Begrenzung der zulässigen Versuche für Logins in TYPO3 v11

Flexible Anmeldebeschränkungen

TYPO3 v11 wird mit einer neuen Funktion namens „Rate Limiting“ ausgeliefert. Diese Funktion ist überall dort nützlich, wo du eine übermäßige Nutzung verhindern oder die Verfügbarkeit eines Dienstes aufrechterhalten willst - und sie macht sich besonders gut, wenn du die Anmeldeversuche fürs TYPO3-Backend beschränken willst. Frühere TYPO3-Versionen hatten eine strenge „Warte 5 Sekunden“-Grenze, bevor du dich nach der Eingabe eines falschen Benutzernamens oder Passworts erneut anmelden konntest.

Das war nicht nur lästig, wenn du einen einfachen Tippfehler in deinem Benutzernamen hattest (fünf Sekunden sind eine lange Wartezeit!), sondern blockierte auch aktiv den Server für fünf Sekunden. Böswillige könnten dieses Zeitfenster ausnutzen, um einen Denial-of-Service-Angriff zu starten (hoffentlich hast du eine Web Application Firewall für solche Fälle eingerichtet).

Wir freuen uns, dass dieses Verfahren nun der Vergangenheit angehört. Die Ratenbegrenzung von TYPO3 v11 basiert auf der Rate Limiter-Komponente von Symfony und erlaubt standardmäßig nur fünf fehlgeschlagene Anmeldeversuche von derselben IP-Adresse innerhalb von 15 Minuten. Das bedeutet, dass deine Nutzer/innen, wenn sie sich bei der Passworteingabe vertippt haben, dies sofort korrigieren und mit ihrer Arbeit fortfahren können. Das bedeutet auch, dass du dich auf die Standard-Sicherheitseinstellungen deines Systems verlassen kannst.

Wie Du feststellen kannst, ob du mit TYPO3 v11 arbeitest? Versuche einfach mal, dich mit einem falschen Benutzernamen einzuloggen. Die Funktion zur Ratenbegrenzung wird dir dann eine Fehlermeldung für die fehlgeschlagene Anmeldung anzeigen.

Konfiguration

Wie du es von TYPO3 gewohnt bist, ist alles konfigurierbar. Website-Administratoren können die Standardwerte für die Anzahl der Anmeldeversuche ändern.

Verwende als Systemverwalter das Modul „Admin Tools -> Settings“, wähle „Configure Installation-Wide Options“ und suche nach „Rate Limit“.

* [BE][loginRateLimit] = 5

Maximale Anzahl von Anmeldeversuchen für das Zeitintervall in [BE][loginRateLimitInterval], bevor weitere Anmeldeanfragen abgelehnt werden. Wenn du diesen Wert auf „0“ setzt, wird die Begrenzung der Login-Rate deaktiviert.

* [BE][loginRateLimitInterval] = 15 minutes

Zulässiges Zeitintervall für das konfigurierte Ratenlimit. Individuelle Werte mit PHP-relativen Formaten können in AdditionalConfiguration.php festgelegt werden.

* [BE][loginRateLimitIpExcludeList]

Eine Liste von IP-Adressen, die von der Ratenbegrenzungsfunktion ausgeschlossen sind. Dies ist sehr nützlich für IP-Adressen, die aus einem internen Netzwerk eines Unternehmens oder einer Organisation stammen.

Du kannst diese Einstellungen auch in der Datei „LocalConfiguration.php“ deiner Installation anpassen, damit du alles in einsatzfähigen Setups konfigurieren kannst.

Erfahre mehr

Wie diese Anwendung funktioniert, erfährst du in der Dokumentation Rate limiting for failed logins. 

Aber das ist noch nicht alles! Entwickler können die Ratenbegrenzungs-API von TYPO3 nutzen, um die Ratenbegrenzung an vielen anderen Stellen in ihrer TYPO3-Installation zu implementieren. Sprich mit uns über die Möglichkeiten zur Einführung von Ratenbegrenzung in deiner TYPO3 Installation.

Pro-Tipp: Schau dir unbedingt noch mehr Sicherheitsmaßnahmen in TYPO3 v11 an, wie z.B. die brandneue integrierte Multi-Faktor-Authentifizierung!