Dieser Artikel beschreibt, wie der Zugriff auf das ProtectMaster-Webinterface, bzw. der Login mit einer Zwei-Faktor-Authentifizierung noch sicherer gemacht werden kann.
Die Zwei-Faktor-Authentifizierung – auch starke Authentifizierung oder 2FA genannt – dient dem Identitätsnachweis eines Schloss-Administrators mittels der Kombination zweier verschiedener Komponenten. Die erste Komponente ist das Passwort, welches für den Weblogin standardmäßig benötigt wird und die zweite Komponente ist ein über das Smartphone generierter „Einmalcode“. Aus dem Alltag ist dies Verfahren z.B. vom Geldautomaten bekannt. Erst die Kombination aus getrennten Komponenten, wie Bankkarte und PIN ermöglicht die Transaktion. Zwei-Faktor-Authentifizierung wird auch bei Google, Apple, PayPal, etc. genutzt, um die Accounts sicherer zu machen. Die Bezeichnungen für jenen sicheren Zugang unterscheiden sich geringfügig – die Technik ist jedoch immer identisch:
- Finanz Informatik (Starke Authentisierung: hier jedoch mit Passwort + Biometrie oder Smartcard)
- Amazon Web Services (AWS Multi-Factor Authentication)
- Facebook (Login Approvals)
- Google Accounts (2-step verification)
- Google Apps for Business (2-step verification)
- Microsoft Accounts (Two-Step Verification)
Der große, sicherheitstechnische Vorteil der 2-Faktor-Authentifizierung ist, dass ein ausgespähtes Passwort nicht zur Kompromittierung des Accounts führt, da der Angreifer (Hacker) nur das Passwort, nicht aber die zweite Komponente (den Einmalcode) besitzt.
Voraussetzungen für Zwei-Faktor-Authentifizierung
- Für die Einrichtung der Zwei-Faktor-Authentifizierung benötigen Sie ein Smartphone (Android oder iOS, Blackberry, Windows, etc.).
- Auf dem Smartphone muss eine App installiert sein, welche als 2-Faktor-Authentifizierungs-Dienst fungiert. Es gibt diverse Apps, welche entsprechende Funktionalitäten bieten. Wir empfehlen: Google Authenticator, HDE OTP Generator oder Authy. Einige Apps gibt es sowohl für Apple iOS, als auch für Android, Blackberry, Windows, etc.
- Auf dem Schloss-System muss die Version 2.3.2 oder höher installiert sein.
- Es wird empfohlen, auf dem Schloss-System einen Zeitserver (NTP) einzustellen, um eine korrekte Uhrzeit zu gewährleisten, da die Zwei-Faktor-Authentifizierung zeitbasierte Einmalcodes nutzt.
Einrichtung der Zwei-Faktor-Authentifizierung
- Melden Sie sich mit einem zweiten Admin-Benutzer am System an, da Sie keine Änderungen am eigenen Benutzer durchführen können.
- Rufen Sie sich die Benutzermatrix auf.
- Gehen Sie in der Zeile des Benutzers, welcher über Admin-Rechte verfügt, auf ► Berechtigungen zuweisen, bzw. das dritte Symbol von links (den gelben Blitz), um dem Benutzer die Berechtigungen zuzuweisen.
- Aktivieren Sie die ► Zwei-Faktor-Authentifizierung und bestätigen Sie mit OK.
- Melden Sie sich wieder vom System ab (Systemverwaltung ► Logout)
- Wenn sich nur der Admin-Benutzer am System anmeldet, bei welchem Sie die Zwei-Faktor-Authentifizierung aktiviert haben, so wird der Barcode und alternativ der Aktivierungscode angezeigt, welcher mit der Smartphone App verknüpft werden muss.
- Wichtig: Bitte notieren Sie sich den angezeigten Aktivierungsschlüssel und sichern diesen am besten nicht digital. Sie benötigen diesen Schlüssel für alle weitreren Schlösser, welche Sie mit dem 2-Faktor-Code sichern möchten. Auf dem nächsten Schloss wählen Sie dann „Schlüssel nicht automatisch generieren“ und geben diesen Schlüssel im Feld „eigener Schlüssel“ ein. Dieser Schlüssel wird auch benötigt, wenn Sie Ihr Smartphone verlieren. Es gibt ohne Smartphone und ohne Aktivierungscode keine Möglichkeit sich am Schloss-System anzumelden.
- Rufen Sie sich auf Ihrem Smartphone die Authentifizierungs-App auf und richten Sie das Schloss-System als neuen Account ein…
- Hier beispielhaft erklärt für Google Authenticator: App starten ► Menüpunkt: Konto einrichten (Optionsmenü) ► Menüpunkt: Barcode scannen ► Mit dem Smartphone den Barcode abscannen ► Den auf dem Smartphone angezeigten 2FA-Code im Schloss eingeben ► fertig.
- Beim nächsten Login erscheint zunächst das normale Passwort Login und anschließend zusätzlich die Zwei-Faktor-Authentifizierung. Der 2FA-Code wird Ihnen immer in Ihrer Smartphone-App angezeigt. Dieser Code wechselt jede Minute und ist max. 2 Minuten gültig. Danach läuft der Code ab und Sie benötigen einen neuen.
- Beispiel iPhone mit Google Authenticator:
