secure_login

+Pluswerk TYPO3 Security Extension: Sichere Anmeldung

Diese Erweiterung überprüft Frontend und Backend-Logins auf Brute-Force-Angriffe. Sie können auch Brute-Force-Angriffe auf andere Eingänge, wie Seriennummerneingaben oder Couponcodeeingaben, erkennen und vermeiden.

Verabschieden Sie sich von den Try-Out-Hackern!

Vorteile

• erweiterbar
• klein
• sicherheitsverbesserung
• einfach installieren und voreingestellte Konfiguration verwenden

Identifizierung von Brute-Force-Angriffen

Ein Brute-Force-Angriff wird nach den folgenden Regeln identifiziert:

1. Eine IP probiert viele verschiedene Benutzer aus
2. Ein Benutzer probiert viele verschiedene Passwörter aus

Wird ein Brute-Force-Angriff festgestellt, wird die angreifende IP (im ersten Fall) oder der Benutzer (im zweiten Fall) gesperrt über einen bestimmten Zeitraum.

Installation

Installieren Sie die TYPO3 Extension über composer (empfohlen) oder installieren Sie die Extension über TER (nicht mehr empfohlen).

Composer-Installation:

composer erfordert pluswerk/secure-login

Standardkonfiguration

Wenn keine Einstellungen vorgenommen werden, sperrt die Erweiterung Benutzer oder IPs für zwei Stunden, wenn sie mehr als 5 fehlgeschlagene Versuche haben in einer Stunde.

Konfiguration (optional)

// Standardkonfiguration: Überschreibe dies in deiner eigenen localconf.php
$GLOBALS['TYPO3_CONF_VARS']['EXTCONF']['secure_login'] = [
    defaultBlockingConfiguration' => [ [
        FE' => \Pluswerk\SecureLogin\Configuration\BlockingConfiguration::createConfig(),
        BE' => \Pluswerk\SecureLogin\Configuration\BlockingConfiguration::createConfig(),
    ],
];

Fügen Sie die folgenden Konfigurationen hinzu:

• maxFailedAttempts: Maximale Anzahl von fehlgeschlagenen Anmeldungen über einen bestimmten Zeitraum 'timeRangeInSeconds'.
• timeRangeInSeconds: Zeitspanne (in Sekunden), über die 'maxFailedAttempts' gezählt werden.
• blockingPeriodInSeconds: Zeitspanne (in Sekunden), für die der Benutzer oder die IP gesperrt ist.

Beispiel:

ein Benutzer wird für'blockingPeriodInSeconds' Sekunden gesperrt, wenn er'maxFailedAttempts' falsche Passwörter ausprobiert in der Zeitspanne von'timeRangeInSeconds' Sekunden.

Erweiterung erweitern

Sicherheitsmeldungen anzeigen

Die konfigurierte Sperre ist immer aktiv. Um Sicherheitsmeldungen im Frontend anzuzeigen, fügen Sie die folgenden Zeilen zu Ihrer Vorlage hinzu:

<!-- benutze Namensraum -->
<div xmlns:sl="http://typo3.org/ns/Pluswerk/SecureLogin/ViewHelpers"> 
  <!-- Inhalt geht hierhin -->

  <f:if condition="{sl:securityMessage()}">
    <!-- fluid Platzhalter für Sicherheitsmeldungen -->
    <p><sl:securityMessage/></p></p>
  </f:if> if>

  <!-- Inhalt geht hierhin -->
</div> 

Protokollierung von Fehlversuchen

Dieses Beispiel protokolliert fehlgeschlagene Anmeldungen:

$formInDatabase = $this->formRepository->findBySerialNumber($form->getSerialNumber()) 
if (count($formInDatabase) > 0) { { 
  /** @var \AUS\AusAusSicherheit\Konfiguration\BlockingConfiguration $blockingConfiguration */ 
  $blockingConfiguration = \Pluswerk\SecureLogin\Configuration\BlockingConfiguration::createConfig();

  /** @var AuthSecurityService $authSecurityService */
  $authSecurityService = GeneralUtility::makeInstance(AuthSecurityService::class);
  $authSecurityService->logUserPasswordAuthentifizierungFailed($username, $password);
}