 |
Wir sprechen hier von sogenannten FIDO-Sticks, die ab ungefähr 25 Euro im Internet zu haben sind. Diese Hardware-Komponente wird in das Gerät gesteckt und braucht eine Berührung bei jedem Einloggen. Damit kann zum Beispiel ein Trojaner, der das Passwort ausgelesen hat, sich trotzdem nicht einloggen. Der Stick ist nur für einen Benutzer/eine login-Adresse verwendbar.
|
Eine Empfehlung, welcher FIDO-Stick der beste ist, können wir leider nicht geben: sie unterscheiden sich in der Robustheit, in den Maßen, in der USB-Anschlussart, wie im Bild deutlich zu sehen ist.
Wir haben die folgenden Sticks getestet:
- Yubikey
- Solokey
- Google Titan Keys
Der Solokey war der Preiswerteste, will keine Berührung sondern ein Knopfdruck. Wir wollen diesen Stick nicht für den täglichen Einsatz empfehlen.
Die anderen Keys sind kaum voneinander zu unterscheiden, es ist reine Geschmacksache. Aus reiner Neugierde haben wir einen FIDO-Stick mit Fingerabdruck-Scan getestet - ist schon sehr witzig, aber entsprechend teuer.
Es können pro lemniscus-login-Adresse mehrere FIDO-Sticks angemeldet werden. Das hat den Vorteil, dass zum Beispiel einer in der Praxis, einer zu Hause und einer am Schlüsselbund verwahrt werden kann. Je nach dem, wo man sich gerade befindet, kann dann ein beliebiger Stick zum Einloggen benutzt werden.
Unsere Empfehlung: besorgt euch mindestens einen Ersatz-FIDO-Stick (den ihr natürlich auch anlernt und sicher ablegt) und richtet zusätzlich noch die OTP zwei Faktor Authentifizierung ein.
FIDO-Stick nicht verfügbar/verloren/kaputt
Für den Fall, dass keiner der angemeldeten FIDO-Sticks für die login-Adresse zur Hand ist, aber eine elektronische 2-Faktor-Authentifizierung für die login-Adresse zusätzlich eingerichtet wurde, kann der Dialog, der nach dem Stick fragt, geschlossen werden und so auf die 2FA per Code-Eingabe gewechselt werden.
Sollten beide Komponenten nicht verfügbar sein, können wir im Support die Stick-Abfrage für Deinen Account ausstellen. Dafür benötigen wir eine Email an help@lemniscus.de, in dem du uns deine Kundennummer und deinen 6-stelligen Telefonpin mitteilst. Den Telefonpin hast du zu Beginn deines Vertrages von uns per Post bekommen und er ist zur eindeutigen Authentifizierung in genau solchen Fällen gedacht. Ohne Telefonpin können wir die Stick-Abfrage nicht ausschalten.
Solltest Du als Benutzer in einer Praxis arbeiten, kann der Administrator das Ausschalten für Dich mit seiner Telefonpin bei uns beantragen.
Innerhalb unserer Bürozeiten melden wir uns dann bei dir.
Biometrische Sensoren (Fingerabdruck, Gesichtserkennung)
Die gute Nachricht ist: ja, wir unterstützen jetzt auch FaceId und TouchId - und vermutlich alle biometrischen Sensoren, solange diese über den WebauthN-Standard über die Browser an uns durchgereicht werden.
Die biometrischen Sensoren in den Geräten (zum Beispiel iPad, Macbooks) sind an Bequemlichkeit nicht zu überbieten. Sie haben allerdings auch eine Schattenseite: sie funktionieren immer nur in dem Gerät, in denen sie verbaut sind.
Sowohl OTP als auch die FIDO-Sicherheitssticks sind übertragbar - können also an beliebigen Geräten genutzt werden. Somit sind die biometrischen Sensoren als zusätzliche Lösung neben FIDO und/oder OTP zu verstehen. Ein biometrischer Sensor kann nur dann angelernt werden, wenn bereits ein FIDO-Stick oder ein OTP für den Account eingerichtet sind.
Unter unser Logo/Fischli -> Schlüsselbund -> Hardware 2FA erscheint dann der Button "Biometrie-Sensor für diesen Browser anlernen" in blau.
Hintergrund: nur mit OTP oder einem Stick kann eine Anmeldung auf fremden Rechnern/Geräten erfolgen. Geht der Rechner mit dem biometrischen Faktor nicht mehr oder ist nicht mehr vorhanden, dann hat man sich ausgesperrt.