Zwei-Faktor-Authentisierung (2FA)

Wenn Sie diese Form der Authentisierung einschalten, wird neben dem Hauptkennwort ein zweiter Identitätsnachweis verlangt. In der Regel ist dies der Nachweis, dass das angemeldete Gerät Ihnen gehört. Das geschieht unauffällig über das Cookie "device_id".

Nur in Ausnahmefällen (neues Gerät, versehentliches Aussperren) dient ein "Anmeldeschlüssel" als zweiter Faktor. Je nachdem, wie Sie diesen Anmeldeschlüssel erhalten unterscheiden wir zwischen "starker" und "schwacher" 2FA.

Bei der "starken" Variante müssen Sie den Anmeldeschlüssel selbst erstellen und übertragen. Sie melden sich von einem Gerät aus, dass der Box bereits bekannt ist, and. Über "Einstellungen" -> "Anmeldung" -> "Anmeldeschlüssel" erstellen Sie einen Schlüssel oder nehmen einen bereits erstellten und drucken ihn z. B. aus. Auf dem neuen Gerät geben Sie ihn dann bei der Anmeldung mit ein.

Bei der "schwachen" Variante wird der Anmeldeschlüssel bei einem Versuch, sich von einem unbekannten Gerät aus anzumelden, Ihnen per E-Mail automatisch zugesandt. Dies geht natürlich nur, wenn Sie eine E-Mail-Adresse angegeben haben. Der "Schwach"-punkt ist die Versendung per E-Mail, da E-Mails oft unverschlüsselt über das Netz gehen und eine Ende-zu-Ende-Verschlüsselung gar nicht gegeben ist. Dennoch ist diese Variante weit sicherer als überhaupt keine 2FA einzustellen.

Geräteidentifizierung

Wenn Sie eine Box registrieren oder sich in ihr anmelden, wird das Cookie "device_id" gesetzt, damit dieses Gerät bei einer späteren Anmeldung als Ihnen zugehörig identifiziert werden kann.

Das geschieht auch, wenn Sie die 2FA noch nicht eingeschaltet haben. Denn dadurch ist es Ihnen möglich, auch nachträglich diese Funktion einschalten, ohne dabei bereits für die Anmeldung benutzte Geräte auszusperren.

Die letzten 10 mehrfach für die Anmeldung benutzten Geräte werden bei Anschalten der 2FA als der Box-Eigentümer*in zugehörig angesehen.

Gerätenamen

Der Name wird benötigt, wenn ein Gerät verloren geht und gesperrt werden soll.

Über das Menü "Einstellungen", Untermenü "Anmeldung", Punkt "Methode" können Sie bestimmen, ob Sie zur Eingabe des Gerätenames bereits bei erstmaliger Anmeldung (mit diesem Gerät) aufgefordert werden, oder nur wenn Sie die 2FA eingeschaltet haben.

auth-method

Geräteverlust

Geht ein Gerät verloren geht, sollten Sie es über das Menü "Einstellungen", Untermenü "Anmeldung", Punkt "Geräte" austragen oder deaktivieren. Dann ist bei eingeschalteter 2FA mit diesem Gerät keine Anmeldung mehr möglich.

Neues Gerät

Wollen Sie ein neues Gerät benutzen wollen, können Sie sich über das Menü "Einstellungen", Untermenü "Anmeldung", Punkt "Anmeldeschlüssel" einen Anmeldeschlüssel erstellen. Dieser dient dann bei einem unbekannten Gerät ersatzweise als zweiter Anmeldefaktor.

Diesem Anmeldeschlüssel können Sie ein Verfallsdatum beigeben. Sie können die Anmeldeschlüssel auch vorzeitig löschen oder das Verfallsdatum ändern.

Anmeldeschlüssel mit kurzer Verfallszeit sind kürzer und daher einfacher einzugeben als solche mit längerer Verfallszeit oder dauerhafte Anmeldeschlüssel. Bei der Eingabe brauchen Sie nicht auf Groß- und Kleinschreibung zu achten und können auch Leerzeichen und/oder Zeilenumbrüche nach Belieben einfügen oder weglassen.

Maximal 10 Geräte

Sie können bis zu zehn registrierte Geräte gleichzeitig halten. Wenn Sie ein neues Gerät registrieren, wird nötigenfalls das Gerät mit dem niedrigsten Rang (zuunterst in der Liste) entfernt. Der Rang bestimmt sich nach der von Ihnen gewählten Priorität (Werte zwischen 0 und 3, Vorbelegung 1), dem Tag der letzten Benutzung, und ob es mehr als einmal von key.matiq entdeckt wurde.

Setzen Sie also Geräte, die keinesfalls entfernt werden sollen, auf Priorität 2 oder 3 und solche, die sie nur einmalig benutzen auf Priorität 0.

edit-device-priority

Mehr als 10 Geräte?

Wenn Sie dauerhaft mehr als 10 Geräte parallel benutzen, so brauchen Sie dennoch nicht auf die 2FA zu verzichten. Sie können entweder die "schwache" Variante der 2FA einstellen und sich ggf. einen Anmeldeschlüssel (oder gar einen Freischaltungslink) per E-Mail zuschicken lassen. Oder Sie erzeugen einen dauerhaften Anmeldeschlüssel, den Sie bei Bedarf für die Anmeldung einsetzen können.

Lockouts – Aussperrung nach vielen Fehlversuchen

Wenn Sie die 2FA aktiviert haben und auch eine E-Mail-Adresse angegeben haben, so können Sie diese Option bei der Anmeldemethode aktivieren. (Menü "Einstellungen", darunter "Anmeldung", darunter "Methode".)

In diesem Fall wird nach jeweils fünfmaliger Anmeldung mit einem ungültigen und demselben gültigen Faktor, der gültige Faktor eine Zeitlang gesperrt: Erst zwei Minuten, dann zehn Minuten, dann eine Stunde, dann vier Stunden, dann einen Tag, dann eine Woche, schließlich dauerhaft. Insgesamt sind also 35 Fehlversuche nötig, um einen Faktor dauerhaft als kompromittiert zu betrachten.

Bei jeder Sperrung erhalten Sie eine Nachricht per E-Mail, die Ihnen mitteilt, wann der Faktor (Hauptkennwort, Geräte-Eintrag oder Anmeldeschlüssel) wieder freigegeben wird.

(Zur Vermeidung einer vorschnellen Kettenreaktion: Ein temporär gesperrter Faktor wird nicht als "ungültig" angesehen, sondern nur als "verdächtig". Damit führt seine Benutzung in einer anderen Konstellation, zusammen mit einem gültigen anderen Faktor, keineswegs zum Lockout des anderen Faktors. Erst wenn ein Faktor dauerhaft gesperrt ist, wird er als kompromittiert und damit auch als "ungültig" angesehen. Dann erst könnte seine Benutzung andere gültige Faktoren ebenfalls in Verdacht bringen.)

Über ein Ticket (Menu "Support", darunter "Kennwort vergessen ...") können Sie gegebenenfalls beantragen, die Box zu entsperren, ein neues Hauptkennwort zu setzen und Ihr Gerät wieder freizuschalten.

Hinweis: Nach dem Setzen eines neuen Hauptkennworts sind Ihre Geheimnisse noch mit dem alten Hauptkennwort verschlüsselt. Sie können sich dann aber anmelden und über die Eingabe des alten Hauptkennworts ("Wiedergefundenes Kennwort") die Umschlüsselung Ihrer Geheimnisse auf das neue Hauptkennwort veranlassen.