2FA Bedienung



  • Hallo zusammen,

    ich habe vergeblich in den Hilfeseiten nach einer Bedienungsanleitung für 2Fa gesucht. Leider gibt es keine umfassende Info. Was ich sehe ist:

    • Die Volltextsuche ist exakt, nicht fuzzy. Ich muss suchen nach 2Fa, 2-Faktor etc, bei einer Suche nach "2 Faktor" oder "2faktor" wird nichts gefunden
    • Und was ich damit finde ist nicht brauchbar, das ist keine Anleitung.

    Fündig geworden bin ich bei meinem EMail-Provider, der das gleiche Prinzip benutzt und eine vorbildliche Anleitung hat: https://posteo.de/hilfe/was-ist-die-zwei-faktor-authentifizierung-und-wie-richte-ich-sie-ein.

    • Bei CT vermisse ich die Verwendung weiterer Geräte, falls eines mal ausfällt.
    • was ist wenn der Admin sein Handy mit 2FA verliert. Was passiert wenn der sich nicht mehr einloggen kann?
    • Kann man einen YubiKey verwenden?


  • Im Allgemeinen hätte ich zu diesem Thema auch gerne mehr Infos
    und im Besonderen besonders zur Nutzung von Yubikey.


  • ChurchToolsMitarbeiter

    Hallo,

    scheinbar gibt es keine Hilfeseite für die 2-Faktor Authentifizierung. Welche Informationen hättest du dir denn auf diese Hilfeseite gewünscht? Im Profil, wo man 2-FA aktivieren kann ist ja erklärt was das bedeutet und ein Guide führt einen durch die Schritte durch, empfiehlt Geräte, etc. Ich sehe gerade nicht welche Informationen dort fehlen. Wir schreiben gerne noch eine Hilfeseite dafür, wenn es nötig ist.

    Zweitens, mehrere Geräte. Bei der aktivierung von 2FA bekommt man den QR Code und auch den Schlüssel in reiner Textform präsentiert. Diesen kannst du mit so vielen Geräten scannen wie du willst. Es gibt auch Power-User die speichern sich den Schlüssel in ihrem Passwort-Manager ab genau für den Fall, dass das Handy mal kaputt geht oder gestohlen wird. Ergo, technisch ist es möglich, ist liegt am User selbst 🙂

    Drittens, YubiKey. YubiKeys sind eine tolle Sache, wie ich finde. Doch mit 2FA haben wir eine gute Lösung die Sicherheit deines Accounts zu erhöhen. Zudem bekommen wir sehr sehr selten von einzelnen Nutzen diese Frage gestellt. Dem Großteil unserer Kunden sind YubiKey noch gar kein Begriff. Aber was nicht ist kann ja noch werden 🙂


  • admin

    Ich habe die 2FA für die CT gleich bei der Aktivierung auf zwei Geräten eingerichtet (Smartphone und Tablet). Außerdem lege ich mir grundsätzlich einen Screenshot des QR-Codes in einem verschlüsselten Archiv ab, um ggf. weitere Geräte einfach hinzufügen zu können.



  • @hbuerger
    Moin,

    1 ) also Ihr habt einen Wizard, keine Hilfeseite.
    Durch die Hilfeseite kriegst Du umfassende Infos zu einem Feature bevor Du es einrichtest.
    Beim Wizard richtest Du das Feature gleich ein, hast aber keinen Überblick über das Feature. Wenn Du was anderes brauchst oder das Feature doch nicht das richtige ist - Pech gehabt. Bitte sieh Dir den Link von Posteo an aus meinem ersten Post.

    2 ) Hab ich ausprobiert mit 2 Geräten. Habe mit beiden Geräten den Code gescannt. Danach muss man den generierten Code verifizieren. Das schlug bei beiden Geräten fehl, "ungültiger Code". Mit einem Gerät funktionierte es. Jedoch bekommst Du danach nie wieder den QR-Dialog gezeigt für ein 2tes Gerät.

    3 ) Bei Eurem Verfahren ist das Geheimnis ein String bzw. QR-Code. Diesen kann man screenshotten bzw. notieren. Damit könnte das Geheimnis aber gestohlen werden. Bei einem Key ist das Geheimnis aber in Krypto-Chips drin versteckt, niemand kann es herausholen => grössere Sicherheit. In c't und iX gibts einige Artikel dazu.



  • Noch besser als Yubikey fände ich die Unterstützung von FIDO2, das ermöglicht eine paßwortlose Anmeldung und ist sowohl komfortabel und sicher. Heise hat darüber in letzter Zeit häufiger und ausführlich berichtet.
    Gerade für Administratoren oder Benutzer in Leitungsgremien, die sehr weitgehende Rechte haben, aber oft wenig IT-affin sind (also: nicht die Admins - hoffentlich), ist das m.E. die beste und vielversprechendste Möglichkeit, sie zu einer 2FA-Anmeldung zu bewegen.


  • ChurchToolsMitarbeiter

    @moeiffy

    1. Mir ist der Unterschied eines Wizards und einer Hilfeseite bewusst 😉 Ich habe nie behauptet, dass es eine Hilfeseite ist. Ich gebe deine Anregung gerne weiter, eine Hilfeseite dafür anzulegen.

    2. Ich habe es probiert, mein Kollege hat es probiert, Andy hat es probiert. Es funktioniert. Sollte es bei nicht wirklich nicht funktionieren, wende dich bitte an den Support. Dann gucken wir genau drüber. Das müssen wir ja nicht hier im Forum öffentlich machen.
      Wenn dein Code ungültig ist, dann hat das nichts damit zu tun, dass du den einen Code mehrmals gescannt hast. Die Codes werden auf dem Handy, in der App, berechnet. Sprich meine 2FA App weiß gar nicht, ob dieser Code mehrmals gescannt wurde und auch ChurchTools ist das total egal. So funktioniert der Standard 🙂

    3. Das Geheimniss ist immer ein String. Der QR-Code ist lediglich eine für Handys scannbare Codierung davon. Dass das Geheimnis gestohlen werden kann, wenn du es abspeicherst ist erstmal richtig. Aber das selbe gilt ja auch für Passwörter. Ich sagt ja nicht, dass du den QR Code dir ausdrucken sollst und unter die Tastatur legen sollst. Dafür gibt es Passwort-Manager. Die sind verschlüsselt und somit sicher.

    Zudem, das Geheimnis kann durchaus als Schlüssel betitelt werden. Es ist richtig, dass in einem YubiKey ein Crypto-Chip steckt, aber nur weil hier der Key in einem Chip hardgecoded wurde macht die Definition eines Keys nicht anders.

    @BeMiGro Sollten wir YubiKeys unterstützen, dann würde ich mich dafür einsetzen, dass wir nicht diese eine Marke, sondern den Standard WebAuthn implementieren. Dieser ist teil des FIDO2 Projekt 🙂

    PS: Das ursprüngliche Problem ist ja der Fall, wenn man sein Handy verliert. Eine andere Lösung wäre ja auch Backup Codes zu generieren. Das Feature wurde aber bis jetzt so wenig gefordert, dass es in der Priorität noch nicht weit oben steht, aber ich hab es auf meiner Liste 🙂



  • @hbuerger sagte in 2FA Bedienung:

    Sollten wir YubiKeys unterstützen, dann würde ich mich dafür einsetzen, dass wir nicht diese eine Marke, sondern den Standard WebAuthn implementieren. Dieser ist teil des FIDO2 Projekt 🙂

    WebAuthn wäre nichts weniger als perfekt! Das verhilft ja nicht nur dem Benutzer zu einer sicheren und bequemen Anmeldung, sondern hat auch auf Web-Applikationsseite Vorteile, weil (im Gegensatz zu Hardware-Token, die nur U2F unterstützen), das Paßwort wegfallen und damit nicht gestohlen werden kann.
    Meinen Segen habt Ihr jedenfalls!



  • So, seit ein paar Tagen ist mein FIDO2-Stick da, d.h. aus meiner Sicht steht einer Umsetzung jetzt nichts mehr im Wege. 🙂
    (Scherz beiseite: Kein Streß bitte, Sicherheit ist wichtiger als Schnelligkeit. Und es gibt ja auch noch andere Themen, ich weiß...)


  • ChurchToolsMitarbeiter

    @BeMiGro sagte in 2FA Bedienung:

    So, seit ein paar Tagen ist mein FIDO2-Stick da, d.h. aus meiner Sicht steht einer Umsetzung jetzt nichts mehr im Wege.

    🤡 Scherzkeks 😉


Log in to reply