Commit 2e2e5f30 authored by mahogony's avatar mahogony Committed by mh
Browse files

First part of the tfa description

parent c6a4c958
......@@ -2,6 +2,29 @@
title: Zwei Faktor Authentifizierung
weight: 85
---
Um dein Konto besser vor Identitäsdiebstal zu schützen, kannst du die zwei Faktor Authentifizierung aktivieren. Dadurch wird die Anmeldung für dein Konto mit einem zweiten Faktor abgesichert. Der zweite Faktor kann ein durch eine App generierter PIN oder ein Hardware-Token sein. Eine Anmeldung ist dann nur noch möglich, wenn eine Angreiffer*in Zugriff auf dein Passwort und den zusätzlichen Faktor hat.
### Funktion
Wir nutzen Time-based One-time Password TOTP (RFC 6238) als Verfahren für unsere zwei Faktor Authentifizierung. Dabei tauschen Server und User zuerst ein gemeinsames Geheimnis aus. Neben dem gemeinsamen Geheimnis nutzen Server und Client den gleichen Zeitcode um alle 30 Sekunden mittels der hmac-sha1 hash Funktion ein zufälliges Token zu generieren.
Wenn also beide Parteien das gleiche Geheimis kennen und ihre Zeiteinstellungen synchron sind, können sie offline alle 30 Sekunden dieselbe Berechnung durchführen und zum selben Ergebnis kommen. So kann der Server prüfen, ob das zweite Passwort richtig ist.
### Voraussetzung für 2FA
Um die 2FA zu nutzen brauchst du einen zweiten Faktor. Dies kann ein Mobiltelefon mit der APP FreeOTP sein oder ein Hardware-Token wie z.B. Yubikey.
Um die 2FA zu aktivieren ist zwingend eine Recovery-Adresse notwendig. Diese wird verwendet, um dein Account zurückzusetzen, falls du dein zweiter Faktor (z.B. dein Mobiltelefon) verlierst. Falls du aus Gründen der Anonymität keine Recovery Adresse verwenden möchtest, kann dein Account im Fall eines Verlustes des zweiten Faktors nicht wieder hergestellt werden. Möchtest du trotzdem 2FA verwenden, dann kannst du norecovery@immerda.ch als Recovery Adress verwenden.
### 2FA Aktivieren
Navigiere in deiner Accountverwaltung zu [Two Factor Authentication](https://users.immerda.ch/tfa). Du musst ein Disposable codes hinzufügen. Dafür brauchst du die App FreeOTP ([Fdroid](https://f-droid.org/en/packages/org.fedorahosted.freeotp/), [Playstore](https://play.google.com/store/apps/details?id=org.fedorahosted.freeotp), [AppStore](https://apps.apple.com/us/app/freeotp-authenticator/id872559395)).
### Anonymität
Der zweite Faktor verbessert deine Sicherheit, kann aber ungewünschte Auswirkungen auf deine Anonymität haben. Da du eine Recovery-Adress hinterlegst, sind Zusammenhänge über deine eigentliche Adresse hinaus ersichtlich.
Falls du die App FreeOTP nutz, ist das verwendete Mobiltelefon an deine Adresse gekoppelt. Diese Koppelung ist in der App hinterlegt. Damit ist eindeutig ersichtlich, dass der/die Benutzer*in der App mindestens einmal ZUgriff auf das Konto hatte. Wir arbeiten aktuell daran dies zu verbessern. Als Workaround sollte bis dahin nicht der Qr-Code gescannt, sondern die Daten manuell übertragen werden. Dadurch wird verhindert, dass die Emailadresse mit dem entsprechenden Code in der App verbunden wird.
Unter der Zwei-Faktor Authentifizierung (two factor authentification tfa) versteht
man das Feststellen der Identität einer Nutzerin für den Zugriff auf ein Konto durch
......
Markdown is supported
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment