2FA Fallback



  • Hallo zusammen,

    basierend auf der Diskusion hier in welcher es um die Berechtigungsstruktur bei der 2FA ging, hier einmal folgender Wunsch.

    Implementieren eines Fallbacks bei aktiver 2FA (so wie es bei den meisten Diensten der Fall ist). Dieses Fallback gillt als Sicherheit, falls man z.B. das Handy mit der 2FA App verliert. Screenshots sind hier nicht intuitiv genug. Hier kamen uns vier Umsetzungen in den Kopf. Vielleicht fällt euch ja noch was ein. Ansonsten einfach hoch Voten.

    1. BackUp Codes die nach der Aktivierung aber auch später heruntergeladen werden können
    2. Sicherheitsfrage
    3. BackUp Code via SMS
    4. PDF inklusive 2FA QR Code zum Download

    Mein Favorit wäre eine Kombination aus 1. und 4.



  • 2 ist für mich ein No-Go. Aus Sicherheitssicht betrachtet, sind diese Fragen zu einfach zu erraten.

    Wenn es irgendwas zum Download gibt, dann sollte bevor man diese Sicherheitscodes herunterladen kann, der 2FA nochmal validiert werden.


  • ChurchToolsMitarbeiter

    Servus,

    der Fallback ist definitiv eine Sache die ich mir auch noch wünsche. Daher habe ich bei der Programmierung auch schon darauf geachtet, dass das Feature in Zukunft möglich sein wird.

    Ich persönlich finde eine Variante von 1 am besten: Beim Einrichten von 2FA bekommt man eine Text Datei / PDF mit 10 Codes, die nicht zeitlicht beschränkt sind und einmal gültig sind.

    Man kann im Profil aber diese Code nie wieder sehen, sondern muss sie sich ausdrucken / runterladen. Man kann im Profil aber 10 neue Codes generieren. Damit sind die alten dann ungültig.

    Wann das Feature kommt, kann ich nicht sagen. Es war uns erstmal wichtig, dass überhaupt das 2FA Feature existiert bevor wir es noch weiter ausbauen. Also gerne das Feature hochvoten, dann wird es vielleicht schneller in Angriff genommen ;)