So nutzen Sie die Zwei-Faktor-Authentifizierung für die Myfactory-Anmeldung
Die Zwei-Faktor-Authentifizierung ist eine zusätzliche Sicherheitsebene, die im Allgemeinen dazu dient, Ihre Identität für die Anmeldung in der Myfactory anhand zweier unterschiedlicher und voneinander unabhängiger Komponenten (Faktoren) nachzuweisen.
Eine Authentifizierung mit zwei Faktoren ist nur dann erfolgreich, wenn beide zusammen eingesetzt werden und beide korrekt sind. Wenn einer dieser Faktoren fehlt oder falsch eingesetzt wird, so lässt sich die Identität eines Nutzers nicht zweifelsfrei feststellen und ihm kann keine Zugangsberechtigung erteilt werden. Das heißt, dass für ein ordnungsgemäßes Myfactory-Login nicht nur das Passwort Ihres Benutzerkontos benötigt wird (Ein-Faktor-Authentifizierung), sondern (in diesem Fall) eine Kombination aus Passwort und einem via App erzeugten Einmalkennwort. In diesem How-To-Kapitel erfahren Sie, wie Sie die Myfactory unter Zuhilfenahme der Authentifizierungs-App Google Authenticator für die Zwei-Faktor-Authentifizierung konfigurieren.
Die Zwei-Faktor-Authentifizierung (benutzerspezifisch) aktivierenDie Zwei-Faktor-Authentifizierung in den Benutzereinstellungen Die "Google-Authenticator"-App für die Zwei-Faktor-Authentifizierung einrichten und nutzenNotfallcodes für die Zwei-Faktor-AuthentifizierungDie Zwei-Faktor-Authentifizierung (benutzerspezifisch) aktivieren
Unter "Administration / Sicherheit / Konfiguration" können Sie als verantwortlicher Systemadministrator zwingend festlegen, dass die Zwei-Faktor-Authentifizierung entweder für alle oder für keinen Benutzer aktiviert wird. Als dritte Möglichkeit steht Ihnen die Option "Je nach Benutzereinstellung" zur Verfügung. Mit dieser überlassen Sie dem Anwender die Entscheidung, ob er die Zwei-Faktor-Authentifizierung für seinen myfactory-Account verwendet oder nicht.
Zum AnfangDie Zwei-Faktor-Authentifizierung in den Benutzereinstellungen
Hat der Systemadministrator also entweder die Option "Je nach Benutzereinstellung" gewählt, so kann der Anwender die Zwei-Faktor-Authentifizierung in den Benutzereinstellungen unter dem Punkt "Benutzerdaten" aktivieren, indem er in der Zeile "Benutzerdaten und Kennwort" auf die Schaltfläche [ Bearbeiten ] klickt.
In dem sich daraufhin öffnenden Benutzerdaten-Fenster können Sie als Anwender die Checkbox "2-Faktor-Authentifizierung nutzen" anhaken und die Aktion mit dem [ OK ]-Button bestätigen.
Wenn Sie die Zwei-Faktor-Authentifizierung in der Desktopanwendung für einen bestimmten (aktuell angemeldeten) Benutzer freischalten, dann gilt diese Aktivierung auch in der Mobile- bzw. Tablet-Oberfläche.
Der Systemadministrator kann in der Benutzerübersicht ("Administration / Benutzerverwaltung / Benutzerübersicht") einsehen, ob die Zwei-Faktor-Authentifizierung von einem Anwender aktiviert wurde oder nicht. Ein X zeigt deren Aktivierung an, eine 0 bedeutet das Gegenteil.
Zum AnfangDie "Google-Authenticator"-App für die Zwei-Faktor-Authentifizierung einrichten und nutzen
Um zusätzliche Zwei-Faktor-Codes für die Anmeldung in der Myfactory generieren zu können, benötigen Sie neben Ihrem Smartphone auch eine darauf installierte Authentifizierungs-App wie z.B. "Google Authenticator". Diese steht für die Mobilbetriebssysteme Android, iOS und Blackberry OS zur Verfügung und kann in den entsprechenden App Stores heruntergeladen werden. In diesem Beispiel kommt der "Google Authenticator" im Zusammenspiel mit Android zum Einsatz.
Der Google Authenticator erzeugt zeitlich limitierte Einmalkennwörter, die im Zuge der Authentifizierung bei Web-Anwendungen bzw. Online-Diensten verwendet werden können. Bevor sich diese zusätzlichen Zwei-Faktor-Codes für das Login bei einer Web-Anwendung wie der Myfactory nutzen lassen, muss Ihr Smartphone nach der Installation des Google Authenticators zunächst mit dem Myfactory-Benutzerkonto verknüpft werden. Dies geschieht über das Aushandeln eines geheimen Sicherheitsschlüssels zwischen der App und der Myfactory-Anwendung bzw. dem dahinter stehenden Server.
Nachdem Sie den Start-Screen der App mit dem Betätigen der [ Starten ]-Schaltfläche übersprungen haben, werden Ihnen zur Übermittlung des geheimen Schlüssels zwei Optionen angeboten und angezeigt:
Die Option "Barcode scannen" (1) erlaubt es Ihnen, den geheimen Schlüssel via QR-Code an das Smartphone zu übermitteln und ihn dort zu speichern. Das Einscannen des QR-Codes erfolgt über einen QR-Code-Scanner in der App.
Der QR-Code selbst findet sich wie die Checkbox zur Aktivierung der Zwei-Faktor-Authentifizierung im Benutzerdaten-Fenster innerhalb der Benutzereinstellungen.
Nach dem Erfassen des QR-Codes wird der darin enthaltene geheime Schlüssel auf dem Smartphone gespeichert. Die jeweils verwendete Myfactory-Instanz wird automatisch erkannt und das zugehörige Myfactory-Benutzerkonto mit dem Mobiltelefon verknüpft. Über dem Namen Ihrer Instanz finden Sie dann den ersten von der App generierten Zwei-Faktor-Code.
Wenn Sie sich nach der Eingabe dieses Einmalkennwortes in das Anmeldefenster in die Myfactory einloggen können, so war die Verknüpfung des Myfactory-Benutzerkontos mit der Authenticator-App erfolgreich. Für den Fall, dass die Anmeldung nicht geklappt hat, empfiehlt Google, einen neuen Bestätigungscode zu generieren.
Alternativ (2) können Sie den geheimen Sicherheitsschlüssel auch auf manuellem Weg an das Smartphone übertragen, indem Sie die zugehörige Zeichenkette in das entsprechende Feld eintragen. Diese finden Sie ebenfalls im Benutzerdaten-Fenster innerhalb der Benutzereinstellungen, und zwar unterhalb des QR-Codes. Über dem Sicherheitsschlüssel-Eingabefeld können Sie zudem noch einen Namen für Ihr Myfactory-Benutzerkonto vergeben, da dessen Bezeichnung anders als bei der Übermittlung via QR-Code nicht automatisch erkannt wird.
Bitte beachten Sie außerdem, dass Sie hier zwei Arten von Einmalkennwörtern für die Authentifizierung wählen können: Zählerbasierte und zeitbasierte Kennwörter. In diesem Fall sollten Sie aus Sicherheitsgründen zeitbasierte Einmalkennwörter verwenden, da diese eine kurze Gültigkeitsdauer besitzen. Nach 30 Sekunden verfällt das aktuelle Einmalkennwort und es wird automatisch ein neues generiert (Die verbleibende Gültigkeitsdauer des aktuellen Kennworts ist anhand eines abnehmenden blauen Kreises erkennbar). Potenzielle Angreifer verfügen also nur über ein sehr kleines Zeitfenster, um beispielsweise Phishing-Attacken durchführen zu können. Das Risiko für solche Angriffe wird bei der zeitbasierten Passwortvariante damit deutlich reduziert.
Nach Bestätigung der manuellen Schlüsseleingabe mittels des [ HINZUF. ]-Buttons wird sogleich der erste sechsstellige Zwei-Faktor-Code zu dem angegebenen Konto erstellt.
Diesen können Sie nun wie oben beschrieben in das optionale Feld "2-Faktor-Code" im Login-Fenster der Myfactory eintragen, nachdem Sie sich im vorherigen Anmeldeschritt bereits mit Benutzername und Passwort authentifiziert haben.
Zum AnfangNotfallcodes für die Zwei-Faktor-Authentifizierung
Im Benutzerdaten-Fenster der Benutzereinstellungen ist für jeden Anwender eine Liste mit fünf Notfallcodes hinterlegt. Diese finden sich rechts neben dem QR-Code und dienen als Backup-Lösung, für den Fall, dass der betreffende Benutzer beispielsweise sein Smartphone verloren hat und folglich nicht mehr selbstständig Zwei-Faktor-Codes generieren kann. Bereits verwendete Notfallcodes erkennen Sie daran, dass diese durchgestrichen sind.
Es empfiehlt sich, die Notfallcodes auf einem Zettel zu notieren bzw. auszudrucken und an einem sicheren Ort abzulegen. Sollte der Benutzer dies versäumt bzw. die Notfallcodes vergessen haben, so hat der Systemadministrator noch die Möglichkeit, dessen aktuellen Notfallcode in der Benutzerübersicht einzusehen. Dieser erscheint dort, sobald der Anwender die erste Stufe der Authentifizierung, also die Eingabe von Benutzername und Passwort, erfolgreich abgeschlossen hat. Der Administrator ist somit in der Lage, dem Benutzer den Zugang zur Myfactory trotz vergessenem oder verlorenem Code zu ermöglichen.
Hat der Systemadministrator in der Benutzerverwaltung einen neuen Benutzer angelegt und gleichzeitig in der Konfiguration (unter "Administration / Sicherheit") die Zwei-Faktor-Authentifizierung "für alle Benutzer" aktiviert, dann hat dieser neue Benutzer bei seiner ersten Anmeldung in der Myfactory naturgemäß keine Möglichkeit, an den beim Login geforderten Zwei-Faktor-Code zu gelangen, da er seinen Myfactory-Account ja noch nicht mit der Authenticator-App verknüpft hat. Auch in diesem Fall kann der Systemadministrator (wie bei Verlust oder Vergessen des Codes) den in der Spalte "akt. Notfallcode" in der Benutzerübersicht angezeigten Code dem Benutzer mitteilen. Dieser Code wird dort ausgegeben, sobald der neue Benutzer die erste Stufe der Authentifizierung (Eingabe von Benutzername und Passwort) durchlaufen hat.
Zum AnfangWeitere Informationen zum Thema: