de:twofactor

Zwei-Faktor-Authentifizierung mit Einmalpasswörtern (OTP)

Inhalt

Mit der Zwei-Faktor-Authentifizierung erhöhen Sie die Sicherheit Ihrer LiveConfig-Anmeldung: zusätzlich zum Benutzernamen und dem Passwort müssen Sie einen 6-stelligen Code angeben, der alle 30 Sekunden neu erzeugt wird. Keylogger und „über-die-Schulter-Gucker“ können so mit dem Passwort alleine nichts mehr anfangen. Zudem funktioniert diese Lösung komplett „offline“ - es wird keine SMS versendet, und auch die Code-Erzeugung (z.B. mit Google Authenticator) läuft lokal und benötigt keinen Internetzugriff.

Dieses Dokument beschreibt die Aktivierung der Zwei-Faktor-Authentifizierung in LiveConfig sowie dessen Verwendung mit dem Google Authenticator.

Eine alternative Zwei-Faktor-Authentifizierung stellen FIDO U2F-Tokens dar, die eine hardwarebasierte Anmeldung ermöglichen - mehr dazu siehe fido-u2f.

Einstellungen

Zur Aktivierung der Zwei-Faktor-Authentifizierung klicken Sie in LiveConfig auf EinstellungenEinstellungen. Im Abschnitt Passwort verwalten können Sie nun über einen Button die Zwei-Faktor-Authentifizierung aktivieren. Die möglichen Einstellungen sind:

  • Verfahren: derzeit unterstützt LiveConfig zeitbasierte Einmal-Passwörter (TOTP) mit 6 Ziffern, die alle 30 Sekunden neu generiert werden. Das Verfahren ist standardisiert (RFC6238). Mit diesen Einstellungen arbeitet beispielsweise auch der Google Authenticator.
  • Bezeichnung: hier können Sie eine Bezeichnung angeben, mit der Sie den OTP-Generator möglicherweise von anderen konfigurierten OTP-Tokens unterscheiden können. Standardmäßig trägt LiveConfig hier den Benutzernamen und den Servernamen ein; wenn Sie es gerne noch sicherer haben möchten, nehmen Sie eine noch neutralere Bezeichnung.
  • Code: der für die Passworterzeugung verwendete Code in Base32-Codierung (exakt 16 Stellen, darf nur aus den Ziffern 2-7 sowie den Buchstaben A-Z bestehen). Halten Sie diesen Code geheim!

Aus der Bezeichnung und dem Code wird per Javascript dynamisch ein QR-Code generiert und angezeigt. Viele Token-Generatoren bieten die Möglichkeit, so einen QR-Code einfach zu scannen statt die Daten manuell zu erfassen.

Zur Aktivierung müssen Sie schließlich noch einmal ihr aktuelles Passwort sowie einen aktuell generierten OTP-Code eingeben. Damit wird sicher gestellt, dass Sie die Zwei-Faktor-Authentifizierung nur dann aktivieren können, wenn Ihr Code-Generator auch korrekt funktioniert.

Wenn Sie sich das nächste Mal an LiveConfig anmelden, müssen Sie den jeweils aktuell gültigen OTP-Code einfach an Ihr Passwort mit anfügen. Wenn Sie sich bislang beispielsweise mit dem Passwort „GeHeIm“ angemeldet haben und der zum Zeitpunkt der Anmeldung aktuelle OTP-Code „123456“ lautet, geben Sie als Passwort also „GeHeIm123456“ an.

Test

Sollten Sie Probleme bei der Aktivierung der Zwei-Faktor-Authentifizierung haben, dann verwenden Sie zum Testen einfach den im vorigen Screenshot gezeigten QR-Code (bzw. den Code 223344556677AABB). In der nachfolgenden Tabelle wird Ihnen der jeweils gültige OTP-Code dafür angezeigt - vorausgesetzt, dass die angezeigte Uhrzeit auch möglichst exakt ist:

Aktuelle Zeit: ###
Aktueller Code: ###

Sollte der angezeigte Code nicht mit dem Code auf Ihrem Token-Generator übereinstimmen, so prüfen Sie bitte

  • ob die Uhrzeit auf Ihrem Token-Generator (Smartphone) auch mit der in der Tabelle angezeigten Uhrzeit übereinstimmt
  • ob die Einstellungen im Token-Generator stimmen (gleicher Code, 6 Ziffern OTP, alle 30 Sekunden)
de/twofactor.txt · Zuletzt geändert: 2015/06/24 20:54 von wikiadmin

Benutzer-Werkzeuge