2-Faktor-Authentifizierung (2FA)

In diesem Artikel erfahren Sie, wie Sie Ihr e-guma Backoffice mit der 2-Faktor-Authentifizierung besser vor unbefugten Zugriffen schützen können.

In diesem Artikel

Was ist eine 2-Faktor-Authentifizierung (2FA)
Authenticator Apps
2FA als Benutzer aktivieren
- Mein Benutzer
Login mit 2FA

Gerät vertrauen

Eigene 2FA deaktivieren
Administrator-Funktionen

2FA für alle Benutzer verlangen
Übersicht in der Benutzerverwaltung
Einzelne Benutzer von der 2FA-Pflicht ausschliessen
Deaktivieren der 2FA über Benutzerverwaltung

Small Clients
Gruppen
e-guma Apps & Web Check-in

Was ist eine 2-Faktor-Authentifizierung

Die 2-Faktor-Authentifizierung, kurz 2FA, ist ein Sicherheitsmechanismus, der zusätzlichen Schutz für Benutzerkonten bietet. Anstatt sich nur auf ein Passwort zu verlassen, erfordert die 2FA zwei verschiedene Identifikationsmethoden, um die Identität eines Nutzers zu bestätigen.

Erster Faktor (Wissen): Dies ist typischerweise das Passwort, das der Benutzer kennt.
Zweiter Faktor (Besitz): Hierbei handelt es sich z. B. um eine mobile- oder desktopbasierte Authenticator App, d. h. etwas, das sich im Besitz des Benutzers befindet.

Um sich anzumelden, muss der Benutzer beide Faktoren erfolgreich bereitstellen. Dies erhöht die Sicherheit erheblich, da selbst wenn ein Angreifer das Passwort kennen sollte, immer noch der zweite Faktor benötigt wird. 2FA kann grundsätzlich in verschiedenen Formen angewendet werden, darunter SMS-Codes, Authenticator Apps, biometrische Verfahren oder physische Sicherheitstoken. In e-guma setzen wir auf die 2FA mittels Authenticator App.

Authenticator Apps

Authenticator Apps sind Anwendungen, die eine 2FA für Ihr Benutzerkonto ermöglichen. Sie generieren zeitlich begrenzte Einmalpasswörter (Time-based One-Time Passwords oder kurz TOTPs), die alle 30 Sekunden aktualisiert werden und als zweiter Faktor für die Anmeldung dienen. Wir empfehlen unter anderem folgende gängigen Authenticator Apps:

Google Authenticator (App Store | Google Play)
Microsoft Authenticator (App Store | Google Play)
Duo Mobile (App Store | Play Store)
Authy (App Store | Google Play)
LastPass Authenticator (App Store | Play Store)
Passwort Manager 1Password als Authenticator für die 2FA

Diese Authenticator Apps bieten eine bequeme und sichere Methode, um den zweiten Faktor der 2FA zu verwalten. Diese Authenticator Apps können neben e-guma auch für andere Dienste verwendet werden.

2FA für Benutzer aktivieren

Jeder Benutzer muss die 2FA im eigenen Benutzerkonto aktivieren und individuell einrichten.

Mein Benutzer

Die 2FA kann über den Menüpunkt Mein Benutzer aktiviert werden. Im Bereich 2-Faktor-Authentifizierung kann der Aktivierungsprozess über den Button Aktivieren gestartet werden.

Aus Sicherheitsgründen müssen Sie vor dem Start Ihr Passwort bestätigen. Scannen Sie anschliessend den angezeigten QR-Code in Ihrer Authenticator App. Wie Sie in Ihrer Authenticator App eine neue 2FA-Anmeldung erstellen, entnehmen Sie bitte Ihrer jeweiligen Dokumentation.

Nach der Einrichtung generiert Ihre Authenticator App nun alle 30 Sekunden einen neuen Code. Geben Sie den aktuellen Code im Feld Code ein, um die Einrichtung in e-guma abzuschliessen.

Bitte beachten Sie die zeitliche Limitierung der TOTPs. Der Code muss innerhalb der angezeigten Frist eingegeben werden. Mit einem gültigen Code kann die Einrichtung der 2FA für das Benutzerkonto abgeschlossen werden.

Sobald die 2FA für einen Benutzer aktiviert ist, muss der Login ins e-guma Backoffice mit dem 2FA-Code bestätigt werden. Öffnen Sie dazu Ihre Authenticator App und geben Sie den angezeigten Code während seiner Gültigkeit im Feld Code ein.

Bei Eingabe eines gültigen Codes folgt die Anmeldung in e-guma.

Gerät vertrauen

Damit nicht jeder einzelne Login mittels 2FA verifiziert werden muss, können Sie die 2FA auf dem gleichen Gerät während 30 Tage pausieren. Nutzen diese Funktion nur auf vertrauenswürdigen Geräten innerhalb Ihrer firmeninternen IT-Infrastruktur.

Um die 2FA für 30 Tage zu pausieren, wählen Sie die Option Vertrauen. Falls weiterhin jeder Login mittels 2FA verifiziert werden soll, da Sie z. B. von einem öffentlichen Gerät auf e-guma zugreifen, wählen Sie die Option Nicht vertrauen.

Wenn Sie die Cookies auf Ihrem aktiven Gerät löschen, verfällt die Option Vertrauen und die nächste Anmeldung in e-guma muss wieder mit einer 2FA bestätigt werden.

Eigene 2FA deaktivieren

Jeder Benutzer kann seine eigene 2FA jederzeit wieder deaktivieren. Wählen Sie unter Mein Benutzer im Bereich 2-Faktor-Authentifizierung den Button Deaktivieren aus. Sie müssen die Deaktivierung wie bei einem Login mit einem 2FA-Code bestätigen. Bei korrekter Eingabe ist die 2FA nun deaktiviert. Anschliessend kann die 2FA jederzeit wieder aktiviert werden.

Administrator-Funktionen

Als e-guma Benutzer mit Administratoren- und Benutzerverwaltungs-Rechten stehen Ihnen weitere Funktionen zur Verfügung.

2FA für alle Benutzer verlangen

Als Administrator können Sie von allen Benutzern die 2FA verlangen. Aktivieren Sie dazu in den Einstellungen -> Allgemein die Option 2-Faktor-Authentifizierung für alle Benutzer verlangen. Sobald diese Option aktiv ist, müssen Benutzer die Aktivierung der 2FA innerhalb von 10 Tagen nach dem nächsten Login durchführen.

Die Benutzer werden beim nächsten Login nach Aktivieren der Option auf die Forcierung der 2FA aufmerksam gemacht. Ebenfalls wir der Benutzer informiert, wann die 10-tägige Frist endet und wann die 2FA spätestens aktiviert werden muss. Der Benutzer kann die Aktivierung sofort vornehmen oder sie auf einen späteren Zeitpunkt verschieben.

Nach Ablauf der 10-tägigen Frist ist ohne Aktivierung der 2FA kein Login in e-guma mehr möglich.

Übersicht in der Benutzerverwaltung

In der e-guma Benutzerverwaltung wird angezeigt, welche Benutzer die 2FA bereits aktiv einsetzen und welche noch nicht.

Einzelne Benutzer von der 2FA-Pflicht ausschliessen

Sofern Sie die Option 2FA für alle Benutzer verlangen aktiviert haben, besteht wiederum die Möglichkeit, einzelne Benutzer von dieser Forcierung auszunehmen. Diese Ausnahmen können Sie in den Benutzereinstellungen des jeweiligen Benutzers festlegen. Aktivieren Sie dazu für die gewünschten Benutzer die Option 2FA für diesen Benutzer nicht verlangen. Diese sind somit von der 2FA-Pflicht ausgenommen. Es wird während des Logins jedoch weiterhin eine 2FA-Empfehlung mit Möglichkeit zur Einrichtung angezeigt.

Deaktivieren der 2FA über Benutzerverwaltung

Administratoren der Benutzerverwaltung können die 2FA für einzelne Benutzer deaktivieren. Im entsprechenden Benutzerprofil kann die 2FA über den Button 2FA deaktivieren ausgeschaltet werden. Um Missbrauch vorzubeugen, wird eine E-Mailbenachrichtigung an den betreffenden Benutzer ausgelöst. Aus dem gleichen Grund kann ein Benutzer-Administrator über diesen Weg nicht seine eigene 2FA deaktivieren.

Sollten Mitarbeiterinnen oder Mitarbeiter ihren Zugang zur Authenticator App verlieren oder nicht verfügbar haben, können sie sich an den internen e-guma Benutzeradministratoren wenden. Somit kann eine 2FA zurückgesetzt und neu eingerichtet werden.

Gruppenlösung

In e-guma Group gibt es die Möglichkeit, mandantenübergreifende Benutzer zu erstellen. Diese werden bei allen Mitgliedern hinzugefügt und können zwischen den Mandanten wechseln, ohne sich neu ein- und ausloggen zu müssen. Für diese mandantenübergreifenden Benutzer muss die 2FA zwingend im Gruppenmandanten aktiviert werden. Eine Aktivierung der 2FA während der Benutzer in einem Gruppenmitglied eingeloggt ist, ist nicht möglich.

Small Clients

Für Small Clients, die Mitglied einer Organisationslösung sind, ist keine 2FA möglich, da diese nur eine reduzierte Benutzeroberfläche bieten.

e-guma Apps und Web Check-in

Für die e-guma Voucher App und die e-guma Ticket App sowie das Web Check-in steht die 2FA derzeit nicht zur Verfügung.