• Aktuell
    • Tags
    • Beliebt
    • Benutzer
    • Gruppen
    • Suche
    • Registrieren
    • Anmelden

    2FA Bedienung

    Fragen
    5
    10
    538
    Lade mehr Beiträge
    • Älteste zuerst
    • Neuste zuerst
    • Meiste Stimmen
    Antworten
    • In einem neuen Thema antworten
    Anmelden zum Antworten
    Dieses Thema wurde gelöscht. Nur Nutzer mit entsprechenden Rechten können es sehen.
    • moeiffyM
      moeiffy
      zuletzt editiert von

      Hallo zusammen,

      ich habe vergeblich in den Hilfeseiten nach einer Bedienungsanleitung für 2Fa gesucht. Leider gibt es keine umfassende Info. Was ich sehe ist:

      • Die Volltextsuche ist exakt, nicht fuzzy. Ich muss suchen nach 2Fa, 2-Faktor etc, bei einer Suche nach "2 Faktor" oder "2faktor" wird nichts gefunden
      • Und was ich damit finde ist nicht brauchbar, das ist keine Anleitung.

      Fündig geworden bin ich bei meinem EMail-Provider, der das gleiche Prinzip benutzt und eine vorbildliche Anleitung hat: https://posteo.de/hilfe/was-ist-die-zwei-faktor-authentifizierung-und-wie-richte-ich-sie-ein.

      • Bei CT vermisse ich die Verwendung weiterer Geräte, falls eines mal ausfällt.
      • was ist wenn der Admin sein Handy mit 2FA verliert. Was passiert wenn der sich nicht mehr einloggen kann?
      • Kann man einen YubiKey verwenden?
      1 Antwort Letzte Antwort Antworten Zitieren 2
      • lebenswertL
        lebenswert
        zuletzt editiert von

        Im Allgemeinen hätte ich zu diesem Thema auch gerne mehr Infos
        und im Besonderen besonders zur Nutzung von Yubikey.

        Menschen in Not helfen & das aktuelle Projekt unterstützen:

        • https://humedica.org
        1 Antwort Letzte Antwort Antworten Zitieren 0
        • hbuergerH
          hbuerger ChurchToolsMitarbeiter
          zuletzt editiert von

          Hallo,

          scheinbar gibt es keine Hilfeseite für die 2-Faktor Authentifizierung. Welche Informationen hättest du dir denn auf diese Hilfeseite gewünscht? Im Profil, wo man 2-FA aktivieren kann ist ja erklärt was das bedeutet und ein Guide führt einen durch die Schritte durch, empfiehlt Geräte, etc. Ich sehe gerade nicht welche Informationen dort fehlen. Wir schreiben gerne noch eine Hilfeseite dafür, wenn es nötig ist.

          Zweitens, mehrere Geräte. Bei der aktivierung von 2FA bekommt man den QR Code und auch den Schlüssel in reiner Textform präsentiert. Diesen kannst du mit so vielen Geräten scannen wie du willst. Es gibt auch Power-User die speichern sich den Schlüssel in ihrem Passwort-Manager ab genau für den Fall, dass das Handy mal kaputt geht oder gestohlen wird. Ergo, technisch ist es möglich, ist liegt am User selbst 🙂

          Drittens, YubiKey. YubiKeys sind eine tolle Sache, wie ich finde. Doch mit 2FA haben wir eine gute Lösung die Sicherheit deines Accounts zu erhöhen. Zudem bekommen wir sehr sehr selten von einzelnen Nutzen diese Frage gestellt. Dem Großteil unserer Kunden sind YubiKey noch gar kein Begriff. Aber was nicht ist kann ja noch werden 🙂

          moeiffyM 1 Antwort Letzte Antwort Antworten Zitieren 0
          • AndyA
            Andy admin
            zuletzt editiert von

            Ich habe die 2FA für die CT gleich bei der Aktivierung auf zwei Geräten eingerichtet (Smartphone und Tablet). Außerdem lege ich mir grundsätzlich einen Screenshot des QR-Codes in einem verschlüsselten Archiv ab, um ggf. weitere Geräte einfach hinzufügen zu können.

            1 Antwort Letzte Antwort Antworten Zitieren 1
            • moeiffyM
              moeiffy @hbuerger
              zuletzt editiert von

              @hbuerger
              Moin,

              1 ) also Ihr habt einen Wizard, keine Hilfeseite.
              Durch die Hilfeseite kriegst Du umfassende Infos zu einem Feature bevor Du es einrichtest.
              Beim Wizard richtest Du das Feature gleich ein, hast aber keinen Überblick über das Feature. Wenn Du was anderes brauchst oder das Feature doch nicht das richtige ist - Pech gehabt. Bitte sieh Dir den Link von Posteo an aus meinem ersten Post.

              2 ) Hab ich ausprobiert mit 2 Geräten. Habe mit beiden Geräten den Code gescannt. Danach muss man den generierten Code verifizieren. Das schlug bei beiden Geräten fehl, "ungültiger Code". Mit einem Gerät funktionierte es. Jedoch bekommst Du danach nie wieder den QR-Dialog gezeigt für ein 2tes Gerät.

              3 ) Bei Eurem Verfahren ist das Geheimnis ein String bzw. QR-Code. Diesen kann man screenshotten bzw. notieren. Damit könnte das Geheimnis aber gestohlen werden. Bei einem Key ist das Geheimnis aber in Krypto-Chips drin versteckt, niemand kann es herausholen => grössere Sicherheit. In c't und iX gibts einige Artikel dazu.

              1 Antwort Letzte Antwort Antworten Zitieren 0
              • B
                BeMiGro
                zuletzt editiert von

                Noch besser als Yubikey fände ich die Unterstützung von FIDO2, das ermöglicht eine paßwortlose Anmeldung und ist sowohl komfortabel und sicher. Heise hat darüber in letzter Zeit häufiger und ausführlich berichtet.
                Gerade für Administratoren oder Benutzer in Leitungsgremien, die sehr weitgehende Rechte haben, aber oft wenig IT-affin sind (also: nicht die Admins - hoffentlich), ist das m.E. die beste und vielversprechendste Möglichkeit, sie zu einer 2FA-Anmeldung zu bewegen.

                1 Antwort Letzte Antwort Antworten Zitieren 0
                • hbuergerH
                  hbuerger ChurchToolsMitarbeiter
                  zuletzt editiert von

                  @moeiffy

                  1. Mir ist der Unterschied eines Wizards und einer Hilfeseite bewusst 😉 Ich habe nie behauptet, dass es eine Hilfeseite ist. Ich gebe deine Anregung gerne weiter, eine Hilfeseite dafür anzulegen.

                  2. Ich habe es probiert, mein Kollege hat es probiert, Andy hat es probiert. Es funktioniert. Sollte es bei nicht wirklich nicht funktionieren, wende dich bitte an den Support. Dann gucken wir genau drüber. Das müssen wir ja nicht hier im Forum öffentlich machen.
                    Wenn dein Code ungültig ist, dann hat das nichts damit zu tun, dass du den einen Code mehrmals gescannt hast. Die Codes werden auf dem Handy, in der App, berechnet. Sprich meine 2FA App weiß gar nicht, ob dieser Code mehrmals gescannt wurde und auch ChurchTools ist das total egal. So funktioniert der Standard 🙂

                  3. Das Geheimniss ist immer ein String. Der QR-Code ist lediglich eine für Handys scannbare Codierung davon. Dass das Geheimnis gestohlen werden kann, wenn du es abspeicherst ist erstmal richtig. Aber das selbe gilt ja auch für Passwörter. Ich sagt ja nicht, dass du den QR Code dir ausdrucken sollst und unter die Tastatur legen sollst. Dafür gibt es Passwort-Manager. Die sind verschlüsselt und somit sicher.

                  Zudem, das Geheimnis kann durchaus als Schlüssel betitelt werden. Es ist richtig, dass in einem YubiKey ein Crypto-Chip steckt, aber nur weil hier der Key in einem Chip hardgecoded wurde macht die Definition eines Keys nicht anders.

                  @BeMiGro Sollten wir YubiKeys unterstützen, dann würde ich mich dafür einsetzen, dass wir nicht diese eine Marke, sondern den Standard WebAuthn implementieren. Dieser ist teil des FIDO2 Projekt 🙂

                  PS: Das ursprüngliche Problem ist ja der Fall, wenn man sein Handy verliert. Eine andere Lösung wäre ja auch Backup Codes zu generieren. Das Feature wurde aber bis jetzt so wenig gefordert, dass es in der Priorität noch nicht weit oben steht, aber ich hab es auf meiner Liste 🙂

                  B 1 Antwort Letzte Antwort Antworten Zitieren 0
                  • B
                    BeMiGro @hbuerger
                    zuletzt editiert von

                    @hbuerger sagte in 2FA Bedienung:

                    Sollten wir YubiKeys unterstützen, dann würde ich mich dafür einsetzen, dass wir nicht diese eine Marke, sondern den Standard WebAuthn implementieren. Dieser ist teil des FIDO2 Projekt 🙂

                    WebAuthn wäre nichts weniger als perfekt! Das verhilft ja nicht nur dem Benutzer zu einer sicheren und bequemen Anmeldung, sondern hat auch auf Web-Applikationsseite Vorteile, weil (im Gegensatz zu Hardware-Token, die nur U2F unterstützen), das Paßwort wegfallen und damit nicht gestohlen werden kann.
                    Meinen Segen habt Ihr jedenfalls!

                    1 Antwort Letzte Antwort Antworten Zitieren 2
                    • B
                      BeMiGro
                      zuletzt editiert von BeMiGro

                      So, seit ein paar Tagen ist mein FIDO2-Stick da, d.h. aus meiner Sicht steht einer Umsetzung jetzt nichts mehr im Wege. 🙂
                      (Scherz beiseite: Kein Streß bitte, Sicherheit ist wichtiger als Schnelligkeit. Und es gibt ja auch noch andere Themen, ich weiß...)

                      hbuergerH 1 Antwort Letzte Antwort Antworten Zitieren 0
                      • hbuergerH
                        hbuerger ChurchToolsMitarbeiter @BeMiGro
                        zuletzt editiert von

                        @BeMiGro sagte in 2FA Bedienung:

                        So, seit ein paar Tagen ist mein FIDO2-Stick da, d.h. aus meiner Sicht steht einer Umsetzung jetzt nichts mehr im Wege.

                        🤡 Scherzkeks 😉

                        1 Antwort Letzte Antwort Antworten Zitieren 1
                        • Erster Beitrag
                          Letzter Beitrag