieren, unsere Teammitglieder 2FA verpflichtend einzustellen und später für alle Benutzer das Feature zu releasen.

Es wäre sehr praktisch, wenn du eine weitere Berechtigung wie „Darf 2-Faktor-Authentisierung benutzen“ hinzufügen könntest.


Liebe Grüße

Bantor
February 27, 2020 at 6:44 PM
Author

Hallo Bantor,

warum sollten denn normale Benutzer die 2FA nicht benutzen dürfen?

VG

Peter
February 29, 2020 at 6:19 AM

Nein, man sollte einfach einstellen können, ob sie die Funktion überhaupt nutzen dürfen oder nicht. Manche Foren wollen eine solche Verifikation sicher nur für Teammitglieder.
February 3, 2020 at 2:21 PM

Hallo Hanashi,

ich wollte folgendes vor dem Kauf Wissen, da es nicht in der Beschreibung steht.

Wird beim einrichten also aktivieren der 2FA ein Buckap Code erstellt?

Es kann ja mal vorkommen, das ein Smartphone kaputt gehen kann und dann hat man kein Zugang mehr.
February 3, 2020 at 3:06 PM
Author

Hallo, ja wird erstellt :)
February 3, 2020 at 3:58 PM

Vielen Dank. Werde mir das sofort kaufen, wenn mein aktuelles Problem behoben ist.
January 23, 2020 at 7:10 PM

Hey,

Ist das Plugin auch mit der Version 5.2 kompatibel?

Freundliche Grüsse

Client_not_found
January 23, 2020 at 10:01 PM
Author

Ja, die Version ist nicht umsonst bei dem Plugin angegeben ;)
November 21, 2019 at 8:11 PM

Is it possible to re-send a device verification email ?
October 11, 2019 at 12:33 PM

Huhu :)

Gibt es ein sichtbares Copyright?
October 11, 2019 at 1:31 PM
Author

Ja, gibt es.
September 25, 2019 at 9:43 AM

Kann man einstellen in welchen Gruppen eine 2Faktoren Authentifizierung pflicht ist.
Möchte es nur für die Admins und Mods zur pflicht machen
September 25, 2019 at 10:02 AM
Author

Hi, ja das ist möglich.
September 16, 2019 at 11:47 PM

Kann ich das Plugin ohne die zusätzliche Librarie benutzen? Da ich auf meinem Server keine Erweiterungen installieren kann.
September 17, 2019 at 5:27 AM
Author

Hallo, die Library ist im Plugin enthalten. Auf dem Server muss nichts extra installiert werden.
September 2, 2019 at 10:10 AM

Hallo.
leider habe ich mein Altes Handy "Verloren" - Es ist kaputt und ich habe den google-aut. verwendet.
Wie kann ich denn das Plugin (ohne acp) wieder loswerden?
September 2, 2019 at 10:13 AM
Author

Hallo, Support gibt es nur für Kunden des Plugins direkt in meinem Supportforum. Anleitung zur Verifizierung im Supportforum findest du in der Plugin-Beschreibung.
September 2, 2019 at 10:17 AM

Ja, ich habe leider eine Version die noch Kostenlos war.
Wollte jetzt umsteigen und komme nicht ins ACP...
August 4, 2019 at 12:31 AM

Hallöle,

mich nervt etwas doch immens:

Ich logge mich am PC ein => Muss Auth-code eingeben => Bin und bleibe erst mal eingeloggt.

Sobald ich mich am Handy einlogge => Muss Auth-Code eingeben => Bin und bleibe hier eingeloggt.

Okay, wenn es denn einmalig wäre (oder zumindest periodisch).

Wechsel ich nach der Authentifizierung am Handy wieder zurück an den PC, muss ich dort wieder den Auth-Code eingeben und wechsel ich dann wieder zurück ans Handy, geht das Spiel dort von vorne los. Für diejenigen, die viel hin und her wechseln (eben weil sie von der Arbeit aus mit dem Handy reingucken), ist das m.E. auf Dauer arg nervig. "Merkt" sich das Plugin nicht die bereits authentifizierten Geräte, um diesem permanenten Hin-und-Her vorzubeugen?
August 4, 2019 at 7:30 AM
Author

Hallo, das kann ich so nicht reproduzieren. Mglw. hast du das permanente Speichern von Cookies deaktiviert.
August 5, 2019 at 3:52 PM

Cookies sind aktiviert, das ist nicht das Problem. Über die gemerkten Geräte kommt aber auch niemals eine eMail, allgemein kommt nie eine Mail nach der Anmeldung bei Eingabeerfordernis der 2FA (oder würde das nur i.V.m. Yubi funktionieren?).
August 5, 2019 at 4:21 PM
Author

Bekommst du überhaupt Mails von deinem Webserver?
August 6, 2019 at 6:13 PM

Aber natürlich! Da die benutzerseitigen Benachrichtigungseinstellungen auch keine Deaktivierung einer Benachrichtigung über die 2FA zulassen, muss sich wohl irgendwas "beißen", wodurch die Funktionalität nicht einwandfrei ist. - Anders lässt es sich m.E. nicht erklären.
August 6, 2019 at 6:21 PM
Author

Die Geräteverifizierung ist aber schon für die entsprechenden Benutzergruppen aktiviert, oder?
July 19, 2019 at 2:44 PM

Erstmal vielen Dank für ein Plugin, das eigentlich Standard sein sollte... Eine Kleinigkeit ist mir allerdings aufgefallen: Bei Debian Servern mit einer Standard Debian 9 Installation (wird aktuell noch mit Sicherheitspatches versorgt) ist die PHP-Version zu alt. Ein guter Grund für ein rasches Update... Aber vielleicht erspart dieser Hinweis jemandem eine längere Suche nach kryptischen Fehlermeldungen.
July 19, 2019 at 3:26 PM
Author

Hi, vielen Dank für das Feedback. Aus diesem Grund steht in den Voraussetzungen PHP 7.2+ :)
June 24, 2019 at 4:35 PM

Heisst es nicht Authentifizierung?
June 24, 2019 at 5:06 PM
Author

Korrekt ist beides, siehe auch https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung
June 24, 2019 at 5:29 PM

Hmm, okay. Ja verwirrend :D Danke für die Information!

Customers Who Bought This Plugin Also Bought

  1. Community Bot

    • Darkwood.Design
    • September 21, 2023 at 9:27 AM
    • (6)
    New The 'Swiss Knife' for your community.
    EUR 19.99 EUR 17.99
    • Like 38
    • 3k Downloads
    • 1k Purchases

  2. Donation Plugin (Paypal, PSC, Bank Transfer)

    • Darkwood.Design
    • September 20, 2023 at 12:22 PM
    • (1)
    New The original Donation Plugin (Paypal, PSC, Bank Transfer)
    WoltLab Cloud
    EUR 19.99 EUR 16.99
    • Like 111
    • 6.2k Downloads
    • 1.5k Purchases

  3. WoltLab Suite: Ticket System

    • Darkwood.Design
    • September 12, 2023 at 10:42 AM
    New An comfortable ticket system for reporting support tickets and software bugs.
    WoltLab Cloud
    EUR 49.99
    • Like 20
    • 2.3k Downloads
    • 664 Purchases

  4. Discord-Sync

    • Hanashi
    • September 12, 2023 at 10:17 AM
    New With this plugin you can synchronize you user groups between woltlab suite core and discord.
    WoltLab Cloud
    EUR 29.99 EUR 23.99
    • Like 39
    • 2.2k Downloads
    • 528 Purchases