Mehr Schutz durch Zwei-Faktor-Authentifizierung

Die Anmeldung mittels Nutzername und Passwort ist nach wie vor bei vielen Systemen im Internet der Standard. Die stetig wachsende Zahl an verschiedenen Online-Konten verleitet viele Nutzer*innen jedoch dazu, besonders einfache Passwörter zu verwenden oder dasselbe Passwort mehrfach zu vergeben.

Erhöhung der Sicherheit
Neben der Vorgabe konkreter Sicherheitsrichtlinien, wie die strukturelle Zusammensetzung von Passwörtern und die Notwendigkeit Passwörter nach einem bestimmten Zeitraum ändern zu müssen, ist eine starke Authentifizierung durch den Einsatz eines zweiten Faktors bei der Anmeldung ein geeignetes Mittel die Systemsicherheit grundsätzlich zu erhöhen. Dieses Verfahren wird Zwei-Faktor-Authentifizierung genannt oder auch kurz „2FA“.

Der campaignpilot ermöglicht allen Nutzer*innen die Verwendung von Einmalpasswörtern als zusätzlichen Faktor. Diese zeitlich begrenzt gültigen Authentifizierungsschlüssel werden bei einer Anmeldung zusätzlich zum Nutzername und dem persönlichen Passwort abgefragt. Um das maschinell erzeugte Einmalpasswort zu erhalten, kann jeder Anwender*in in den Nutzereinstellungen wählen, ob er die Authentifizierungsschlüssel per E-Mail zugesendet oder über eine App auf dem Smartphone angezeigt bekommen möchte.

Soll aus Sicherheitsgründen die Nutzung der Zwei-Faktor-Authentifizierung für alle Anwender*innen einheitlich vorgeschrieben werden, kann dies im campaignpilot konfigurativ auf Mandantenebene erfolgen. In diesem Fall ist natürlich keine nutzerindividuelle Wahl des Verfahrens mehr möglich.

Nutzung von 2FA-Apps
Der Einsatz von Zwei-Faktor-Authentifizierungs-Apps (2FA-Apps) ist denkbar einfach. In den Nutzereinstellungen des campaignpilot wird hierzu ein individueller QR-Code für die Einrichtung von 2FA angezeigt. Wird dieser mit der 2FA-App auf dem Smartphone gescannt, ist die App nach erfolgreicher Erkennung mit dem campaignpilot Account der Nutzer*in verbunden und erzeugt alle 30 Sekunden einen neuen Authentifizierungsschlüssel. Dieser wird dann für die Anmeldung zusätzlich zum normalen Nutzernamen und Passwort benötigt.

Die Einmalpasswörter werden auf Grundlage eines geheimen Schlüssels erzeugt, der dem campainpilot und der 2FA-App bekannt ist. Mithilfe des Schlüssels und der aktuellen Uhrzeit kann sowohl die Webanwendung als auch das Smartphone die sechsstelligen Einmalpasswörter errechnen. Dieses Verfahren wird OATH TOTP (Time-based One-time Password) genannt und ist der Standard bei 2FA-Apps.

Viele 2FA-Apps geeignet
Da die Zwei-Faktor-Authentifizierung auf Basis des TOTP-Verfahrens bei vielen Online-Diensten zum Einsatz kommt, existieren auch unterschiedliche 2FA-Apps zur Erzeugung der Einmalpasswörter. Für die starke Authentifizierung im campaignpilot können Sie unter Anderem zwischen den folgenden Apps wählen:
Eine Auswahl weiterer 2FA-Apps finden Sie auf den Hilfe-Seiten des Dienstes web.de.

Kompromiss aus erhöhter Sicherheit und Komfort
Da die zusätzliche Eingabe eines Einmalpassworts bei jeder Systemanmeldung nicht unbedingt zur gesteigerten Freude bei den Nutzer*innen einer Webanwendung führt, kann mit dem campaignpilot  ein Kompromiss aus erhöhter Sicherheit und Komfort gefunden werden: Angelehnt an das PSD2-Verfahren im Online Banking, kann auf Mandantenebene definiert werden, dass der zweite Faktor nur nach gewissen Zeitabständen angefordert wird. So kann beispielsweise eingestellt werden, dass sich Nutzer*innen immer nur alle 10 Tage mit einem zusätzlichen Authentifizierungsschlüssel anmelden müssen. An den anderen Tagen genügt die Nutzerkennung und das persönliche Passwort.

Fazit
Durch den Einsatz der Zwei-Faktor-Authentifizierung lässt sich die Sicherheit im campaignpilot deutlich erhöhen. Falls die andauernde Eingabe eines Authentifizierungsschlüssels zu aufwendig erscheint, kann mit der Definition eines geeigneten Zeitabstands zwischen den verpflichtenden Authentifizierungen mit einem zweiten Faktor ein guter Kompromiss gefunden werden.