Sicherheit

 

Ändern des Passworts

Das CIM-Portal

Da die Benutzerkonten für die CAU-Cloud zentral in der Benutzerverwaltung verwaltet werden, kann das Passwort für CAU-Cloud Konten nicht in der CAU-Cloud geändert werden! Benutzen Sie dafür das CIM-Service-Portal, weitere Informationen zum Ändern von Kennworten finden Sie in der Dokumentation der Benutzerverwaltung.

 

Zwei-Faktor-Authentifizierung

Zwei-Faktor Authentifizierung stellt heute eine der wichtigsten Methoden dar, um Online-Zugänge gegen ungewollten Zugriff besser zu schützen. Die Idee dabei ist, dass ein Login immer zwei unterschiedliche Faktoren aus den Kategorien Wissen, Besitz und Sein beinhaltet. Wissen ist dabei in der Regel ein Kennwort, während der Besitz in Form eines Gegenstands nachgewiesen wird. Das Sein wird über biometrische Verfahren abgebildet.
Der Faktor Besitz kann in unterschiedlicher Form angeboten werden, beispielsweise über den Besitz einer SIM-Karte im Mobiltelefon bei SMS-Tan Verfahren, über den Besitz eines Hardware-Tokens oder einer Smartcard, oder aber wie im Falle der CAU-Cloud über den Besitz eines Mobiltelefons, dass über eine Software als zweites Gerät zur Authentifizierung angelernt wurde.

Anlernen einer Authenticator-App für TOTP

Hinzufügen eines zweiten Faktors per TOTP Verfahren

Bei diesem Verfahren wird initial zwischen der CAU-Cloud und dem Mobiltelefon ein Geheimnis ausgetauscht, dass dann über einen für beide Seiten bekannten Algorithmus einen zeitabhängiges Einmalpasswort (engl. Time-based One-Time Password TOTP) generiert werden kann. Dieses Einmalpasswort ist über einen Zeitraum von 30 Sekunden gültig, das sorgt für mehr Sicherheit, selbst wenn ein einzelnes Einmalpasswort abhandenkommt.

Öffnen Sie in den Einstellungen den Bereich Sicherheit und dort den Abschnitt Zwei-Faktor-Authentifizierung. Aktivieren Sie den Haken neben dem Eintrag TOTP aktivieren, um den Austausch des Geheimnisses zu starten. Nun wird das oben erwähnte Geheimnis generiert und am Bildschirm ausgegeben. Je nach Verwendeter Software müssen Sie dieses Geheimnis in Ihrer Authentifizierungs-Applikation abtippen, oder aber Sie haben die Möglichkeit, den angezeigten QR-Code mit der Kamera Ihres Mobiltelefons zu scannen.

Nachdem Sie das Geheimnis für den zweiten Faktor der CAU-Cloud ausgetauscht haben, sehen Sie nun im Ihrer Anwendung den zweiten Faktor als sechsstelligen Zahlencode, sowie in der Regel eine kleine Animation, die andeutet, wie lange der Code noch gültig ist, bis eine neuer Faktor generiert wird. Bis zu diesem Zeitpunkt haben Sie zwar das Geheimnis ausgetauscht, aber die Zwei-Faktor-Authentifizierung ist noch nicht aktiviert. Sie müssen dazu einen gültigen zweiten Faktor in das Fenster der CAU-Cloud eingeben, um den erfolgreichen Austausch des Geheimnisses nachzuweisen.

Austausch des Geheimnisses mit dem Google Authenticator via QR-Code

Eine gängige Anwendung für das TOTP-Verfahren ist der Google Authenticator. Sie können aber auch andere Anwendungen verwenden, die den TOTP-Standard unterstützen. Den Google Authenticator finden Sie sowohl im Google Play Store wie auch im Apple App Store. Nachdem Sie den Authenticator gestartet haben, erwartet Sie bei erstmaliger Verwendung ein Willkommensprozess. Klicken Sie in diesem auf Get started oder wählen Sie den +-Knopf am unteren Ende des Hauptmenüs, um ein neues Geheimnis auszutauschen. Sie haben die Wahl, ob die einen QR-Code scannen möchten, oder das Geheimnis von Hand abtippen möchten. Wenn Sie den QR-Code scannen möchten, müssen Sie der Anwendung Zugriff auf die Kamera erlauben. Scannen Sie nun den oben generierten QR-Code ab, um das Geheimnis auszutauschen und Ihr erstes Einmalpasswort zu erhalten, mit dem Sie die Aktivierung im vorigen Schritt abschließen können.

 

Anlernen eines WebAuthn-Geräts

Anlernen und Login mit einem WebAuthn-Gerät

Bei dieser Methode wird ein WebAuthn fähiges Gerät als zweiter Faktor verwendet. Dieses Gerät kann ein USB-Sicherheits-Token sein, wie z.B. der YubiKey, aber so ein Gerät kann bereits in Ihr Endgerät verbaut sein, meist in Form von biometrischen Geräten, wie Fingerabdruck-Sensoren oder Kameras mit Gesichtserkennung. Diese Methode zielt also auf den Besitz als zweiten Faktor ab. Sollte der Sensor fest in Ihr Gerät verbaut sein, so wird empfohlen, mehr als eine Methode als zweiten Faktor anzulernen, mindestens aber Backup-Codes zu erzeugen, damit man auch bei Verlust des Geräts noch Zugriff auf die CAU-Cloud hat.

Öffnen Sie in den Einstellungen den Bereich Sicherheit und dort den Abschnitt Zwei-Faktor-Authentifizierung. Wählen Sie im Abschnitt WebAuthn Gerät den Knopf WebAuthn-Gerät hinzufügen, um ein WebAuthn-fähiges gerät anzulernen. Ihr Browser wird Sie nun auffordern, das Gerät zu verwenden. Das kann der Fingerabdrucksensor sein, oder aber ein am USB Stick angebrachter Knopf, der gedrückt oder berührt werden muss. Wenn das Gerät erfolgreich erkannt wurde, verschwindet das Browser-Popup und im Webinterface erscheint ein Textfeld, in dass Sie einen Namen für das Gerät eingeben können. Dieser Name hat keine weitere Funktion, als dass Sie das Gerät in der Liste der angelernten Geräte identifizieren können. Schließen Sie die Konfiguration ab, indem Sie auf Hinzufügen klicken. Nun ist das Gerät erfolgreich angelernt, sie können beliebig viele Geräte anlernen.

Beim nächsten Login werden Sie nach der Eingabe des Kennworts aufgefordert, eine der angelernten Methoden der 2-Faktor-Authentifizierungen zu wählen. Wählen Sie WebAuthn Gerät aus der Liste und anschließend Verwende ein WebAuthn-Gerät, um die Authentifizierung zu starten. Nun müssen Sie wieder das Gerät aktivieren, sei es per Fingerabdruck, Gesichtserkennung oder Tastendruck, um den Login abzuschließen.

 

Erstellung von Backup-Codes

Erstellung von Backup-Tokens und Login mit diesen

Für den Fall, dass Sie den zweiten Faktor einmal nicht zur Hand haben, sei es durch Defekt oder Verlust des Gerätes, haben Sie die Möglichkeit, sog. Backup-Codes zu erzeugen, die Sie anstelle des zweiten Faktors verwenden können.

Öffnen Sie in den Einstellungen den Bereich Sicherheit und dort den Abschnitt Zwei-Faktor-Authentifizierung. Wählen Sie im Abschnitt Backup-Code den Knopf Backup-Codes erneuern, um 10 neue Codes zu generieren. Diese können Sie sich ausdrucken, oder sicher abspeichern. Es kann auch nicht schaden, einen Backup-Code in der Geldbörse zu haben, falls man sich unterwegs in die CAU-Cloud sicher einloggen möchte.

Sie haben später auch noch die Möglichkeit, unter diesem Menüpunkt einzusehen, wie viele der Backup-Codes bereits verwendet wurden. Das kann dann hilfreich sein, wenn Sie nicht sicher sind, ob Ihnen diese Backup-Codes und damit ein äquivalenter zweiter Faktor, abhandengekommen sein könnten. Sie können hier auch jederzeit neue Backup-Codes erzeugen, die alten werden dabei ungültig.

Beim nächsten Login werden Sie nach der Eingabe des Kennworts aufgefordert, eine der angelernten Methoden der 2-Faktor-Authentifizierungen zu wählen. Wählen Sie Backup-Code benutzen aus der Liste und geben Sie anschließend einend er Codes in das Textfeld ein und bestätigen Sie die Eingabe mit Enter oder Übermitteln, um den Login abzuschließen.

 

Erstellung von App-Passwörtern

Erstellung eines App-Passworts

Die CAU-Cloud bietet die Möglichkeit, applikations-spezifische Passwörter zu generieren. Dies kann aus zwei Gründen gewollt sein, zum einen um den Zugang von einzelnen Applikationen später gezielt im Webinterface wieder deaktivieren zu können, zum anderen aber bei der Verwendung von Zwei-Faktor-Authentifizierung, sofern die Anwendung dies nicht selbst unterstützt. Denn die applikations-spezifischen Passwörter sind immer ohne zweiten Faktor gültig!

Öffnen Sie in den Einstellungen den Bereich Sicherheit und dort den Abschnitt Geräte & Sitzungen. Am Ende der Liste der angemeldeten Geräte und Clients können Sie den Namen der Applikation in das Textfeld eingeben und mit dem Knopf Neues App-Passwort erstellen ein App-Passwort generieren.

Das erzeugte App-Passwort wird Ihnen nun im Browser einmalig angezeigt. Wenn Sie das App-Passwort später erneut verwenden möchten, speichern Sie es bitte an einem sicheren Ort ab. In der Regel ist es aber sinnvoller für weitere Applikationen auch weitere Passwörter zu generieren, deren Zugriff auch einzeln wieder gesperrt werden kann. Mit diesem Passwort können Sie dann den Login in Ihrer Applikation vornehmen.

Einige Programme bieten auch die Option an, das App-Passwort durch das Scannen eines QR-Codes zu übertragen, um es nicht abtippen zu müssen. Nach einem Klick auf QR-Code für mobile Apps anzeigen können Sie den QR-Code scannen.