Sitekey/Secretkey generieren

Für die Zwei-Faktor-Authentifizierungs-Komponente sind die Keys, welche sich generiert werden müssen, elementarer Bestandteil.

Dabei benötigt die Komponente von sich aus einen Sitekey, mit welchem die Website überprüft werden kann und mit welchem eine Zwei-Faktor-Challenge gesendet werden kann. Dieser Key liegt jedoch offen auf der Website.

Sollte der Code versendet worden sein und die Challenge korrekt ausgefüllt wurde vom User, ist es möglich mittels des Secretkeys die Korrektheit der Benutzereingaben zu überprüfen. Dieser Secretkey liegt serverseitig und soll nur zum finalen Verifizieren der Challenge genutzt werden.

Diese zwei verschiedenen Keys sind sicherheitsrelevant, da der Websitebesucher die Verifizierung der Challenge fälschen könnte.

Um sich solche Keys für die Komponente zu generieren, müssen folgende Schritte befolgt werden:

Auf der Website: https://twofa.berlinsms.de/ Anmelden bzw. Registrieren.

  1. Über die Sidebar auf die TwoFA Seiten, bzw. über den Link: https://twofa.berlinsms.de/keygen auf die Seite navigieren.
  2. Sollte noch kein Eintrag existieren: Oben links auf Eintrag hinzufügen klicken.
  3. Hier können Sie nun im angezeigten Formular ihre Website hinzufügen:
    • Name: geben Sie Ihrem Eintrag einen Namen, unter welchem Sie die Webseiten verwalten möchten
    • 2FA-Typ: geben Sie an, wie sich Ihre Benutzer verifizieren sollen. Aktuell wird nur Optin per SMS unterstützt.
  4. Captcha-Typ: Um zusätzliche Spamschutzsicherheit zu gewährleisten, muss vor dem versenden einer SMS immer ein Captcha ausgefüllt werden. Zurzeit unterstützen wir zwei Captcha Typen: ReCaptcha (Google) und Hcaptcha
  5. Captcha Sitekey/Secretkey: hier müssten Sie für Ihre Website ein passendes Captcha registrieren. (https://www.google.com/recaptcha/, bzw. https://www.hcaptcha.com/). Wenn Sie Ihre Website bei den Captchaservice Ihrer Wahl hinzugefügt haben, müssen Sie die generierten Captchakeys hier eingeben.
  6. Unter dem TwoFA keys werden anschließend ihre generierten Keys angezeigt. Diese sind nach dem Speichern verfügbar. Wichtig: Sie müssen vorher unter diesem Feld noch Ihre Websites hinzufügen.
  7. Websites: Über den “Website hinzufügen” Button können Sie einen Website eintrag hinzufügen. Hier einfach die URL Ihrer Website hinzufügen, jedoch ohne zusätzliche Pfade. Es wird auch zwischen Subdomains unterschieden.

    Bsp.: Website URL: https://www.berlinsms.de/ → Was Sie eingeben müssen: www.berlinsms.de
    • Sollten Sie alles eingeben haben wie oben beschrieben, können Sie nun Ihre Konfiguraton über den “Konfiguration Speichern” Button speichern.
    • Nach dem Speichern sollte Ihr Eintrag in der oben angezeigten Liste erscheinen. Unter dem Formularpunkt “TwoFA Keys” können Sie nun Ihren generierten TwoFA Secret- und Sitekey auslesen.
    • Diese Konfiguration können Sie natürlich auch im Nachhinein nach Belieben bearbeiten. Sie können Einträge löschen, weitere neue Einträge erstellen und bestehende Einträge bearbeiten.

Nun können Sie mit der Implementierung auf Ihrer eigenen Website weitermachen und die hier erstellten Keys verwenden.