Zwei-Faktor-Authentifizierung (2FA) in Password Depot

Folgen

Ab Version 12.0.7 (und höher) unterstützt Password Depot die Zwei-Faktor-Authentifizierung folgendermaßen:

Lokale Datenbanken (ohne den Enterprise Server)

Wenn Sie ohne den Enterprise Server arbeiten und Ihre Datenbanken z. B. lokal oder in einem der angebotenen Cloud-Dienste speichern, so haben Sie die Möglichkeit, Ihre Datenbank mit einem Master-Kennwort und zusätzlich mit einer Schlüsseldatei zu verschlüsseln. Die Datenbank kann dann nur geöffnet werden, wenn sowohl das Master-Kennwort als auch die Schlüsseldatei korrekt sind.

Login am Enterprise Server

Für die Benutzer-Anmeldung am Server können Sie als Administrator die Zwei-Faktor-Authentifizierung per TOTP oder E-Mail aktivieren. Haben Sie dies aktiviert, so muss ein Benutzer bei der Anmeldung sowohl seinen Benutzernamen und Kennwort als auch den jeweiligen Code eingeben.

Haben Sie beispielsweise TOTP aktiviert, so wird dem Benutzer bei der nächsten Anmeldung am Server dieses Dialogfeld angezeigt. Hier muss der Benutzer mit seiner Authentifizierungs-App einmalig den QR-Code einscannen. 

2fa.png

Die verwendete App muss in der Lage sein, den Time-based One-time Password-Algorithmus (OATH-TOTP) nach RFC 6238 zu unterstützen, um ein zeitlimitiertes Einmalkennwort zu erzeugen.

ga.png

Der Code muss nun bei jeder Anmeldung am Server ebenfalls eingegeben werden.

2fap.png

 

Technischer Hintergrund

Password Depot verwendet die standardisierte TOTP-Technologie für 2FA (siehe https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus für weitere Einzelheiten). Diese Technologie wird nicht nur von Google Authenticator, sondern auch von vielen weiteren Anbietern wie Microsoft, Apple und anderen unterstützt.

Funktionsweie der 2FA in Password Depot

1. Wenn sich ein Client mit aktiviertem 2FA zum ersten Mal mit dem Password Depot Enterprise Server verbindet, generiert der Server für den Client einen eindeutigen geheimen Schlüssel und speichert diesen auf dem Server in verschlüsselter Form ab.

2. Auf Grundlage des geheimen Schlüssels erzeugt der Server einen QR-Code und sendet diesen an den Client.

3. Der Client, der eine Authenticator-App verwendet (z.B. Google, MS, Authy usw.), scannt den Code und erstellt im Authenticator einen neuen Datensatz.

4. Wenn der Client das nächste Mal eine Verbindung herstellt, muss er den einmalig generierten 6-stelligen Code aus der App übermitteln, um sich erfolgreich am Server anmelden zu können.

5. Der Server generiert den gleichen Code auch auf seiner Seite und vergleicht ihn anschließend mit dem vom Client erhaltenen Code.

Wenn ein Client einen Computer dauerhaft benutzt, kann er die Option "Diesem Computer vertrauen" wählen, sodass sich Password Depot Enterprise Server für einen bestimmten Zeitraum (standardmäßig 30 Tage) an die Hardwaresignatur dieses Geräts erinnern wird. Während dieses Zeitraums wird der Client nicht erneut nach dem 2FA-Code auf diesem Gerät gefragt. Nach Ablauf der Frist wird die Signatur vom Server gelöscht und der Client muss die Authenticator-App erneut verwenden.

Im Server-Manager gibt es Befehle zum Zurücksetzen von 2FA-Informationen für jeden Client (z. B., wenn der Client sein Gerät verloren hat oder er auf die Werkseinstellungen zurückgesetzt wurde). Darüber hinaus kann die Unterstützung von vertrauenswürdigen Geräten oder die 2FA für einzelne Clients deaktiviert werden.

6 von 6 fanden dies hilfreich

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.