Add TOTP-based Multi-Factor Authentication (MFA) for local users

Global MFA toggle in Security settings, QR code setup on first login,
6-digit TOTP verification on subsequent logins. Azure AD users exempt.
Admins can reset user MFA. TOTP secrets encrypted at rest with Fernet.

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>

static/lang/de.json

@@ -225,6 +225,29 @@
     "cancel": "Abbrechen",
     "createUser": "Benutzer erstellen"
   },
+  "mfa": {
+    "title": "Multi-Faktor-Authentifizierung (MFA)",
+    "enableMfa": "MFA fuer alle lokalen Benutzer aktivieren",
+    "mfaDescription": "Wenn aktiviert, muessen lokale Benutzer sich nach der Passworteingabe mit einer TOTP-Authenticator-App verifizieren. Azure AD Benutzer sind nicht betroffen.",
+    "saveMfaSettings": "MFA Einstellungen speichern",
+    "yourTotpStatus": "Ihr TOTP Status",
+    "totpActive": "Aktiv",
+    "totpNotSetUp": "Nicht eingerichtet",
+    "disableMyTotp": "Mein TOTP deaktivieren",
+    "enterCode": "Geben Sie Ihren 6-stelligen Authenticator-Code ein",
+    "verify": "Verifizieren",
+    "backToLogin": "Zurueck zum Login",
+    "scanQrCode": "Scannen Sie diesen QR-Code mit Ihrer Authenticator-App",
+    "orEnterManually": "Oder geben Sie diesen Schluessel manuell ein:",
+    "verifyAndActivate": "Verifizieren & Aktivieren",
+    "resetMfa": "MFA zuruecksetzen",
+    "confirmResetMfa": "MFA fuer '{username}' zuruecksetzen? Der Benutzer muss seinen Authenticator beim naechsten Login neu einrichten.",
+    "mfaResetSuccess": "MFA fuer '{username}' zurueckgesetzt.",
+    "mfaDisabled": "Ihr TOTP wurde deaktiviert.",
+    "mfaSaved": "MFA Einstellungen gespeichert.",
+    "invalidCode": "Ungueltiger Code. Bitte versuchen Sie es erneut.",
+    "codeExpired": "Verifizierung abgelaufen. Bitte melden Sie sich erneut an."
+  },
   "common": {
     "loading": "Laden...",
     "back": "Zurueck",
@@ -244,7 +267,7 @@
     "disabled": "Deaktiviert"
   },
   "errors": {
-    "networkError": "Netzwerkfehler \u2014 Server nicht erreichbar.",
+    "networkError": "Netzwerkfehler — Server nicht erreichbar.",
     "sessionExpired": "Sitzung abgelaufen.",
     "requestFailed": "Anfrage fehlgeschlagen.",
     "serverError": "Serverfehler (HTTP {status}).",

static/lang/en.json

@@ -225,6 +225,29 @@
     "cancel": "Cancel",
     "createUser": "Create User"
   },
+  "mfa": {
+    "title": "Multi-Factor Authentication (MFA)",
+    "enableMfa": "Enable MFA for all local users",
+    "mfaDescription": "When enabled, local users must verify with a TOTP authenticator app after entering their password. Azure AD users are not affected.",
+    "saveMfaSettings": "Save MFA Settings",
+    "yourTotpStatus": "Your TOTP Status",
+    "totpActive": "Active",
+    "totpNotSetUp": "Not set up",
+    "disableMyTotp": "Disable my TOTP",
+    "enterCode": "Enter your 6-digit authenticator code",
+    "verify": "Verify",
+    "backToLogin": "Back to login",
+    "scanQrCode": "Scan this QR code with your authenticator app",
+    "orEnterManually": "Or enter this key manually:",
+    "verifyAndActivate": "Verify & Activate",
+    "resetMfa": "Reset MFA",
+    "confirmResetMfa": "Reset MFA for '{username}'? They will need to set up their authenticator again on next login.",
+    "mfaResetSuccess": "MFA reset for '{username}'.",
+    "mfaDisabled": "Your TOTP has been disabled.",
+    "mfaSaved": "MFA settings saved.",
+    "invalidCode": "Invalid code. Please try again.",
+    "codeExpired": "Verification expired. Please log in again."
+  },
   "common": {
     "loading": "Loading...",
     "back": "Back",