Multi-Faktor-Authentifizierung — TOTP / FIDO2 / YubiKey

Jeden Login absichern — ohne Ihr Team auszubremsen.

2fabyakyras ist das umfassendste MFA-Modul für Dolibarr. Es unterstützt drei branchenübliche zweite Faktoren — TOTP (Google Authenticator, Authy, FreeOTP), FIDO2/WebAuthn-Passkeys (Windows Hello, Touch ID, Hardware-Keys) und YubiKey OTP — und lässt jeden Nutzer die passende Methode wählen, innerhalb der vom Administrator festgelegten Grenzen.

Warum 2fabyakyras?

• Drei Methoden, ein Modul. TOTP, FIDO2-Passkeys, YubiKey OTP — der Admin bestimmt, was erlaubt ist.
• Granulare Durchsetzung. MFA global, nach Rolle oder pro Benutzer erzwingen.
• Geführtes Onboarding. Integrierter QR-Code, persönliche Wiederherstellungscodes, Admin-Reset. Weniger Support-Aufwand.
• „Dieses Gerät merken". Konfigurierbare Dauer (Standard: 30 Tage). Verschlüsseltes Cookie, an IP und User-Agent gebunden, als Hash gespeichert.
• Vollständige Audit-Protokolle. Jeder Versuch wird mit Zeitstempel, IP und Browser protokolliert. Protokolle sind suchbar und exportierbar. Bei verdächtiger Aktivität wird automatisch eine E-Mail-Benachrichtigung ausgelöst.

Technische Details

• TOTP-Secrets verschlüsselt gespeichert (AES-256-CBC, eindeutiger IV pro Secret).
• Anti-Replay-Schutz: Jeder TOTP-Code ist innerhalb seines 30-Sekunden-Fensters nur einmal verwendbar.
• WebAuthn-Klonerkennung: Ein sign_count-Rückgang führt zur sofortigen Ablehnung (W3C WebAuthn §7.2).
• Mehrere WebAuthn-Schlüssel pro Benutzer unterstützt.
• Doppelter CSRF-Schutz (nativer Dolibarr-Token + dedizierter 2FA-Token).
• Session-ID-Rotation nach jeder erfolgreichen Authentifizierung.
• Secure/HttpOnly/SameSite=Strict-Cookies, no-store-Header auf allen sensiblen Seiten.
• YubiKey OTP-Validierung über YubiCloud (HMAC-SHA1 signiert, Nonce verifiziert).
• Über 60 Sprachen inklusive RTL (Arabisch, Hebräisch, Persisch, Urdu).
• Kompatibel mit Dolibarr v18 bis v23.

Rollentrennung

Administratoren verwalten Methoden, Richtlinien und Audit-Protokolle — können aber die 2FA eines Benutzers weder lesen noch deaktivieren noch umgehen. Jeder Nutzer bleibt alleiniger Herr seines zweiten Faktors.