Pertuniti unterstützt Zwei-Faktor-Authentifizierung via WebAuthn. Damit können sowohl Sicherheitsschlüssel (z.B. YubiKey, Swissbit iShield, Google Titan und viele weitere) als auch Smartphones (Passkeys) als zweiter Faktor eingerichtet werden.
Inhaltsverzeichnis
- Warum WebAuthn?
- Einrichten eines Sicherheitsschlüssels oder Passkeys
- Login via Sicherheitsschlüssel oder Passkey
- Ich habe meinen Sicherheitsschlüssel oder mein Smartphone verloren
Anhang A. Kompatibilität von Sicherheitsschlüsseln
1. Warum WebAuthn?
Ein Login nur via Nutzername (E-Mail-Adresse) und Passwort kann heute leider kaum als sicher angesehen werden, da Passwörter häufig für mehrere Plattformen wiederverwendet werden — und einmal geleakte E-Mail-Passwort-Kombinationen schnell auch auf anderen Webseiten durchprobiert werden. Selbst wenn sichere Passwörter gewählt und nur einmal verwendet werden, können gut gemachte Phishing-Webseiten erfolgreich sein und Zugangsdaten Unbefugten zur Verfügung stellen.
Pertuniti baut daher generell auf Zwei-Faktor-Authentifizierung und fragt Sie ohne weitere Einstellungen nach einem Einmalpasswort, das Sie per E-Mail erhalten. Ein geleaktes Passwort allein reicht daher nicht für einen Zugriff auf Pertuniti aus. Vor Phishing schützt dieses Vorgehen jedoch nicht, weshalb wir auch den Standard WebAuthn zum Login unterstützen.
Generell empfehlen wir die Verwendung von Sicherheitsschlüsseln oder Passkeys auf Smartphones als zweiten Faktor, da eine Authentifizierung via WebAuthn auch den Domänennamen berücksichtigt und daher üblicherweise als “Phishing-resistent” bezeichnet wird. Dieser Artikel erklärt, wie Sie einen Sicherheitsschlüssel oder Passkey einrichten.
2. Einrichten eines Sicherheitsschlüssels oder Passkeys
Unabhängig davon, ob Sie einen physischen Sicherheitsschlüssel oder Passkey via Smartphone einrichten möchten, ist der Beginn der gleiche:
- Öffnen der Einstellungen (Menü rechts oben auf Ihrem Kürzel oder Profilbild)
- Menüpünkt “Sicherheitsschlüssel” in der Gruppe “Sicherheit”
Sie können diese Einstellungen direkt öffnen: https://app.pertuniti.com/#/config/security-keys
Ohne eingerichteten Sicherheitsschlüssel öffnet sich folgende Ansicht:
Rufen Sie nun “Neuen Schlüssel registrieren” auf. Geben Sie den Schlüssel oder Passkey einen sprechenden Namen, mit dem Sie ihn selbst leicht zuordnen können, z.B. “Johanness’ Yubikey” oder “iPhone 15”. Verlieren Sie Ihr Gerät, können Sie so den Eintrag leicht wieder entfernen. Eine Eingabe kann z.B. wie folgt aussehen:
Mit einem Klick auf “Registrieren” haben Sie zwei Möglichkeiten:
2.1 Einrichten eines physischen Sicherheitsschlüssels
Pertuniti unterstützt zahlreiche Sicherheitsschlüssel, die sich an den Standard WebAuthn bzw. FIDO2 halten. In Anhang A listen wir kompatible Sicherheitsschlüssel auf, funktionieren werden jedoch viele weitere ebenfalls.
2.2 Einrichten eines Passkeys über Ihr Smartphone
Auch das Smartphone kann statt einem Sicherheitsschlüssel als zweiter Faktor eingerichtet werden. Geben Sie auch diesem einen sprechenden Namen und fügen Sie es wie folgt hinzu:
2.3 Eingerichteter Sicherheitsschlüssel oder Passkey
Nachdem Sie einen Sicherheitsschlüssel oder Passkey eingerichtet haben, wird dieser in der Liste der Sicherheitsschlüssel angezeigt, z.B. so:
In dieser Ansicht können Sie bei Verlust verlorengegangene Sicherheitsschlüssel oder Smartphones wieder entfernen, damit sie nicht mehr als sicherer zweiter Faktor zum Login gesehen werden.
3. Login via Sicherheitsschlüssel oder Passkey
Sie können sich nun mit dem neu eingerichteten Sicherheitschlüssel oder Passkey einloggen. Möchten Sie das testen, melden Sie sich zunächst ab (Menü > Abmelden) und geben Ihren Nutzernamen und Passwort ein. Anschließend werden Sie nach Ihrem neuen zweiten Faktor gefragt:
4. Ich habe meinen Sicherheitsschlüssel oder mein Smartphone verloren
Pertuniti erwartet für den Login einen zweiten Faktor, was bei Verlust dieses physischen zweiten Faktors natürlich nicht funktioniert.
Standardmäßig unterstützt Pertuniti bei einem fehlgeschlagenen Login via Sicherheitsschlüssel weiterhin einen Login via E-Mail-Code. Verwenden Sie im Zweifelsfall daher diese Option.
Nur für Enterprise-Kunden: Haben Sie für Ihre Organisation einen Login via E-Mail deaktiviert, empfehlen wir die Registrierung eines zweiten Sicherheitsschlüssels, der an einem sicheren Ort verwahrt wird und bei Verlust des anderen Sicherheitsschlüssels zum Login verwendet werden kann. Andernfalls hängt Ihr nächster erfolgreicher Login von den konkreten kundenspezifischen Konditionen zur Wiederherstellung eines verlorenen Schlüssels ab.
Nach einem erfolgreichen Login sollten Sie den verlorenen Schlüssel aus der Liste der Sicherheitsschlüssel entfernen.
Anhang A. Kompatibilität von Sicherheitsschlüsseln
Name | Hersteller | Schnittstelle | Hergestellt in | Kompatibilität | ||||
---|---|---|---|---|---|---|---|---|
Windows (11) | macOS (Ventura) | Ubuntu (23.04) | iOS (16) | Android (13) | ||||
Google Titan Security Key | USB-C, NFC | USA & China | 1) | |||||
Swissbit iShield Key Pro | Swissbit | USB-A, NFC | Deutschland | 2) | ||||
Swissbit iShield Key FIDO2 | Swissbit | USB-A, NFC | Deutschland | 2) | ||||
YubiKey Security Key NFC | Yubico | USB-A, NFC | Schweden & USA | |||||
YubiKey Security Key C NFC | Yubico | USB-C, NFC | Schweden & USA |
- Windows (11): Chrome, Edge, Firefox
- macOS (Ventura): Safari, Chrome
- Ubuntu (23.04): Firefox, Chromium
- iOS (16): Safari (Verbindung via NFC)
- Android (13): Chrome (Verbindung via USB-C und Adapter für USB-A-Schlüssel)