1. (Optional) Erforderliche Hardwarekomponenten beschaffen

2. (Optional) Verstehen von biometrischen Geräten und Betriebsystemoptionen

3. Hardware-Zwei-Faktor-Authentifizierung aktivieren

4. Benutzer registrieren ihre Geräte

5. Benutzer erhalten Backup-Codes, falls erforderlich

Benutzersteuerungsoptionen des Administrators

Neben der traditionellen Anmeldemethode mit E-Mail (Benutzername) und Passwort bietet Vetera auch verschiedene Passkey-Anmeldeoptionen an. Diese Features nutzen das WebAuthn-System.

Die Hardware-Anmeldeoption bedeutet die Verwendung physischer Tokens (Schlüssel) mit einem NFC-Leser, der mit einem Computer verbunden ist. Die Benutzer müssen nur den Schlüssel verwenden und einen 4-stelligen PIN-Code eingeben, um auf Vetera in der einfachsten Konfiguration zuzugreifen. Die Tokens und NFC-Leser werden nicht von Vetera bereitgestellt, sondern müssen separat gekauft werden. Dies eignet sich am besten für Gemeinschaftsarbeitsplätze in der Klinik. Die Klinik kann einen NFC-Leser für jeden Gemeinschaftsarbeitsplatz und Sicherheitskey für alle Mitarbeiter, die Zugang benötigen, kaufen.

Mit der biometrischen Anmeldeoption können Benutzer biometrische Geräte nutzen, die möglicherweise bereits in Geräten wie einem Fingerabdruckleser an einem Laptop-Computer integriert sind. Apples Face ID und Touch ID werden unterstützt, ebenso wie ähnliche Funktionen auf Windows 10-Geräten. Die Benutzer müssen nur die biometrische Methode verwenden und einen 4-stelligen PIN-Code eingeben, um auf Vetera in der einfachsten Konfiguration zuzugreifen. Dies wird empfohlen, wenn die Benutzer persönliche Geräte haben, die biometrische Authentifizierung unterstützen.

Die Passkey-Anmeldeoptionen wurden mit dem Chrome-Browser auf macOS und Windows 10 getestet. Die Optionen funktionieren möglicherweise nicht korrekt mit anderen Kombinationen von Browser und Betriebssystem.

Wenn Sie sich entscheiden, die Hardware-Sicherheitskey-Optionen einzurichten, benötigen Sie kompatible NFC-Geräte und Sicherheitskeys, die direkt bei Herstellern oder gut ausgestatteten Online-Shops gekauft werden können. Theoretisch sollten integrierte NFC-Leser ebenfalls funktionieren. Die Leser sollten mit den Arbeitsplätzen verbunden werden, die die Funktionalität benötigen.

Der Feitian R502-CL ist ein Smartcard/NFC-Leser, der als kompatibel mit der kontaktlosen WebAuthn-Verifizierung auf Windows 10-Geräten getestet wurde. Er wurde sowohl mit Feitian- als auch Yubico-Sicherheitskey-NFC-Geräten getestet.

Der Feitian-Leser wird empfohlen, weil er:

Tipp: Wir empfehlen den Kauf direkt bei Feitian, um die niedrigsten Kosten zu erzielen.

Der ACS ACR1252U ist ein NFC-Leser, der als geeignet für die kontaktlose Authentifizierung mit Windows 10 befunden wurde. Das Gerät ACR1252U (Amazon-Link) sollte in verschiedenen E-Shops und lokalen Elektronikgeschäften erhältlich sein. Der Leser muss über eine USB-Verbindung mit dem Computer verbunden werden.

Die Authentifizierung erfolgt, wenn ein physischer Sicherheitskey vom NFC-Leser gelesen wird. Alle Benutzer, die diese Funktionalität benötigen, müssen ihren eigenen Schlüssel haben.

Der Sicherheitskey NFC von Yubico ist die empfohlene Option für diesen Workflow. Der Schlüssel unterstützt sowohl die Zwei-Faktor-Verifizierung als auch passwortlose Anmeldungen. Die NFC-Varianten können auch mit kompatiblen NFC-Lesern bei Verwendung von Windows 10 oder mit NFC-fähigen Smartgeräten wie iPhones oder neueren Android-Handys verwendet werden.

Yubico bietet eine Software namens YubiKey Manager an, mit der Benutzer den Hardware-PIN-Code zurücksetzen, das gesamte Gerät zurücksetzen oder ändern können, an welchen Schnittstellen der Sicherheitskey arbeitet (man könnte beispielsweise NFC deaktivieren).

Beachten Sie, dass es viele Versionen von Sicherheitskeys gibt, wobei die ältesten Geräte FIDO2-Unterstützung nicht bieten und daher nicht für die passwortlose Authentifizierung verwendet werden können.

Die Firma, die den empfohlenen NFC-Leser herstellt, produziert auch geeignete Sicherheitskeys. Der Yubico-Schlüssel wird hier empfohlen, weil er eine bessere Benutzerfreundlichkeit bietet - er meldet sich fast sofort nach Eingabe des PIN-Codes an, während die Feitian-Keys eine Verzögerung von 4 Sekunden haben.

Wenn Sie die biometrische Option wählen, stellen Sie sicher, dass Sie die Funktionen und Einschränkungen des jeweiligen Geräts verstehen.

Windows 10-Computer können für die Zwei-Faktor-Verifizierung oder die passwortlose Anmeldung mit Passkey mithilfe von Windows Hello verwendet werden, das PIN-Codes, Gesichtserkennung und Fingerabdrucklesung unterstützt. Dies kann entweder über integrierte Hardware (z. B. eingebaute Leser in Laptop-Computern) oder externe Zubehörteile (z. B. Webcams mit Windows Hello-Unterstützung) geschehen.

Windows Hello wird nicht empfohlen, wenn mit gemeinsam genutzten Windows-Benutzerkonten gearbeitet wird. Die Verwendung eines gemeinsamen Computers mit separaten Windows-Benutzerkonten ist in Ordnung.

Die Passkey-Einstellungen können in Einstellungen > Konten > Anmeldeoptionen verwaltet werden. Damit können Benutzer ihren PIN-Code einrichtet oder ändern, gespeicherte Fingerabdrücke verwalten, gespeicherte Anmeldedaten (für passwortlose Authentifizierung) einsehen, Windows Hello-Funktionen und andere Features verwalten.

Der VeriMark Pro Key wird als FIDO2-kompatibler Fingerabdruckleser beworben. Er funktioniert als Windows Hello-Authentifizierer. Daher ist er nur mit Windows 10-Geräten kompatibel.

Fingerabdrücke müssen zuerst zu einem Windows-Konto hinzugefügt werden, und erst dann können sie für die Anmeldung bei Vetera verwendet werden. Es ist nicht möglich, verschiedene Fingerabdrücke zu verwenden, um sich bei verschiedenen Vetera-Konten von einem einzelnen Windows-Benutzerkonto anzumelden. Stattdessen muss jeder Benutzer auf einem Computer sein eigenes Windows-Konto haben, das er für die Anmeldung verwenden muss.

Dieses Gerät wird empfohlen, wenn Sie eine Windows Hello-Anmeldung auf Computern ohne eingebauten Fingerabdruckleser oder kompatible Webcam für die Gesichtserkennung implementieren möchten. Es sollte nicht als tragbarer biometrischer Sicherheitskey gekauft werden - der kommende YubiKey Bio wäre ein besserer Kandidat für diese Art von Implementierung. YubiKey Bio ist derzeit nur über ein geschlossenes Vorschauprogramm erhältlich.

Die Face ID- und Touch ID-Funktionen von Apple stehen für die Passkey-Anmeldung zur Verfügung und bieten Gesichts- und Fingerabdruckerkennung. Sehen Sie in Ihrem Gerät Handbuch nach, um zu erfahren, welche Funktionen unterstützt werden.

Google Chrome auf Apple-Geräten ermöglicht es Benutzern, ihre Web-Authentifizierungsgeräte in Einstellungen > Datenschutz und Sicherheit > Sicherheit > Sicherheitskeys verwalten.

Dies ermöglicht es Benutzern, ihren PIN-Code einzurichten oder zu ändern, gespeicherte Fingerabdrücke zu verwalten, gespeicherte Anmeldedaten (für passwortlose Authentifizierung) einzusehen und das Gerät vollständig zurückzusetzen, falls erforderlich.

Der Hauptsteuerbereich kann über Einstellungen > Benutzer > Passwort-Einstellungen aufgerufen werden. Dort gibt es zwei relevante Einstellungen mit mehreren auswählbaren Modi. Diese Einstellungen gelten für die gesamte Organisation.

Aktivieren der Hardware-Zwei-Faktor-Authentifizierung (Web-Authentifizierung) - Diese Einstellung aktiviert sowohl die Hardware- als auch die biometrischen Passkey-Anmeldeoptionen.

Web-Authentifizierungsmodus - Mit dieser Option können Sie zwischen den unten beschriebenen Anmeldemethoden auswählen.

Zwei-Faktor-Verifizierung nur - In diesem Modus müssen die Benutzer ihre E-Mail (Benutzername) und ihr Passwort in der Regel für die Anmeldung eingeben und mit einer der für sie verfügbaren Passkey-Methoden überprüfen.

Zwei-Faktor-Verifizierung und passwortlose Anmeldung - In diesem Modus können die Benutzer entweder ihre E-Mail (Benutzername) und Passwortanmeldung normalerweise mit zusätzlicher Verifizierung oder sich nur mit dem Authenticator anmelden (Passkey-Methode, die ihnen zur Verfügung steht).

Nur passwortlose Anmeldung - In diesem Modus kann sich der Benutzer normal mit E-Mail (Benutzername) und Passwort anmelden oder nur den Authenticator verwenden (Passkey-Methode, die ihnen zur Verfügung steht).

Sobald die Zwei-Faktor-Authentifizierung wie oben beschrieben aktiviert wurde, können Benutzer neue Geräte registrieren und vorhandene verwalten von ihrer Benutzerprofilseite, die über das Menü zugänglich ist, das sich bei ihrem Benutzernamen öffnet.

Auf der Benutzerprofilseite gibt es einen Abschnitt mit dem Namen "Multi-Faktor-Authentifizierung". Dort können sie die registrierten Geräte sehen oder ein neues Gerät mit der Schaltfläche "Gerät registrieren" hinzufügen.

Sie können auch jeden vorhandenen Authenticator entfernen oder bearbeiten, jedoch wird durch das Löschen eines Passkey-Authenticators dieser nicht aus dem Speicher des Authenticators entfernt - andere, geräteabhängige Methoden müssen verwendet werden, um die Anmeldedaten vom Gerät zu löschen, wenn dies gewünscht wird.

Passwort - Sobald sie sich entscheiden, ein neues Gerät zu registrieren, erscheint ein neuer Dialog. Um ein neues Gerät hinzuzufügen, müssen sie zunächst ihr bestehendes Vetera-Benutzerpasswort bestätigen, um ein Gerät registrieren zu können.

Passwortlose Option - Als Nächstes können sie entscheiden, ob die Anmeldung passwortlos sein soll oder nicht. Dies wird zur Erleichterung der Benutzung empfohlen, funktioniert jedoch möglicherweise nicht mit allen Geräten. Beachten Sie, dass, wenn die passwortlose Option aktiviert ist, sie nicht deaktiviert werden kann, ohne das Gerät erneut zu entfernen und zu registrieren.

Authentifikator-Typ - Schließlich können sie wählen, ob sie einen tragbaren Authentifikator wie den oben genannten YubiKey+NFC-Leser oder einen Authentifikator auf dem Gerät wie einen Fingerabdruckleser oder Face ID hinzufügen. Wie der Infotext besagt, kann ein tragbarer Authentifikator zwischen Computern bewegt werden, aber die Daten eines Authentifikators auf dem Gerät werden auf dem Gerät selbst gespeichert (Windows Hello, Apples Touch ID).

Spitzname - Beachten Sie, dass auch dem Gerät ein Spitzname gegeben werden kann, jedoch nur durch Bearbeiten des Geräts nach der ursprünglichen Registrierung.

Um den Benutzern in Fällen zu helfen, in denen sie aus ihrem Konto ausgeschlossen sind, falls die Authentifizierung aus irgendeinem Grund fehlschlägt, wird eine Funktion für Backup-Codes bereitgestellt. Backup-Codes sind eine Reihe von 10 identitäts-sensitive, 8-stelligen alphanumerischen Codes, die verwendet werden können, um das Authentifizierungssystem nach der Eingabe ihrer E-Mail (Benutzername) und des Passworts korrekt zu umgehen.

Backup-Codes können von der Profilseite des Benutzers generiert werden. Ein Button dafür erscheint neben dem Button zur Geräte-Registrierung, sobald mindestens ein Gerät hinzugefügt wurde.

Ein Dialog zeigt die Codes an und ermöglicht auch das Generieren neuer Codes, falls die Codes alle verwendet oder kompromittiert wurden. Die Backup-Codes sollten extern an einem sicheren, aber leicht zugänglichen Ort für den Benutzer aufbewahrt werden.

Die Backup-Code-Option ist auf der Benutzerprofilseite nicht sichtbar, wenn die Option nur für passwortloses Anmelden verwendet wird, da die Benutzer sich normalerweise mit ihrer E-Mail (Benutzername) und dem Passwort anmelden können, wenn das Gerät nicht verfügbar ist oder nicht funktioniert.

Administratoren mit Rechten zur Benutzerverwaltung können die Multi-Faktor-Authentifikatoren der Benutzer überprüfen und steuern, indem sie das Profil eines Benutzers unter Einstellungen > Benutzer öffnen.

Durch Auswahl der Option 'Die Zwei-Schritt-Authentifizierungsinformationen zurücksetzen' und Speichern werden alle Geräte des Benutzers entfernt, und sie können ihren Setup wiederherstellen, indem sie sich normal mit ihrer E-Mail (Benutzername) und dem Passwort anmelden.

Einrichtung und Verwaltung der Zwei-Faktor-Authentifizierung