Vorbereitung

Grob zu wissen es funktioniert ...

... ist sinnvoll, da Sie dann die später besprochenen Vorsichtsmaßnahmen besser verstehen und im Kopf behalten können.

Die Zwei-Faktor-Authentisierung beruht darauf, dass neben dem Hauptkennwort noch ein weiterer Beweis Ihrer Anmelde-Berechtigung erbracht wird (zweiter Faktor).

Im Normalfall wählen wir als zweiten Faktor den Besitz Ihres Geräts (PC, Notebook, Tablet oder Smartphone). key.matiq bringt dafür in Form eines Cookies eine Art Stempel auf Ihrem Gerät an, sobald Sie sich von diesem Gerät aus erfolgreich angemeldet haben (auch wenn Sie die Zwei-Faktor-Authentisierung noch nicht angeschaltet haben). Und key.matiq registriert die "Nummer" dieses Stempels.

Das Cookie ist, wenn Sie Ihr Gerät ausreichend schützen, nur Ihnen zugänglich.

Bei einer späteren Anmeldung von diesem Gerät liest key.matiq das Cookie und erkennt das Gerät wieder, und erlaubt Ihnen auch bei scharf geschalteter Zwei-Faktor-Authentisierung die Anmeldung nur mit Box-Name und Hauptkennwort (die Sie gerne im Passwortmanager des Browsers speichern können, vorausgesetzt dieser ist durch ein Hauptpasswort geschützt).

Bei Ihren bereits freigeschalteten Geräten, werden sie also keinen Unterschied zwischen einfacher Authentisierung und Zwei-Faktor-Authentisierung bemerken.

Bei einem noch nicht freigeschalteten Gerät brauchen Sie aber einen anderen zweiten Faktor. Hier verwenden wir Anmeldeschlüssel. Das sind alphanumerische Zeichenfolgen, die Sie selbst innerhalb der key.matiq-Box erstellen können, oder (bei der "schwachen" Variante unserer Zwei-Faktor-Authentisierung) Ihnen per E-Mail zugesandt werden, wenn Sie einen Anmeldeversuch auf einem neuen Gerät unternehmen).

So ein Anmeldeschlüssel ist also, ähnlich wie das Cookie, in der Regel nur Ihnen zugänglich. Allerdings werden E-Mails ohne Ende-zu-Ende-Verschlüsselung versandt und sind daher nicht hundertprozentig sicher. Deshalb verfallen Anmeldeschlüssel, die per E-Mail versandt werden, sofort nach einer erfolgreichen Anmeldung und ansonsten nach einer Stunde.

Was ist also zu beachten?

Sie sollten Cookies zulassen und die key.matiq-Cookies nicht löschen.

Sie sollten für die Anmeldung an Ihre key.matiq-Box einen regulären Browser-Tab verwenden und keinen privaten Tab. (In privaten Tabs werden die angelegten Cookies nach Schließen des Tabs wieder gelöscht, so dass die Freischaltung des Geräts hinfällig wird.)

Sie sollten Ihren Geräten Namen geben. Das geht über das Menü "Einstellungen", darunter "Anmeldung", darunter "Gerätename ändern". Damit können Sie leichter ein Gerät sperren, sollten Sie es verlieren.

device-name

Sie sollten sicher stellen, dass Sie entweder ein zweites bereits freigeschaltetes Gerät besitzen, oder Sie einen längerfristigen Anmeldeschlüssel erstellen und ausdrucken oder außerhalb der key.matiq-Box abspeichern. Oder Sie wählen die Versendung per E-Mail, müssen aber sicherstellen, dass der Zugang zu Ihrer E-Mailbox immer gegeben ist.

Denken Sie auch bei Reisen daran, evtl. einen Anmeldekey mitzunehmen.

Natürlich sollten Sie auch Ihre Geräte (und damit die darauf gespeicherten Cookies) und gespeicherte oder ausgedruckte Anmeldeschlüssel vor unbefugtem Zugriff schützen.

Wie sicher ist überhaupt die Zwei-Faktor-Authentisierung?

Selbst wenn der oben empfohlenen Schutz der Cookies und Anmeldeschlüssel lückenhaft sein sollte, so hilft die Zwei-Faktor-Authentisierung immer noch gegen Hacker*innen, die aus dem Internet mit Botnets Brute-Force-Angriffe gegen Ihr Hauptkennwort fahren.

Der Zugriff auf Cookies oder Anmeldeschlüssel mag zwar lokalen Angreifer*innen bei ungenügendem Schutz noch möglich sein, aber die Gesamtzahl potentiell erfolgreicher Angriffe und damit auch das Risiko werden stark reduziert.

Außerdem kann key.matiq bei Zwei-Faktor-Authentisierung nach einer Anzahl von Fehlversuchen mit einem korrekt angegebenen Faktor diesen sperren, so dass das Risiko nochmals auf ein Minimum reduziert wird (innerhalb weniger Versuche müssten beide Faktoren korrekt sein).