1. WECHANGE Portaladministrator:innen
  2. News

2fA für mehr Sicherheit von Nutzern und Daten

Beim nächsten Deploy soll für alle Portale Two-Factor-Authentication live gehen, kur 2FA. Grund: Ein einfaches Passwort können Kriminelle automatisiert ausprobieren und erraten, besonders, wenn es relativ einfach ist. Wenn man aber noch ein zweites Gerät braucht, in der Regel das Handy, könnte dies nur ein Nutzer machen, der auch das Handy hat, also kein Krimineller mehr irgendwo auf der Welt. Und das ist ein einfacher aber wahnsinnig großer Schritt in Richtung mehr Sicherheit. Und deswegen wird das immer mehr zum Standard, so auch bei uns.

Es sieht wie folgt aus:

  1. 2fa wird für alle User optional freigeschaltet. Man kann es über sein Benutzerprofil einrichten und damit seinen account zusätzlich schützen.
  2. 2fa wird für alle Admins verpflichtend aktiv, wenn sie auf die django admin (/admin/) oder die Administrations-Area (/administration/) zugreifen wollen, denn dort liegen sämtliche Userdaten im Klartext. Wenn ein Admin auf diese Seiten zugreifen will, aber noch kein 2-fa hat, wird er durch einen guide geleitet, um 2fa für den Account aufzusetzen. Daran führt kein Weg vorbei. Danach hat der Admin dann zugriff auf die admin-areas.

Es gibt viele 2FA-Apps dafür.
X Avoid using apps that won't let you export your keys easily.
-> Instead use

  • Aegis - A free, secure and open source app for Android to manage your 2-step verification tokens. Supports variety of imports from other apps (Google Authenticator, Authy etc.), vault encryption and exporting keys (plaintext or encrypted).
  • FreeOTPPlus - Enhanced fork of FreeOTP-Android providing a feature-rich 2FA authenticator.
  • RavioOTP - A native, lightweight and secure one-time-password (OTP) solution for iOS users.
  • Authenticator Pro - Two-Factor Authentication (2FA) client for Android + Wear OS.
  • Gnome Authenticator - Open source two-factor authentication for Linux.

Postet gerne eure Liebelings-App dazu in die Kommentare!

Diese Änderungen möchten wir gerne bei allen Portalen by-default aktivieren, um eine bessere Sicherheit der Daten zu gewährleisten. Ein einziger Admin-Account mit schlechtem Passwort könnte sonst sämtliche Daten des Portals offenlegen, wenn das Passwort erraten wird.
Aber wie immer gilt, wenn ihr das nicht wollt, schreibt uns ein Kommentar. Jedes Portal kann prinzipiell dem Feature opt-outen, wenn sie das nicht wollen, aber wir, besonders unsere Software-Experten und Datenschützer, würden stark empfehlen, 2fA ein zu setzen.

    1. 12 Comment
  • Babett Rampke

    Hallo! Danke, klingt sinnvoll. Es ist mir wichtig, dass es für die User optional bleibt. Wie wird dazu die Kommunikation laufen? (Wie bekommen die User da mit, schaltet ihr dazu was oder wir Portaladmins; gibt es eine Anleitung/Erläuterung, wie sieht es bei Neuanmeldung oder nach Import aus?)
    Eine Möglichkeit, die Authetifizierung via SMS zu vollziehen kann es nicht geben?

  • Marvin Wilke

    Hallo Babett,

    Die Authentifizierung via SMS werden wir nicht anbieten, weil die Authentifizierung teuer, unsicher, unstabil und wir das bisher nicht entwickelt haben.

    Was nicht auszuschließen wäre die Authentifizierung über U2F/FIDO2. Dort würde man sich mit einem speziellen USB Stick wie z.B. einem SoloKey, Nitrokey oder YubiKey anmelden.

  • Babett Rampke

    Hallo Marvin! Danke für deine Antwort! Das Problem ist ja, dass das alles neue Gadgets oder Apps benötigt, und das stellt eben eine Barriere dar. Die Argrumente gegen SMS verstehe ich aber. Für die Admins werden wir schon eine Lösung finden, und alle Anderen brauchen es ja nur aktivieren wenn sie möchten.

    Nnochmal zu den anderen Fragen: Wann ist der Deploy? Wie bekommen die User es mit/erklärt? (unsere Aufgabe oder eure?)

  • Helmut Wolman

    Für Endnutzer bleibt das optoinal (by default). Ob und wie du deine Nutzer darüber informierst, bleibt dir überlassen. Wechange informiert nur euch Admins hier, denn nur für euch wird es zwingend.

  • Sascha Sommer (er)

    Hi Babett,
    ich wollte nur hinzufügen, dass man auch auf dem Computer ein Authenticator-Programm installieren kann. Man braucht also nicht zwingend eine App auf dem Handy zu installieren!

  • Babett Rampke

    Ah, schlau, danke Sascha! Danke Helmut für die Klärung!

  • Jens

    Das funktioniert auch mit yubikeys. Ich mache das mit einem yubikey5 für das Handy und für den PC

  • Jens

    Der Passwortmanager KeepassXC hat auch ein TOTP-Feature. Das läuft direkt auf dem PC. (Backup ist wichtig)

  • Davide Roberto

    Ich möchte noch Marvins Hinweis auf U2F/FIDO2 hervorheben und stärken. Gerade im Bereich von Administration usw. sind Nitrokey & Co weit verbreitet und im Gegensatz zu Software-Lösungen auch "wirkliche" zweite Faktoren.

  • Sascha Sommer (er)

    Danke für den Hinweis Davide, das werden wir für weitere Sicherheitserweiterungen im Auge behalten!

Legal Notice Privacy Policy