Multi-Faktor-Authentifizierung

Aus MoodleDocs
Wechseln zu:Navigation, Suche
HauptseiteMoodle administrierenAuthentifizierungMulti-Faktor-Authentifizierung
Authentifizierung

Baustelle.png Diese Seite muss übersetzt werden. Greif zu!
Wenn du dich um diesen Artikel kümmern willst, dann kennzeichne das, indem du die Vorlage {{Übersetzen}} durch die Vorlage {{ÜbersetzenVergeben}} ersetzt.
Wenn du mit deiner Arbeit fertig bist, dann entferne die Vorlage aus dem Artikel.
Danke für deine Mitarbeit!


Neue Funktionalität
in Moodle 4.3!

Was ist Multi-Faktor-Authentifizierung (MFA)?

Multi-Faktor-Authentifizierung ist eine Sicherheitsmaßnahme, die von Nutzer/innen bei der Authentifizierung verlangt, ihre Identität anhand von zwei oder mehr Faktoren nachzuweisen. Faktoren können sein: etwas, dass die Nutzer/innen kennen (z.B. ein Passwort), etwas, dass sie besitzen (z.B. ein Handy) oder etwas, dass sie einzigartig macht (z.B. ein Fingerabdruck).

MFA hilft, die Sicherheit Ihrer Moodle-Site zu verbessern, weil es für potentielle Angreifer/innen schwieriger ist, mehrere Faktoren zu kompromittieren.

Multi-Faktor-Authentifizierung verwalten

Auf der Seite Website-Administration > Plugins > Dienstprogramme > Multi-Faktor-Authentifizierung verwalten können Sie MFA aktivieren, indem Sie die Checkbox MFA Plgin aktiviert markieren.

Wenn Sie zum 1. Mal MFA für Ihre Moodle-Site konfigurieren, lesen Sie die Empfehlungen und Beispielkonfigurationen, um die Nutzerfreundlichkeit zu verbessern.

Gewichte und Faktoren

Auf der Seite Website-Administration > Plugins > Dienstprogramme > Multi-Faktor-Authentifizierung verwalten können Sie eine Liste von verfügbaren Faktoren sehen und für Ihre MFA aktivieren.

Die Faktoren haben Gewichte, und Nutzer/innen müssen insgesamt 100 Punkte erreichen, um sich anzumelden. Durch Konfiguration von mehreren Faktoren und deren Gewichten können Sie komplexe und flexible Regeln für die Multi-Faktor-Authentifizierung erstellen.

Zum Beispiel können Sie zwei Faktoren mit jeweils 100 Punkten aktivieren, wenn Sie Ihren Nutzer/innen zwei verschiedene Möglichkeiten zur Authentifizierung geben wollen. Oder Sie verwenden zwei Faktoren mit jeweils 50 Punkten, wenn Ihre Nutzer/innen beide Faktoren erfüllen sollen, um sich anzumelden.

Während des Anmeldprozesses werden zuerst die Faktoren geprüft, die keine Nutzereingabe erfordern, z.B. IP-Adresse oder Nutzer-Rolle. Danach werden die restlichen Faktoren in der Reihenfolge ihrer Gewichte geprüft, beginnend mit dem höchsten Gewicht. Die Prüfung endet, sobald in der Summe 100 Punkte erreicht sind oder alle Faktoren geprüft und die Anmeldung abgelehnt wurde.

Verfügbare Authentifizierungsfaktoren

Standard-Faktoren

Das sind wohlbekannte Authentifizierungsfaktoren, die in vielen (Software) Produkten verwendet werden:

  • E-Mail: Dieser Faktor verlangt, dass die Nutzer/innen einen Code eingeben, den Sie per E-Mail erhalten. Wenn eine Person versucht, sich anzumelden, generiert Moodle einen einmaligen, temporärr gültigen Code und schickt diesen an die E-Mail-Adresse der Person. Die Person muss den Code zusammen mit ihrem Passwort eingeben, um sich erfolgreich anzumelden. Der Code hat eine zeitlich begrenzte, konfigurierbare Gültigkeit, um Missbrauch zu verhindern.
  • Authenticator-App: Dieser Faktor nutzt eine mobile App, um einen temporären Code für die Nutzerauthentifizierung zu generieren. Während des Anmeldeprozesses verlangt Moodle die Eingabe dieses Codes zusätzlich zur Passworteingabe. Der Code wird regelmäßig erneuert, um eine missbräuchliche Verwendung zu verhindern. Nutzer/innen müssen eine App auf ihren mobilen Endgeräten installieren und diesen Faktor selbst konfigurieren.
  • Sicherheitsschlüssel: Dieser Faktor verwendet technische Hardwaretokens, wie z.B. USB oder NFC Sicherheitsschlüssel, oder biometrische Daten, wie z.B. Fingerabdrücke. Während des Anmeldeprozesses müssen Nutzer/innen diese Schlüssel verwenden, um ihre Identität nachzuweisen. Nutzer/innen müssen diesen Faktor selbst konfigurieren.
  • IP-Bereich: Dieser Faktor verwendet die IP-Adresse der Nutzer/innen, um deren Identität zu prüfen. Er bietet damit eine erhöhte Sicherheit, wenn Nutzer/innen über ein vertrauenswürdiges Netzwerk auf Moodle zugreifen. Die Moodle-Administration trägt den IP-Bereich des vertrauensüwrdigen Netzwerks ein. Ihre Nutzer/innen müssen bei diesem Faktor nichts konfigurieren.
Nutzer-filternde Faktoren

Nutzer-filternde Faktoren sind eine Möglichkeit, auf einfache Weise Gruppen von Nutzer/innen zu erstellen, von denen eine Multi-Faktor-Authentifizierung verlangt wird oder nicht verlangt wird.

  • Nicht-Administrator/in: This factor requires only administrators to have two or more authentication factors, while not affecting other users. It does so by giving factor points to all users who are not an administrator.

Authentifizierungstype: This factor allows certain users to skip additional authentication steps based on their authentication type. This can be useful for situations where certain authentication types, such as SAML via ADFS , already provide a high level of security, making additional authentication checks unnecessary.

  • Rolle: This factor has to be used in combination with other factors, as it allows you to specify which roles must use other factors to authenticate. For example, it enables you to require that individuals with elevated access privileges, such as managers and administrators, undergo a more stringent authentication process, while other non-specified roles such students can bypass MFA.
  • Globale Gruppe: This factor has to be used in combination with other factors, as it allows you to specify which cohorts must use other factors to authenticate.
  • Nutzerrecht: This factor is similar to the Role factor, and must also be combined with other factors, as it allows you to specify which users must use other factors to authenticate. It does so by checking whether users have the capability ‘factor/capability:cannotpassfactor’ at system level. Users who do not have the capability ‘factor/capability:cannotpassfactor’ will be given points for this factor and can bypass MFA, while users with this capability will need to use another type of authentication.

For example: You assign the capability ‘factor/capability:cannotpassfactor’ to all Managers, and also enable the Email factor. When a Manager logs in, they will have to use the Email factor. But when a student tries to log in, they will not.

Since Admin users have all capabilities allowed by default, including “factor/capability:cannotpassfactor”, there’s an additional setting that will allow Admins to gain points for this factor despite having the capability.

Other factors

These factors provide additional flexibility and control over the authentication process.

Trust this device: This factor allows users to mark a device as trusted during MFA logins. Once a device is designated as trusted, users can bypass MFA for a specified period of time when logging in from that device.

To implement this feature effectively, assign a score of 100 points to this factor.

Grace period: This factor is essential when you turn on factors that require upfront setup from users, like authenticator app or security key. It allows users to log in without engaging with multi-factor authentication (MFA) for a specified time frame, providing a buffer period to complete the setup of additional authentication factors. If a user is still within their grace period upon reaching the first post-login page, regardless of whether they used grace mode as a login factor, a notification will inform them of the remaining grace period length and the potential need to set up additional factors to prevent account lockout when the grace period expires.

To implement this feature effectively, assign a score of 100 points to this factor. To receive points for this factor, there must be no other user-input factors requiring user interaction during the login process. Place this factor at the end of the list to ensure all other factors are addressed first.

If the grace period ends and users have not set up their authentication methods, they will not be able to log in to your site. You can extend the grace period to allow them to log in, or enable other factors temporarily, such as IP range or role.

No other factors: This factor allows people to log in if they have not set up any other MFA factors. For example, if you want to offer MFA to your users but not make it compulsory, give 100 points to ‘no other factors’ to allow those who don’t want to use MFA to log in to the site. Once another factor is set up for a user, they will no longer gain points for this one.

User setup

If you enable the factors Authenticator app and Security key, your users will need to configure multi-factor authentication themselves. The authentication settings can be accessed through User menu > Preferences > Multi-factor authentication preferences. There, they will be able to set up and see their authenticator apps or security keys, as well as revoke access to any factors they have configured.

Empfehlungen und Beispielkonfigurationen

When setting up MFA for your site, it’s important to ensure that you’re making your site more secure, but also creating a good experience for your users, including making sure that they are able to log in if they follow the right steps. Here are some recommendations to ensure that MFA is streamlined for your users:

  1. Make sure you turn on the Grace period factor when you turn on an authentication factor that requires users to configure something themselves (Authenticator app or Security key). This will give your users time to set up MFA before they are required to use it.
  2. If you don’t want to make MFA mandatory, enable No other factors. This will allow users with no other factors to log in using only their password.
  3. IP range factor is a very straightforward authentication method if all your users are using the same network. Once users are logged in using this factor, you can allow them to set up additional factors, such as an authenticator app, and then use those other factors to log in when not on your secure network.

Beispielkonfigurationen

Hier finden Sie einige typische MFA Konfigurationen, um die Sicherheit Ihrer Moodle-Site zu verbessern.

a) E-Mail

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor E-Mail und geben Sie ihm 100 Punkte.
  3. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.
  4. Informieren Sie Ihre Nutzer/innen, dass die E-Mail-Verifizierung aktiviert ist. Beim nächsten Login sehen die Nutzer/innen eine Nachricht, dass sie ihr E-Mail-Postfach prüfen und den zugesandten Code eingeben sollen.

b) Authentificator-App

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor Kulanzzeit und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den Inhalt des Warnfelds, um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
  3. Aktivieren Sie den Faktor Authenticator-App und geben Sie ihm 100 Punkte.
  4. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.


c) E-Mail ODER Authenticator-App

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor E-Mail und geben Sie ihm 100 Punkte.
  3. Aktivieren Sie den Faktor Kulanzzeit und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den Inhalt des Warnfelds, um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
  4. Aktivieren Sie den Faktor Authenticator-App und geben Sie ihm 100 Punkte.
  5. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.


d) E-Mail UND Authenticator-App

  1. Aktivieren Sie MFA.
  2. Aktivieren Sie den Faktor E-Mail und geben Sie ihm 50 Punkte.
  3. Aktivieren Sie den Faktor Kulanzzeit und geben Sie ihm 100 Punkte. Das gibt Ihren Nutzer/innen eine gewisse Zeit, um ihre Authentificator-App einzurichten und verhindert, dass sie von Moodle ausgesperrt werden. Nutzen Sie den Inhalt des Warnfelds, um Ihre Nutzer/innen zu informieren, dass MFA in Kürze ativiert wird und sie ihre App einrichten müssen.
  4. Aktivieren Sie den Faktor Authenticator-App und geben Sie ihm 50 Punkte. Nutzer/innen müssen beide Faktoren erfüllen, um auf 100 Punkte zu kommen und sich anzumelden.
  5. Sie können den Faktor Vertrauensvolles Gerät aktivieren, um Nutzer/innen zu erlauben, MFA für einen gewissen Zeitraum zu umgehen, bis sie ihr Gerät erstmalig für MFA eingerichtet haben.

Zusammenfassung guter Bedingungen für die Anmeldung

Hier werden die gewählten Faktoren und ihre Gewichte aufgelistet. Die Gesamtgewichtung muss 100 betragen.

Allgemeine MFA-Einstellungen

  • MFA Plugin aktiviert - diese Checkbox muss markiert sein, damit MFA funktioniert.
  • URLs, die die MFA-Prüfung nicht umleiten sollen - hier können Sie jede URL relativ zur Site-Root-URL eintragen, die nicht auf MFA-Prüfung umleiten soll.
  • Inhalt / Dateien der Anleitungsseite - hier können Sie Anleitungen zu MFA eintragen oder hochladen.

Problem: Admin hat sich ausgesperrt - was tun?

Seien Sie als Administrator/in vorsichtig, wenn Sie MFA konfigurieren und die Faktoren testen, dass Sie sich nicht selbst aus Ihrer Moodle-Site aussperren. Sollte das dennoch passieren, können Sie MFA von der Kommandozeile aus deaktivieren, indem Sie folgenden Befehl ausführen: 

: php admin/cli/cfg.php --component=tool_mfa --name=enabled --set=0
Abgerufen von „https://docs.moodle.org/403/de/index.php?title=Multi-Faktor-Authentifizierung&oldid=24732
Powered by MediaWiki