Zweifaktorauthentifizierung (2FA/MFA)

1 Was ist 2FA?
2 Kurzbeschreibung - aktuelle 2FA in myneva.daarwin?
3 Wo finde ich die Einstellung zur 2FA/MFA?)
4 Welche Einstellungen können vorgenommen werden
5 Kriterien für die Gültigkeit der 2FA/MFA
6 Workflow zur Nutzung der 2FA/MFA

Was ist 2FA?

Die Zwei-Faktor-Authentifizierung (auch: Zwei-Schritte- oder Zwei-Wege-Authentifizierung bzw. 2FA) ist eine zusätzliche Sicherheitsmaßnahme, die beim Einloggen in eine Software aufgerufen wird: Selbst wenn Ihre Passwörter mal in die falschen Hände gelangen, haben Unbefugte auf diese Weise keinen Zugriff auf Ihre Accounts bzw. auf die sensiblen Daten Ihrer Klient*innen. Wir empfehlen allen unseren Kunden, diese neue Sicherheitsoption zu verwenden.

Kurzbeschreibung - aktuelle 2FA in myneva.daarwin?

Derzeit bietet myneva.daarwin eine Option zur Zweifaktorauthentifizierung an, die kundenseitig aktiviert werden muss. Dabei kann gewählt werden, ob die 2FA in myneva.daarwin web und/ oder myneva.daarwin win erforderlich ist.

User bekommen dabei, analog zum user-seitigen Passwort zurücksetzen, eine Mail mit einem 6-stelligen Code an eine im Mitarbeiter-Datensatz hinterlegte Mailadresse.

Wo finde ich die Einstellung zur 2FA/MFA?)

Die Einstellung zur 2FA/MFA sind unter Einstellungen > Sicherheit > Passwörter/ Anmeldung zu finden. Auf der rechten Seite dieser Einstellung ist ein kleiner separater Kasten.

Welche Einstellungen können vorgenommen werden

Über die oberen beiden Checkboxen kann, einmal für web und einmal für win, eingestellt werden, ob eine 2FA erforderlich ist.
Die dritte Option der Authentisierung über die Windows-Domain-Anmeldung gilt ausschließlich für myneva.daarwin win. Um diese nutzen zu können, müssen in den Grunddaten der User*innen die Domaininformationen hinterlegt werden.
Über die Code-Gültigkeit kann festgelegt werden, wie lange ein per Mail versendeter Code genutzt werden kann.
Über die 2FA-Gültigkeit in Stunden kann festgelegt werden, wie lange die 2FA-Authentifizierung gültig ist, bevor sie erneut durchgeführt (wieder ein Code eingegeben) werden muss. Die maximale Dauer sind 744 Stunden/ 31 Tage.

Kriterien für die Gültigkeit der 2FA/MFA

Folgende Kriterien müssen erfüllt sein, damit die 2FA/MFA ihre Gültigkeit behält:

Von den User*innen wird das gleiche Gerät, ggf. mit dem gleichen Browser verwendet.
Von den User*innen wird die gleiche Software-Variante verwendet.
Heißt: Loggen sich User*innen zunächst

Workflow zur Nutzung der 2FA/MFA

Adminseitig wird eine/ oder mehrere Option aktiviert.
Vor der Bestätigung werden alle User*innen in einer exportierbaren Tabelle angezeigt, die aktuell keine aktuell Mailadresse im System hinterlegt haben.
- Diese User*innen wären damit ausgeschlossen, es empfiehlt sich daher, hier eine der beiden Lösungswege anzugehen.
  - Es wird eine Mailadresse bei den User*innen hinterlegt, so dass diese die 2FA nutzen können.
  - Die User*innen werden über die Benutzerinformationen manuell temporär oder langfristig, von der 2FA befreit.
Nach dem Speichern der Einstellung ist die 2FA nun aktiv.
Beim nächsten Log in der User*innen wird nach dem Einloggen
- eine Mail an die User*innen verschickt, die einen 6-stelligen Code im Mailbetreff enthält
- zudem wird eine neue Seite/ ein neues Fenster geladen mit sechs Eingabefeldern
- der Code muss nun eingegeben werden, um die Anmeldung abzuschließen.
- Die User*innen haben sind für die in der Einstellung hinterlegte Anzahl an Stunden von der 2FA befreit.