Schnellerer Login mit oneclicklogin
Was macht oneclicklogin?
- Die neue Option in den Benutzerdatensätzen, mit der sich der 1-Click-Login aktivieren lässt.
- Alle Benutzer mit aktivem 1-Click-Login und hinterlegter OpenID werden aufgelistet.
oneclicklogin fügt eine neue Option für Backendbenutzer hinzu um den 1-Click-Login für einen bestimmten Benutzer zu aktivieren. Standardmäßig ist diese Option für alle Benutzer deaktiviert.
Auf dem Backend-Login-Screen erscheint jetzt eine Liste aller Benutzer, die 1-Click-Login aktiviert und eine OpenID hinterlegt haben. Beim Klick auf einen Benutzernamen wird versucht sich mit der entsprechenden OpenID einzuloggen. Der Login funktioniert also mit nur einem Klick.
Ist das sicher?
Die Benutzernamen und die OpenID-Identifier der aktivierten Benutzer können von jedem eingesehen werden, der den Backend-Login öffnen kann. Einerseits kann es -je nach Projekt- unerwünscht sein öffentlich zu zeigen welche Benutzer es gibt, andererseits geben diese Informationen Hackern Ansatzpunkte für einen Angriff. Da er die Benutzername und OpenID kennt, kann er bei jedem Benutzer den Login durch Erraten des TYPO3-Passwortes oder des OpenID-Passworts versuchen.
Jedoch ist die Wahl von sicheren Passwörtern unabhängig von dieser Extension sehr wichtig - wenn das beachtet wird, stellt diese Extension kein Sicherheitsproblem dar.
Trotzdem möchte ich vorerst vor einem Einsatz auf Live-Systemen warnen. Die Extension ist noch neu und noch keinen breiten Tests unterzogen worden. Ich bin dankbar für jedes Test-Feedback und jede Meinung bezüglich der Sicherheit dieser Login-Methode.
TER: http://typo3.org/extensions/repository/view/oneclicklogin/current/
Forge: http://forge.typo3.org/projects/show/extension-oneclicklogin