Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter

Verfasst von

Ab sofort können goneo-Kunden den Zugriff auf das wichtige Kundencenter doppelt schützen. Zusätzlich zur Eingabe eines Passworts fragt das System nach einem weiteren Code, der auf einem anderen Kanal übermittelt wird, nämlich von einer App. Das schützt den Zugang vor böswilligen, unberechtigten Zugriffen.

Der zweite Faktor, wie man im IT-Security-Sprech sagt, stammt von einer App auf dem Smartphone, die einen nur kurzzeitig gültigen Code generiert. Basis zur Errechnung ist unter anderem der genaue Zeitpunkt. Die mit dieser App errechneten Codes sind nur kurze Zeit gültig.

Man benötigt dafür eine passende App, die diesen Code nach einem bestimmten Standard erzeugt. In dieser App muss die Anwendung „goneo-Kundencenter“ mit einer spezifischen Kundennummer angemeldet werden. Es kommen Apps mehrerer Anbieter in Frage.

Im goneo-Kundencenter sind einige bekannte Apps, die Security-Codes erzeugen, verlinkt.

Diese Apps sind in der Regel auch kostenlos. Eine beliebte App ist der Google Authenticator, den es für Android und IOS gibt.

Der Google Authenticator ist einer der bekanntesten Apps für diesen Zweck. Es gibt ihn für Andoid und IOS

Diese vorbereitenden Schritte erledigst du mit Hilfe der Kombination aus goneo-Kundencenter (Website) und Smartphone (App).

So richtest du die Zweifaktor-Authentifizierung für das goneo-Kundencenter ein

Es steht dir frei, das Kundencenter von goneo so einzurichten, dass bei der Anmeldung fortan ein zweiter Faktor nötig ist.

Dazu meldest du dich wie gehabt mit Kundennummer und persönlichem Passwort an, klickst im linken Menü auf „Meine Kundendaten“ und dann, in der mittleren Spalte im oberen Teil auf „Kundencenterpasswort“.

Dies ist die Seite mit dem Dialog, der eine Änderung des Passworts ermöglicht. Allerdings kannst du hier nun auch die Zweifaktor-Authentifizierung (Abkürzung ist „2FA“) für dieses Kundenkonto aktivieren. Klicke dazu zunächst auf den grünen Button.

Es erscheint zur Aktivierung und Verknüpfung mit der von dir ausgewählten und auf deinem Smartphone installierten App ein QR-Code. Scanne ihn mir der App und gib den errechneten sechsstelligen Zahlencode, der in der Smartphone-App dann gezeigt werden sollte, auf der Kundencenter-Seite ein.

Bestätige die Eingabe, um die Aktivierung abzuschließen. Wahlweise kannst du auch hier abbrechen, wenn du noch nicht so weit bist.

Wenn du dich aus dem Kundencenter abmeldest und dich das nächste mal anmeldest, sieht du nach Eingabe von Kundennummer und Passwort einen zusätzlichen Screen, der dich zur Eingabe des zweiten Faktors auffordert.

Du nutzt zur Generierung dann dein Smartphone mit der App, die du dafür eingerichtet hast, erzeugst einen Code, den du dann eingibst und bestätigst.

Wenn die 2FA aktiviert ist, hat das zur Folge, dass jemand, der unberechtigterweise dein Passwort kennt (wie auch immer) auch noch einen zweiten Faktor zur Anmeldung braucht. Dieses ist mit der aktuellen Zeit und mit deinem Smartphone (und der App) verknüpft. Das bietet schon ein gutes Plus an Sicherheit.

Viele Kunden haben gefragt, warum wir 2FA nicht für E-Mail bereit stellen.

Dies hat mit den Protokollen, die für den Mailverkehr benutzt werden zu tun, insbesondere für die Kommunikation zwischen Mailserver und Client (Mail-Apps).

IMAP und auch POP3 bauen beim Verwenden des Clients permanent Verbindungen zum Server auf und ab. Jede Anmeldung müsste also mit einer erneuten Codeeingabe gesichert werden. Dies macht 2FA sehr unpraktisch bis unverwendbar. Eine 2FA-Absicherung der Webmail-Oberfläche brächte nur augenscheinlich zusätzlichen Schutz, da auch Roundcube (und damit Webmail) die gleichen Protokolle im Hintergrund nutzt.

Zweifaktor-Authentifizierung

Kommentare

13 Antworten zu „Schütze dich: Zwei-Faktor-Authentifizierung für das goneo-Kundencenter“

10. November 2019

Holger Schneider

Hallo,
dass jetzt 2FA möglich ist finde ich sehr gut. Toll wäre es, wenn dies gleichzeitig auf mehren Geräten möglich wäre, für den Fall, dass ein Gerät verloren geht oder defekt ist. Ich benutze hierfür normalerweise mein Smartphone und mein iPad.
Freundliche Grüße
Holger Schneider

Antworten
1. 18. November 2019
  
  Markus
  
  Das sollte funktionieren. Allerdings setzt es voraus, dass die in Frage kommenden Geräte anfangs beide für 2FA aktiviert werden. Man muss also mit beiden Geräten (bzw. allen Geräten, die man so verwenden möchte) den QR Code scannen.
  
  Antworten
2. 13. Januar 2021
  
  jzilla
  
  Hallo Holger,
  
  ich benutze derzeit andOTP. Dort kann man ein Backup des Inhalts machen und quasi auf einem anderen Gerät wiederherstellen. Derzeit habe ich das lediglich bei einem Xiaomi Mi 9T und einem Samsung S10 mit Erfolg durchgeführt. Das ganze ging sehr schnell und unkompliziert ich kann beide Geräte verwenden.
  
  Mit freundlichem Gruß
  jzilla
  
  Antworten
3. 13. Februar 2021
  
  Mario Angos
  
  Hallo Herr Schneider,
  
  Ich stimme mit Ihrem Kommentar überein. Ich hoffe, dass GONEO diese Option (2FA) in naher Zukunft für mindestens zwei Geräte aktiviert.
  
  Liebe Grüße Mario
  
  Antworten
20. November 2019

Eduard

Hallo,
kann man für den Email-Zugang auch eine Zwei-Faktor-Authentifizierung einrichten?
Warte schon lange auf die Option. Habe kein gutes Gefühl dabei, dass alle meine Emails nur durch ein Passwort vor Fremden geschützt sind.
Schöne Grüße.

Antworten
1. 22. November 2019
  
  Markus
  
  Das Problem ist, dass IMAP permanent Verbindungen auf- und abbaut (im Prinzip mit jedem Klick in der Mailanwendung). Man müsste dann ständig neue Codes erzeugen und eingeben. IMAP ist dafür leider nicht ausgelegt.
  
  Antworten
3. Februar 2022

Andreas

Mit einem Handywechsel und automatischem Übertrag der Daten (Apple iPhone) ist die 2FA-Aktivierung über den Google Authenticator gelöscht und dummerweise gleichzeitig auch die Aktivierung auf meinem synchronisierten iPad. Was nun?

Antworten
1. 3. Februar 2022
  
  goneo_admin
  
  In diesem Fall bitte den Kundendienst kontaktieren. Dann wird eine alternative Authentifizierung vorgenommen.
  
  Antworten
22. November 2022

Dan

Mittlerweile gibt es einige Mailanbieter (z.B. web.de), die das Postfach mit 2FA absichern und anwendungsspezifische Einmalpasswörter für IMAP anbieten und die an ein Gerät gebunden sind. Das löst wohl beide Probleme.
Wäre das nicht auch eine Lösung?

Antworten
2. März 2023

Oliver Kage

Gibt oder wird es auch eine Option mittels MFA (multifaktor-authentifizierung) geben? z.B. per Yubikey?
Mittlerweile habe ich die Adminbereiche fast aller Webseiten damit abgesichter (natürlich mit einem 2ten Ersatzschlüssel und Notfallnummern).
Das finde ich einfacher als mit einer langen Liste in einer App, zudem vom Smartphone unanhängig.

Antworten
1. 3. März 2023
  
  Markus
  
  Das ist zur Zeit nicht in Planung. Das die Verwendung aber offenbar steigt, sollten wir das vielleicht tatsächlich mit auf die Tagesordnung setzen und sehen, ob und wie man das realisieren kann.
  
  Antworten
10. Juni 2024

jama

Hat sich bzgl. der Planung von 2FA für Webmail und einer potenziellen Android im letzten Jahr was getan? Ansonsten ist das ehrlich gesagt für mich ein ziemliches KO-Kriterium heutzutage.

Antworten
1. 17. Juni 2024
  
  Markus
  
  Für IMAP lässt sich kein 2FA-Verfahren etablieren, weil das Protokoll permanent die Verbindung zum Mailserver auf- und abbaut, im Prinzip bei jeder Interaktion im Client. Mit jedem Aufbau müsste dann ein neuer Faktor übermittelt werden. Man könnte nur IMAP abschalten und den Mailzugang auf Webmail-Zugriff begrenzen. Dann schneidet man aber viele Integrationen in Smartphones etc. ab. Man könnte 2FA in Applikationen realisieren, also in den Clients, so dass der Clientzugriff geschützt ist. Die Protokolle IMAP und Pop3 funktionieren aber dennoch. Es gibt ein paar Ansätze, beim IMAP-Zugriff die Anmelde-IP mit einem zweiten Faktor temporär zu authorisieren. Nur hat man beim Mailzugriff häufig wechselnde IP-Adressen bedingt durch mehrere Endgeräte, die man typischerweise parallel in Verwendung hat (Webmail, Smartphone, Notebook, Desktop, Tablet…). Ich gehe nicht davon aus, dass wir hier bei goneo kurzfristig eine 2FA für E-Mail präsentieren werden.
  
  Antworten