Zwei-Faktor-Authentifizierung: Doppelte Sicherheit beim Login

Auf einen Blick:

  • Digitales Verfahren zum Identitätsnachweis eines Nutzers
  • Basiert auf der Kombination zweier unterschiedlicher und unabhängiger Komponenten ("Faktoren" oder auch Geheimnisse" genannt)
  • Doppelter Schutz für sensible Daten
  • Insbesondere für sicherheitskritische Anwendungsbereiche

Was Sie bereits von unserem Digicluster v3 kennen, gilt jetzt auch für unsere Industrierouter: Seit der Firmware-Version 6.3.4 ist auf den Routern der v3-Serie eine Zwei-Faktor-Authentifizierung (2FA) integriert. Der zweite Faktor ist ein 6-stelliger Zifferncode und wird von einer App auf dem Smartphone laufend neu generiert (One-Time-Pass bzw. OTP / "Einmalcode"). Dieser muss beim Login zusätzlich zum Passwort eingegeben werden. Erhält eine dritte Person Kenntnis von dem Passwort, bleibt der Zugriff durch den zweiten Faktor trotzdem verwehrt. Je nach Anwendungsfall erhöht dies nicht nur die Sicherheit, sondern auch den Nutzerkomfort.

Dank dieser neuen Funktion können Sie für mehrere Router das gleiche Passwort zu nutzen, aber den Zugang darüber hinaus per 2FA zu schützen. Sie bzw. Ihre Mitarbeiter müssen sich in diesem Fall nur ein Passwort merken. Für maximale Sicherheit kann natürlich trotzdem ein individuelles Passwort für jeden Router vergeben werden.

 

Voraussetzungen für die 2FA

Die 2FA setzt eine korrekte, möglichst sekundengenau eingestellte Uhrzeit auf dem Router voraus. Es ist daher dringend zu empfehlen, die Uhrzeit automatisch per Internet (NTP) zu beziehen. Das Feld dafür ist im Menü über Services -> NTP zu finden.

Nach Aktivierung von 2FA ist der Login auf den Router nur noch in Kombination mit dem Einmalcode möglich. Es ist deshalb empfehlenswert, vor der eingestellten Einrichtung einen weiteren Administrator-Zugang anzulegen. Dieser kann später wieder gelöscht werden oder an einem sicheren Ort archiviert werden (z. B. Safe), sodass im Notfall darauf zurückgegriffen werden kann.

Die 2FA-Daten beziehen sich immer auf den aktuell angemeldeten Benutzer (z.B. "root"). Sie werden bei einem Backup/Restore mit übernommen, wenn das Feld "Backup users" aktiviert ist.

Geeignete Apps für die 2FA

Zur Generierung der Einmalcodes wird eine Smartphone-App benötigt wie z. B. Google Authenticator, Microsoft Authenticator oder FreeOTP. Der Vorgang ist standardisiert, d. h. Sie können eine OTP-App Ihrer Wahl nutzen. Einige bieten dabei zusätzlichen Schutz, da sie erst noch durch einen Code oder Fingerabdruck entsperrt werden müssen. Auch eine Backup-/Restore-Funktion ist nicht bei allen Apps enthalten.

Beachten Sie außerdem, dass je nach App die Daten nicht in einem Komplett-Backup des Smartphones enthalten sein können. Wir empfehlen daher ergänzend die Sicherung der OTP-Zugänge in einem Passwortmanager wie KeePassXC.

Vorgehensweise im Router

Aktivierung der Zwei-Faktor-Authentifizierung

1. Klicken Sie im Router-Menü auf "Two-Factor Authentication".

2. Dort wählen Sie unter "Google Authenticator" das Feld "Generate a new secret key" aus und klicken auf "Apply". Achtung: Sollten Sie die FA auf dem Gerät bereits eingerichtet haben, werden die bisherigen Codes damit ungültig!

3. Es wurde nun ein neuer "Secret Key" erstellt, den Sie sich über den Button "Show" anzeigen lassen können

 

4. Dieser Secret Key muss nun in die Smartphone-App eingegeben werden. Zudem sollten Sie ihn kopieren und an einem sicheren Ort aufbewahren, z. B. im Tresor auf einem USB-Stick oder ausgedruckt.

5. Damit 2FA beim Login auf den Router verwendet wird, muss die Abfrage unter Services -> PAM -> Two-Factor Authentication auf "Google Authenticator" gestellt werden.

 

6. Prüfen Sie bei dieser Gelegenheit auch, ob die Zeitsynchronisation unter Services -> NTP aktiviert ist.

 

7. Melden Sie sich nun von der Web-Oberfläche mittels "Logout" ab.

8. Nach erneutem Anmelden mit Username und Passwort wird nun nach einem "Verification Code" gefragt, den Sie von der OTP-App auf Ihrem Smartphone abtippen müssen.

Achtung: Sollte der Login damit nicht mehr möglich und kein zweiter Administrator-Zugang vorhanden sein, muss der Router auf Werkseinstellungen zurückgesetzt werden.

Weitere Hinweise

Für verschiedene Router kann auch der gleiche "Secret Key" benutzt werden. Dazu muss der Key in eine leere Datei eingefügt werden (z. B. mit dem Windows-Editor). Auf allen weiteren Routern muss dann per "Upload a new secret key" diese Datei ausgewählt werden. Auch diese Datei muss dringend sicher verwahrt werden.

Das Router-Passwort sowie der Key sollten auf keinen Fall am gleichen Ort aufbewahrt werden!

Die Sicherheit der Zwei-Faktor-Authentifizierung beruht auf dem Prinzip, dass man einen Faktor im Kopf (Passwort) und den anderen in Besitz hat (App mit dem Einmalcode). Idealerweise ist das Passwort einfach zu merken und nicht zu kompliziert, so dass niemand in die Versuchung kommt, es aufzuschreiben.

Vorgehensweise im Digicluster v3

Der Digicluster v3 beinhaltet seit dem Release 3.0.4 (und damit bereits seit mehreren Jahren) die Zwei-Faktor-Authentifizierung. Nun wurde mit dem Update 3.1.2 auch bei den Direct Links nachgerüstet: Die Sicherheit kann bei diesen Release ebenfalls mit der Zwei-Faktor-Authentifizierung erhöht werden.

 

Aktivierung der Zwei-Faktor-Authentifizierung bei Direktlinks im Digicluster v3

1. Zuerst wird die Authentifizierung im Bearbeitungsmenü des jeweiligen VPN-Zugangs aktiviert. Die Authentifizierung ist aktiv, wenn der Button grün ist und inaktiv, wenn er rot ist - Speichern bitte nicht vergessen!

 

2. Anschließend bezieht man den QR-Code zur Authentifizierung für all die Nutzer, die den Direktlink extern nutzen sollen. Dazu klickt man auf Direct Link OTP (siehe 2.1.), woraufhin sich das Fenster mit dem QR-Code für die Authenticator-App öffnet (siehe 2.2.)

 

Bild 2.1
Bild 2.2

3. Anschließend kann man den Router bzw. die Endgeräte, wie gewohnt über den Direktlink erreichen - entweder vom Digicluster aus (ohne zusätzliche Authentifizierung, da diese bereits eingeloggt sind; siehe Bild 3) oder extern über den Link in der URL-Leiste (in diesem Fall ist eine Authentifizierung notwendig; s. Bild 4).

Bild 3

 

Hat man sich einmal authentifiziert, bleibt die Authentifizierung so lange gültig, bis die Browsersession beendet wird.

Bild 4

Wird der entsprechende Direct Link ausgeführt, ohne auf dem Digicluster angemeldet zu sein, öffnet sich ein Eingabefeld, in das der generierte Code eingeben werden muss. Anschließend wird der Direct Link freigeschaltet und eine Verbindung zur Routeroberfläche aufgebaut.

Steigern Sie Ihre Sicherheit mit der Zwei-Faktor-Authentifizierung!

Zwei-Faktor-Identifizierung: Ich habe Interesse*
Was ist die Summe aus 3 und 4?

Sie möchten uns eine verschlüsselte E-Mail schicken? Laden Sie hier den PGP Public Key für jh@lucom.de herunter.

Gerne helfen wir Ihnen per Livechat weiter. Wir verwenden einen Service eines Drittanbieters, um den Chat zu integrieren. Dieser Service kann Daten zu Ihren Aktivitäten sammeln. Bitte lesen Sie die Details durch und stimmen Sie der Nutzung des Service zu, um den Chat anzuzeigen.
Details in der Datenschutzerklärung.