Zweifaktor-Authentifizierung

Zwei-Faktor Authentifizierung stellt heute eine der wichtigsten Methoden dar, um Online-Zugänge gegen ungewollten Zugriff besser zu schützen. Die Idee dabei ist, dass ein Login immer zwei unterschiedliche Faktoren aus den Kategorien Wissen, Besitz und Sein beinhaltet. Wissen ist dabei in der Regel ein Kennwort, während der Besitz in Form eines Gegenstands nachgewiesen wird. Das Sein wird über biometrische Verfahren abgebildet.
Der Faktor Besitz kann in unterschiedlicher Form angeboten werden, beispielsweise über den Besitz einer SIM-Karte im Mobiltelefon bei SMS-Tan Verfahren, über den Besitz eines Hardware-Tokens oder einer Smartcard, oder aber wie im Falle der CAU-Cloud über den Besitz eines Mobiltelefons, dass über eine Software als zweites Gerät zur Authentifizierung angelernt wurde.
Bei diesem Verfahren wird initial zwischen der CAU-Cloud und dem Mobiltelefon ein Geheimnis ausgetauscht, dass dann über einen für beide Seiten bekannten Algorithmus einen zeitabhängiges Einmalpasswort (engl. Time-based One-Time Password TOTP) generiert werden kann. Dieses Einmalpasswort ist über einen Zeitraum von 30 Sekunden gültig, das sorgt für mehr Sicherheit, selbst wenn ein einzelnes Einmalpasswort abhandenkommt.

Settings-Menü der CAU Cloud
Die Aktivierung des zweiten Faktors geschiegt über die Weboberfläche der CAU-Cloud. Oben rechts können Sie über das Account-Menü die Einstellungen erreichen.

Option zum, Aktivieren der TOTP
Aktivieren Sie hier unter dem Menüpunkt Sicherheit im Abschnitt Zwei-Faktor-Authentifizierung bitte die Option "TOTP aktivieren".

Generierung eines TOTP Secrets
Nun wird das oben erwähnte Geheimnis generiert und am Bildschirm ausgegeben. Je nach Verwendeter Software müssen Sie dieses Geheimnis in Ihrer Authentifizierungs-Applikation abtippen, oder aber Sie haben die Möglichkeit, den angezeigten QR-Code mit der Kamera Ihres Mobiltelefons zu scannen.

Im Folgenden beschreibt die Anleitung die Verwendung der Anwendung "Google Authenticator", Sie können aber auch andere Anwendungen verwenden, die den TOTP-Standard unterstützen. Den Google Authenticator finden Sie sowohl im Google Play Store wie auch im Apple App Store.

Das Hauptmenü der Authenticator App
Im Google Authenticator können Sie oben Rechts mit einem Tap auf den "+"-Knopf einen neuen TOTP-Schlüssel erstellen.

Geheimnis per QR-Code scannen
Sie haben nun die Wahl, das im Webinterface angezeigte Geheimnis von Hand abzutippen, oder aber die Kamera Ihres Mobiltelefons zu nutzen, um den im Webinterface angezeigten QR-Code zu scannen.

Erzeugtes Einmalpasswort im Authenticator
Nachdem Sie das Geheimnis für den zweiten Faktor der CAU-Cloud ausgetauscht haben, sehen Sie nun im Hauptfenster des Authenticators den Namen des Dienstes, für den der Schlüssel gilt, den Account, für den der Faktor gilt, sowie den zweiten Faktor selbst als sechsstelligen Zahlencode. Rechts am Rand sehen Sie eine kleine Animation, die die Gültigkeitsdauer symbolisieren soll, ist der Kreis vollständig geleert, wird ein neuer Faktor generiert.

Eingabe des generierten TOTP Tokens
Bis zu diesem Zeitpunkt haben Sie zwar das Geheimnis mit dem Authenticator ausgetauscht, aber die Zwei-Faktor-Authentifizierung ist noch nicht aktiviert. Sie müssen Dazu einen gültigen zweiten Faktor in das Fenster der CAU-Cloud eingeben, um den erfolgreichen Austausch des zweiten Faktors nachzuweisen.

Generierung von Backup Codes
Für den Fall, dass Sie den zweiten Faktor einmal nicht zur Hand haben, sei es durch Defekt oder Verlust des Gerätes, haben Sie die Möglichkeit, sog. Backup-Codes zu erzeugen, die Sie anstelle des zweiten Faktors verwenden können. Um diese Backup-Codes zu generieren, wählen Sie im Einstellungs-Menü bitte den Knopf "Backup-Codes erzeugen".

Speichern der Backup Codes
Es werden 10 Backup-Codes erzeugt, die Sie sich ausdrucken, oder sicher abspeichern sollten. Sie haben später auch noch die Möglichkeit, unter diesem Menüpunkt einzusehen, wie viele der Backup-Codes bereits verwendet wurden. Das kann dann hilfreich sein, wenn Sie nicht sicher sind, ob Ihnen diese Backup-Codes und damit ein äquivalenter zweiter Faktor, abhanden gekommen sein könnten. Sie können hier auch jederzeit neue Backup-Codes erzeugen, die alten werden dabei ungültig.