Zwei-Faktor-Authentifizierung
- Jae-in Moon
- Nicole Burri
Um die Sicherheit gegenüber Passwortangriffen zu erhöhen, empfiehlt es sich einen zweiten Faktor (2FA) für das Login einzurichten. Nach dem Passwort wird dann zusätzlich ein zeitlich begrenztes Einmalpasswort (TOTP) vom User abgefragt.
Diese Zusatzoption kann durch Performa freigeschaltet werden
Neben dem Passwort bräuchte ein potentieller Angreifer in diesem Fall also auch noch Zugriff auf das Gerät, welches per Authenticator App die TOTPs generiert.
Idealerweise wird hierfür ein zweites Gerät (z.B. Smartphone) verwendet. Aber auch der Einsatz eines Passwortmanagers mit TOTP-Funktionalität auf demselben Gerät ist möglich.
Einrichtung durch Benutzer
Initialen ganz oben rechts anwählen
'2FA einrichten' auswählen
Anweisungen befolgen
Einloggen mit 2FA
Ab jetzt wird nach dem gewohnten Username/Passwort Login ein TOTP-Eingabefeld erscheinen, in das bei jedem Login ein aktueller TOTP-Code aus der Authenticator App eingegeben werden muss.
2FA zurücksetzen
Die Rücksetzung eines zweiten Faktors für einen Benutzer ist ein datenschutzkritischer Vorgang. Sollte dieser durch einen Kundenadministrator durchgeführt werden, ist unbedingt sicherzustellen, dass es sich bei der antragstellenden Person tatsächlich um den fraglichen Benutzer handelt.
Sollte der zweite Faktor aus irgendwelchen Gründen zurückgesetzt werden müssen - beispielsweise, falls das zweite Gerät mit der zur Registrierung verwendeten Authenticator App verloren geht - gibt es zwei Methoden zur Wiederherstellung.
Über den bei der Registrierung ausgegebenen Recovery-Key durch den Benutzer selbst
Durch Kundenadministratoren über die Benutzerverwaltung:
Erzwingen von 2FA für bestimmte Rollen
Neben dem freiwilligen Verwenden von 2FA, kann der Einsatz auch über die Rolle des Benutzers vorgeschrieben werden. Das Performa-Team bietet hier Unterstützung an.
Der Benutzer wird dann nach dem Login automatisch zum 2FA-Setup geführt und kann dies nicht abbrechen oder umgehen.