Commit da439308 authored by mh's avatar mh
Browse files

wording

parent 9d55a989
---
title: Zwei Faktor Authentifizierung
title: Zwei-Faktor Authentifizierung
weight: 85
---
Um dein Konto besser vor Identitäsdiebstal zu schützen, kannst du die zwei Faktor Authentifizierung aktivieren. Dadurch wird die Anmeldung für dein Konto mit einem zweiten Faktor abgesichert. Der zweite Faktor kann ein durch eine App generierter PIN oder ein Hardware-Token sein. Eine Anmeldung ist dann nur noch möglich, wenn zusätzlich zum Passwort der zusätzliche Faktor eingeben wird.
Um dein Konto besser zu schützen, kannst du die Zwei-Faktor Authentifizierung (2FA) aktivieren. Dadurch wird die Anmeldung für dein Konto mit einem zweiten Faktor abgesichert. Der zweite Faktor kann ein durch eine App generierter PIN oder ein Hardware-Token sein. Eine Anmeldung ist nur noch möglich, wenn neben deinem Passwort der zusätzliche Faktor eingeben wird.
Durch die Zwei-Faktor Authentifizierung wird die Sicherheit eines Kontos erhöht, in dem für den Zugriff damit nicht mehr nur ein Passwort benötig wird. Die Angreiferin muss nun zusätzlich eine weitere Komponente für den Zugriff vorliegen haben, die in der Regel physischer Art ist. Ein typisches Beispiel hierfür ist der TAN-Scanner beim E-Banking. Auch wenn das Login mit Passwort irgendwo publiziert wurde, kann man sich ohne den TAN-Scanner oder das registrierte Smartphone nicht auf das E-Banking-Konto einloggen.
Eine Angreiferin muss nun zusätzlich eine weitere Komponente für den Zugriff vorliegen haben, die in der Regel physischer Art ist. Ein typisches Beispiel hierfür ist der TAN-Scanner beim E-Banking. Auch wenn das Login mit Passwort irgendwo publiziert wurde, kann man sich ohne den Hardware-Token oder das registrierte Smartphone nicht auf deinem Konto einloggen.
## Voraussetzung für 2FA
Um die 2FA zu nutzen brauchst du einen zweiten Faktor. Dies kann ein Mobiltelefon mit der [App FreeOTP+](https://github.com/helloworld1/FreeOTPPlus) sein, ein Passwortmanager oder ein Hardware-Token wie z.B. [SoloKeys](https://static.solokeys.com/), [Nitrokey](https://www.nitrokey.com/) oder [Yubikey](https://www.yubico.com/).
Um die 2FA zu nutzen brauchst du einen zweiten Faktor. Dies kann ein Mobiltelefon mit der [App FreeOTP+](https://github.com/helloworld1/FreeOTPPlus) sein, ein Passwortmanager oder ein Hardware-Token wie z.B. [SoloKeys](https://solokeys.com/), [Nitrokey](https://www.nitrokey.com/) oder [Yubikey](https://www.yubico.com/).
Um die 2FA zu aktivieren ist zwingend eine [Wiederherstellungsadresse]({{< ref "/account/recovery" >}}) notwendig.
**Wichtig:** Sobald du die Zwei-Faktor Authentizifierung erfolgreich konfiguriert hast, musst du **jedem Login** auf dein immerda-Konto auch deinen zweiten Faktor verwenden! Dies funtioniert **nur** in einem Browser, alle anderen Programme (wie bspw. dein Email-Client) müssen sich ab sofort - oder besser schon vorher - mit einem [Applikations-Passwort]({{< ref "/account/app-password" >}}) anmelden. Du wirst dein Konto-Passwort nicht mehr in anderen Programmen verwenden für die Anmeldung verwenden können.
**Wichtig:** Sobald du die Zwei-Faktor Authentizifierung erfolgreich konfiguriert hast, musst du bei **jedem Login** auf dein immerda-Konto auch deinen zweiten Faktor verwenden! Dies funtioniert **nur** in einem Browser, alle anderen Programme (wie bspw. dein Email-Client) müssen sich ab sofort - oder besser schon vorher - mit einem [Applikations-Passwort]({{< ref "/account/app-password" >}}) anmelden. Du wirst dein Konto-Passwort nicht mehr in anderen Programmen für die Anmeldung verwenden können.
## 2FA Aktivieren
Navigiere in deiner Accountverwaltung zu [Two Factor Authentication](https://users.immerda.ch/tfa). Hier kannst du die 2FA aktivieren, verschiedene Geräte für Einmalcodes (TOTP) hinzufügen oder Hardware-Tokens aktivieren.
Navigiere in deiner Accountverwaltung zu [Zwei-Faktor Authentifizierung](https://users.immerda.ch/tfa). Hier kannst du die 2FA aktivieren, verschiedene Geräte für Einmalcodes (TOTP) hinzufügen oder Hardware-Tokens aktivieren.
Befolge hierfür einfach die Schritte unter Zwei-Faktor Authentifzierung in der Kontoverwaltung. Im folgendem geben wir noch eine etwas detailiertere Übersicht, wie du Einmalcodes einrichten kannst.
Du kannst eine beliebige Anzahl von Einmalcodes oder Hardware-Token einrichten. Damit die Zwei-Faktor Authentifizierung für dein Konto aktiviert ist muss mindestens ein Einmalcode eingerichtet sein.
Befolge hierfür einfach die Schritte unter Zwei-Faktor Authentifzierung in der Kontoverwaltung. Im folgendem geben wir noch eine etwas detailiertere Übersicht, wie du die Zwei-Faktor Authentifizierung einrichten kannst.
### Einmalcodes
Einmalcodes - auch TOTP genannt - ist ein generierter PIN, der sich immer wieder ändert und nur einmal verwendet werden kann. Diese Einmalcodes werden dir üblicherweise durch eine App auf deinem Mobiltelefon oder einem Programm wie einem Passwortmanager angezeigt und werden nach erfolgreicher Authentifizierung zusätzlich um den Anmeldevorgang abzuschliessen benötigt.
Einmalcodes - auch TOTP genannt - ist ein generierter PIN, der sich immer wieder ändert und nur einmal verwendet werden kann. Diese Einmalcodes werden dir üblicherweise durch eine App auf deinem Mobiltelefon oder einem Programm wie einem Passwortmanager angezeigt.
Bei der Einrichtung von Einmalcodes musst du diesen zwingend ein erstes Mal zusammen mit deinem Passwort erfolgreich nutzen, ansonsten wird dieser nicht aktiviert.
#### Mobiltelefon
......@@ -30,14 +34,14 @@ Es ist empfehlenswert die beiden Faktoren physisch zu trennen. Dies kann beispie
1. Installiere die App auf deinem Gerät.
2. Füge einen neuen Einmalcode hinzu.
3. In der Kontoverwaltung wird dir bei der aktivierung von Einmalcodes ein QR Code resp. gemeinsames Geheimnis angezeigt.
3. Scanne den QR-Code und speichere den Einmalcode
3. In der Kontoverwaltung wird dir bei der Aktivierung von Einmalcodes ein QR Code resp. gemeinsames Geheimnis angezeigt.
3. Scanne den QR-Code und speichere den eingerichteten Einmalcode ab.
4. Diesen ersten Code gibts du zusammen mit einem Namen und deinem Konto-Passwort in der Kontoverwaltung ein und klickst auf *Erstellen*.
5. Damit ist nun dieser Einmalcode aktiviert und kann nun verwendet werden.
#### Passwortmanager
Ein Passwortmanager wie [KeepassXC](https://keepassxc.org/) bringt die Unterstützung für Einmalcodes standardmässig mit, andere wie bspw. [Keepass](https://keepass.info/) benötigen dazu ein [Plugin](https://keepass.info/plugins.html). Wenn ein Passwortmanager zur Speicherung des zweiten Faktors verwendet wird, [empfiehlt](https://keepassxc.org/docs/#faq-security-totp) sich eine zweite Keepass DB mit einem zweiten Passwort für die Einmalcodes.
Ein Passwortmanager wie [KeepassXC](https://keepassxc.org/) bringt die Unterstützung für Einmalcodes standardmässig mit, andere wie bspw. [Keepass](https://keepass.info/) benötigen dazu ein [Plugin](https://keepass.info/plugins.html). Wenn ein Passwortmanager zur Speicherung des zweiten Faktors verwendet wird, [empfiehlt](https://keepassxc.org/docs/#faq-security-totp) sich eine zweite Keepass DB mit einem zweiten Passwort für die Einmalcodes, damit dein Passwort und der zweite Faktor weiterhin voneinander getrennt sind.
1. In KeepassXC erstellst du bspw. einen Eintrag für dein Konto.
2. In der Kontoverwaltung wird dir bei der aktivierung von Einmalcodes ein QR Code resp. gemeinsames Geheimnis angezeigt.
......@@ -50,29 +54,31 @@ Die häufigste Ursache von Problemen sind nicht synchronisierte Datumseinstellun
### Hardware-Token
Hardware-Tokens können erst hinzugefügt werden, wenn bereits ein Einmalcode existiert. Wir verwenden WebAuthn als Authentifizierungsverfahren für Hardware-Tokens. Getestet wurden Somu-Keys und Yubikeys, grundsätzlich sollten aber alle Varianten, die WebAuthn unterstützen verwendet werden..
Hardware-Tokens können erst hinzugefügt werden, wenn bereits ein Einmalcode existiert. Wir verwenden WebAuthn als Authentifizierungsverfahren für Hardware-Tokens. Getestet wurden die Somu Variante der Solokeys und Yubikeys, grundsätzlich sollten aber alle Varianten, die WebAuthn unterstützen verwendet werden.
Für die Aktivierung musst du einen Namen vergeben, dein Konto-Passwort eingeben und dem Klicken auf *Erfassen* den Hardware-Token ein erstes Mal betätigen.
Die WebAuthn-API ist im Tor-Browser deaktiviert. Entsprechend funktionieren Hardware-Tokens im Tor-Browser nicht.
## 2FA verwenden
## Zwei-Faktor Authentifizierung verwenden
Nach der Aktivierung der 2FA wird nun bei jeder Anmeldung nach der Passworteingabe der zusätzliche Faktor abgefragt.
Nach der Aktivierung der Zwei-Faktor Authentifizierung wird nun bei jeder Anmeldung nach der Passworteingabe der zusätzliche Faktor abgefragt.
### Mobiltelefon
App öffnen und auf den gewünschten Account klicken. Die App generiert nun einen Pin mit einer Gltgkeitsdauer. Den Pin innerhalb der Gültigkeitsdauer übertragen.
App öffnen und auf den gewünschten Account klicken. Die App generiert nun einen Pin mit einer Gültigkeitsdauer. Den Pin innerhalb der Gültigkeitsdauer übertragen.
### Passwortmanager
Den Passwortmanager öffnen und ein neuer TOTP Pin für deinen Eintrag generieren. Dieser Pin hat eine beschränkte Gültigkeit und muss innerhalb dieses Zeitfensters übertragen werden. Falls das angegeben Zeitfenster zu knapp ist, einfach kurz warten bis ein neuer Pin generiert wird.
### Hardwaretoken
### Hardware-Token
Hardwaretoken verbinden und nach der Aufforderung des Browsers die Nutzung bestätigen (meistens durch Berühren).
Hardware-Token verbinden und nach der Aufforderung des Browsers die Nutzung bestätigen (meistens durch Berühren).
## 2FA deaktivieren
## Zwei-Faktor Authentifizierung deaktivieren
Um die Zwei Faktor Authentifizierung zu deaktivieren, musst du alle Devices und Einmalcodes entfernen.
Um die Zwei-Faktor Authentifizierung zu deaktivieren, musst du alle Devices und Einmalcodes entfernen.
## Anonymität
......@@ -88,10 +94,10 @@ Einige technische Detail zu den verwendeten Verfahren.
### Funktion Einmalcodes
Wir nutzen Time-based One-time Password TOTP (RFC 6238) als Verfahren für unsere Zwei-Faktor-Authentifizierung. Dabei tauschen Server und Nutzerin zuerst ein gemeinsames Geheimnis aus. Neben dem gemeinsamen Geheimnis nutzen Server und Client den gleichen Zeitcode um alle 30 Sekunden mittels der hmac-sha1 hash Funktion ein zufälliges Token zu generieren.
Wir nutzen Time-based One-time Password TOTP (RFC 6238) als Verfahren für unsere Zwei-Faktor Authentifizierung. Dabei tauschen Server und Nutzerin zuerst ein gemeinsames Geheimnis aus. Neben dem gemeinsamen Geheimnis nutzen Server und Client den gleichen Zeitcode um alle 30 Sekunden mittels der hmac-sha1 hash Funktion ein zufälliges Token zu generieren.
Wenn also beide Parteien das gleiche Geheimis kennen und ihre Zeiteinstellungen synchron sind, können sie offline alle 30 Sekunden dieselbe Berechnung durchführen und zum selben Ergebnis kommen. So kann der Server prüfen, ob das zweite Passwort richtig ist.
### Funktion WebAuthn
WebAuthN ist teil der Fido2 Spezifikation und nutzt ein public-key Verfahren, um eine Nutzerin zu authentifizieren. Das Hardware-Token generiert zwei Keys (öffentlich und private) und sendet den öffentlichen Schlüssel über den Browser an den Server. Um nun die Identität einer Nutzerin zu prüfen, sendet der Server ein zufällige Zeichenabfolge an den Browser. Der Hardware-Token signiert diese Zeichenabfolge und sendet sie zurück an den Server. Dieser kann mit dem öffentlichen Schlüssel die Signatur prüfen und so die Nutzerin Authentifizieren. Zusätzlich ist die Anfrage des Servers an die Verwendungs-URL gekoppelt. Dies bedeutet, dass der Hardware-Token, diese Signatur nur für eine Anfrage von einer bestimmten URL aus durchführt und damit eine Verwendung unter einer anderen URL ausschliesst.
WebAuthn ist Teil der Fido2 Spezifikation und nutzt ein Public-Key Verfahren um eine Nutzerin zu authentifizieren. Der Hardware-Token generiert zwei Keys (öffentlich und private) und sendet den öffentlichen Schlüssel über den Browser an den Server. Um nun die Identität einer Nutzerin zu prüfen, sendet der Server eine zufällige Zeichenabfolge an den Browser. Der Hardware-Token signiert diese Zeichenabfolge und sendet sie zurück an den Server. Dieser kann mit dem öffentlichen Schlüssel die Signatur prüfen und so die Nutzerin Authentifizieren. Zusätzlich ist die Anfrage des Servers an die Verwendungs-URL gekoppelt. Dies bedeutet, dass der Hardware-Token, diese Signatur nur für eine Anfrage von einer bestimmten URL aus durchführt und damit eine Verwendung unter einer anderen URL ausschliesst.
Markdown is supported
0% or .
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment