2-Faktor-Authentifizierung für den enabler4BIZ

Heute dürfen wir Sie über eine Erweiterung zur Absicherung des Managementsystem enabler4BIZ informieren: Ab der Version 4.3.485 unterstützt der enabler4BIZ 2-Faktor-Authentifizierung (2FA) mittels TOTP1. Ziel ist es, dass Benutzer neben ihren Zugangsdaten (Benutzername und Passwort) noch einen „zweiten Faktor“ für die Anmeldung benötigen. Im konkreten Fall ist dies eine Smartphone-App, mit deren Hilfe ein sechsstelliger Zahlencode generiert wird, der bei jedem Login zusätzlich eingegeben werden muss. Viele Onlineplattformen (Google, GMX, Dropbox, Facebook, ID Austria, …) unterstützen diese Technologie mittlerweile und auch im Online Banking ist dieses Konzept des zweiten Faktors schon seit vielen Jahren etabliert.

Modi

Für die Verwendung stehen drei verschiedene Modi zur Verfügung, die über enabler4BIZ-Konfiguration aktiviert werden können:

  • Eingeschaltet: 2FA ist für alle Benutzer aktiviert und jeder Benutzer kann selbst entscheiden, ob er es verwenden will oder nicht. Benutzer, die es verwenden wollen, können sich über einen neuen Menüpunkt im Profil-Menü den zur Aktivierung erforderlichen QR-Code generieren lassen – Details siehe weiter unten.
  • Erzwungen: 2FA ist für jeden Benutzer zwingend erforderlich. Beim nächsten Login wird jeder User dazu aufgefordert, 2FA zu aktivieren und muss es ab diesem Zeitpunkt auch nutzen. Auch hier ist ein Zurücksetzen nur durch einen Administrator möglich.
  • Ausgeschaltet: 2FA ist global für alle Benutzer des gesamte Systems deaktiviert.

Im Rahmen der Auslieferung werden alle On-Premise-Kundensysteme automatisch auf „Ausgeschaltet“ gestellt. Bei den bei uns gehosteten System wird „Eingeschaltet“ aktiviert. Bitte geben Sie uns Bescheid, wenn Sie eine andere Einstellung für Ihren enabler4BIZ haben möchten.

Aktivierung

Um die 2-Faktor-Authentifzierung zu aktiveren, öffnenen Sie Ihr Profil-Menü. Dort finden Sie einen neuen Menüpunkt „2-Faktor-Authentifizierung“:

Es öffnet sich ein neues Fenster, in dem Sie die 2FA aktivieren können:

ACHTUNG: Sobald der QR-Code generiert wurde, ist die 2FA aktiv. Wurde der QR-Code nicht in eine App übernommen, muss die 2FA von einem Administrator für diesen User zurückgesetzt werden und die Aktivierung beginnt von vorne.
Ein Zurücksetzen/Deaktivieren der 2FA-Einstellung für einen Benutzer ist nur durch einen Administrator möglich.

In der 2FA-App wird der Zugang standardmäßig mit der Bezeichnung „enabler4BIZ“ sowie dem Benutzernamen aufgelistet. Wenn Sie eine andere Bezeichnung wünschen, können wir diese gerne für Sie anpassen.

2-Faktor-Authentfizierung, Single-SignOn und Autologin-User

Single SignOn-Benutzer sind von der 2FA ausgenommen, da die Benutzung (fast) ausschließlich über Firmencomputer und über das lokale Firmennetzwerk erfolgt. Eine zweifache Absicherung bringt somit keinen merklichen Mehrwert. Für Single SignOn-Benutzer ist die neue Funktion im Profil-Menü auch nicht sichtbar.

Für eventuell in Verwendung befindliche Autologin-User ist die 2FA ebenfalls nicht wirksam.

Wird der enabler4BIZ über einen Link (z.B. aus einer einer automatischen enabler4BIZ-Benachrichtigung) aufgerufen, muss ebenfalls der zweite Faktor eingegeben werden.

Zurücksetzen der 2-Faktor-Authentifizierung

Administratoren können jederzeit die 2FA für einen Benutzer zurück setzen. Dies kann z.B. notwendig sein, wenn das Smartphone eines Benutzers nicht mehr funktionsfähig ist. Öffnen Sie dazu in der enabler4BIZ-Administration im Bereich „User“ die User-Verwaltung. Dort finden Sie eine neue Spalte mit einem orangen Kreispfeil:

Klicken Sie auf diesen Pfeil, um die 2-Faktor-Authentifizierung für diesen Benutzer zurück zu setzen. Beim nächsten Login kann (im Modus „eingeschaltet“) bzw. muss (im Modus „erzwungen“) der Benutzer einen neuen 2FA-QR-Code mit seiner App scannen.

Sollten Sie Fragen zu dieser Erweiterung haben, stehen wir Ihnen sehr gerne über unsere Kontaktmöglichkeiten zur Verfügung.

  1. TOTP steht für Time-based one-time password. Dabei handelt es sich um eine, für Benutzer einfach zu implementierende Methode. Mit Hilfe einer sogenannten OTP-App (z.B. „Google Authenticator“ für iOS/Android oder „Microsoft Authenticator“ für iOS/Android, über die Suche im App-/Play-Store sind unzählige weitere OTP-Apps zu finden) wird ein QR-Code abgescannt. Danach zeigt die App für die gewünschte Anwendung einen sechs stelligen Zahlencode, der im Rahmen des Logins eingegeben werden muss. Der Zahlencode ist jeweils nur kurze Zeit gültig. Alle 30 Sekunden wird ein neuer Code generiert. ↩︎