Schnellzugriffe
Einführung
Zusätzlich zur herkömmlichen E-Mail- (Benutzername-) und Passwort-Loginoption bietet Vetera auch verschiedene Passkey-Loginoptionen. Diese Funktionen nutzen das WebAuthn-System.
Die Hardware-Loginoption bedeutet die Nutzung physischer Token (Schlüssel) mit einem an einen Computer angeschlossenen NFC-Lesegerät. Nutzer müssen in der einfachsten Konfiguration lediglich den Schlüssel verwenden und einen 4-stelligen PIN-Code eingeben, um auf Vetera zuzugreifen. Token und NFC-Lesegeräte werden nicht von Vetera bereitgestellt, sondern müssen separat gekauft werden. Dies eignet sich am besten für geteilte Arbeitsplätze in der Klinik. Die Klinik kann ein NFC-Lesegerät für jeden geteilten Arbeitsplatz sowie Sicherheits-Schlüssel für alle Mitarbeitenden kaufen, die Zugriff benötigen.
Mit der biometrischen Loginoption können Nutzer biometrische Geräte nutzen, die möglicherweise bereits angeschlossen oder in Geräte integriert sind, z. B. ein Fingerabdruckleser in einem Laptop. Apple Face ID und Touch ID werden unterstützt, ebenso wie ähnliche Funktionen auf Windows-10-Geräten. Nutzer müssen in der einfachsten Konfiguration lediglich die biometrische Methode verwenden und einen 4-stelligen PIN-Code eingeben, um auf Vetera zuzugreifen. Diese Option wird empfohlen, wenn Nutzer über persönliche Geräte verfügen, die eine biometrische Authentifizierung unterstützen.
Hinweis
Passkey-Loginoptionen wurden mit dem Chrome-Browser unter macOS und Windows 10 getestet. Je nach Kombination mit anderen Browsern und Betriebssystemen können die Optionen möglicherweise nicht korrekt funktionieren.
1. (Optional) Benötigte Hardware-Komponenten beschaffen
Wenn Sie die Optionen für den Hardware-Sicherheitsschlüssel einrichten möchten, benötigen Sie passende NFC-Geräte und Sicherheitsschlüssel, die direkt bei den Herstellern oder in gut ausgestatteten Webshops gekauft werden können. Theoretisch sollten auch integrierte NFC-Lesegeräte funktionieren. Die Lesegeräte müssen mit den Arbeitsstationen verbunden sein, die die Funktionalität benötigen.
NFC-Lesegeräte
Feitian R502-CL – der empfohlene Leser
Der Feitian R502-CL ist ein Smartcard-/NFC-Lesegerät, das sich für eine kontaktlose WebAuthn-Verifizierung auf Windows-10-Geräten als kompatibel erwiesen hat. Er wurde sowohl mit Feitian- als auch mit Yubico Security Key NFC-Geräten getestet.
Der Feitian-Leser wird empfohlen, weil er:
einen niedrigeren Preis hat (ca. 27 € statt 40 €, ohne Umsatzsteuer)
ein längeres Kabel hat
keine eingebauten Lautsprecher besitzt (gibt keine Geräusche aus, wenn Karten/Schlüssel gelesen werden)
Tipp: Wir empfehlen, direkt bei Feitian zu kaufen, um die niedrigsten möglichen Kosten zu erreichen.
ACS ACR1252U – der alternative Leser
Der ACS ACR1252U ist ein NFC-Lesegerät, das sich für eine kontaktlose Authentifizierung unter Windows 10 als geeignet erwiesen hat. Das ACR1252U-Gerät (Amazon link) sollte in verschiedenen E-Shops und in lokalen Elektronikgeschäften verfügbar sein. Der Leser muss per USB-Verbindung mit dem Computer verbunden werden.
Sicherheitsschlüssel
Die Authentifizierung erfolgt, wenn ein physischer Sicherheitsschlüssel vom NFC-Lesegerät gelesen wird. Alle Nutzer, die diese Funktion benötigen, müssen jeweils ihren eigenen Schlüssel besitzen.
Sicherheitsschlüssel von Yubico – der empfohlene Schlüssel
Der Security Key NFC by Yubico ist die empfohlene Option für diesen Workflow. Der Schlüssel unterstützt sowohl Zwei-Faktor-Verifizierung als auch passwortlose Anmeldung. Die NFC-Varianten können außerdem mit kompatiblen NFC-Lesegeräten unter Windows 10 verwendet werden oder mit NFC-fähigen Smart-Geräten wie iPhones oder neueren Android-Telefonen.
Yubico bietet eine Software namens YubiKey Manager, mit der Nutzer den Hardware-PIN-Code zurücksetzen, das gesamte Gerät zurücksetzen oder ändern können, auf welchen Schnittstellen der Sicherheitsschlüssel funktioniert (Sie könnten z. B. NFC deaktivieren).
Beachten Sie, dass es viele Versionen von Sicherheitsschlüsseln gab: Die ältesten Geräte unterstützen kein FIDO2 und können daher nicht für passwortlose Authentifizierung verwendet werden.
Feitian A4B, K9 und BioPass K26/K27 – die alternativen Schlüssel
Der Hersteller des empfohlenen NFC-Lesegeräts baut auch passende Sicherheitsschlüssel. Der Yubico-Schlüssel wird hier empfohlen, da er eine bessere Bedienbarkeit bietet: Er meldet sich nahezu unmittelbar nach Eingabe des PIN-Codes an, während die Feitian-Schlüssel eine 4-Sekunden-Verzögerung haben.
2. (Optional) Biometrische Geräte und Optionen des Betriebssystems verstehen
Wenn Sie die biometrische Option wählen, stellen Sie sicher, dass Sie die Funktionen und Einschränkungen anhand der jeweiligen Geräte verstehen.
Windows 10
Windows-10-Computer können für Zwei-Faktor-Verifizierung oder für passwortloses Passkey-Login mit Windows Hello genutzt werden, das PIN-Codes, Gesichtserkennung und das Lesen von Fingerabdrücken unterstützt. Das kann entweder über integrierte Hardware erfolgen (z. B. integrierte Leser in Laptop-Computern) oder über externe Zubehörteile (z. B. Webcams mit Unterstützung für Windows Hello).
Windows Hello wird nicht für die Nutzung mit geteilten Windows-Benutzerkonten empfohlen. Die Nutzung eines geteilten Computers mit getrennten Windows-Benutzerkonten ist in Ordnung.
Die Passkey-Einstellungen können in Settings > Accounts > Sign-in options verwaltet werden. So können Nutzer ihren PIN-Code einrichten oder ändern, gespeicherte Fingerabdrücke verwalten, gespeicherte Anmeldedaten anzeigen (für passwortlose Authentifizierung), Windows-Hello-Funktionen und weitere Funktionen verwalten.
Kensington VeriMark Pro Key (K64704)
Der VeriMark Pro Key wird als FIDO2-kompatibler Fingerabdruckleser beworben. Er funktioniert als Windows-Hello-Authenticator. Damit ist er nur mit Windows-10-Geräten kompatibel.
Fingerabdrücke müssen zuerst zu einem Windows-Konto hinzugefügt werden, erst dann können sie für das Vetera-Login verwendet werden. Es ist nicht möglich, unterschiedliche Fingerabdrücke zu verwenden, um sich bei unterschiedlichen Vetera-Konten von einem einzelnen Windows-Benutzerkonto aus anzumelden. Stattdessen muss jede Person auf einem Computer über ihr eigenes Windows-Konto verfügen, das sie für das Login verwenden muss.
Dieses Gerät ist empfehlenswert, wenn Sie Windows-Hello-Login auf Computern umsetzen möchten, die keinen integrierten Fingerabdruckleser oder keine kompatible Webcam für die Gesichtserkennung haben. Kaufen Sie es nicht als tragbaren biometrischen Sicherheitsschlüssel – hierfür wäre der demnächst verfügbare YubiKey Bio eine bessere Option. YubiKey Bio ist derzeit nur über ein geschlossenes Vorschauprogramm verfügbar.
Apple-Geräte
Apple Face ID- und Touch ID-Funktionen stehen für das Passkey-Login zur Verfügung und bieten jeweils Gesichtserkennung bzw. Fingerabdruckoptionen. Schlagen Sie in der Bedienungsanleitung Ihres Geräts nach, um zu sehen, welche Funktionen unterstützt werden.
Google Chrome auf Apple-Geräten ermöglicht es Nutzern, ihre Web-Authentifikatoren in Settings > Privacy and security > Security > Manage security keys zu verwalten.
So können Nutzer ihren PIN-Code einrichten oder ändern, gespeicherte Fingerabdrücke verwalten, gespeicherte Anmeldedaten anzeigen (für passwortlose Authentifizierung) und das Gerät bei Bedarf vollständig zurücksetzen.
3. Hardware-Zwei-Faktor-Authentifizierung aktivieren
Der Bereich für die zentrale Steuerung ist unter Settings > Users > Password settings zu erreichen. Dort gibt es zwei relevante Einstellungen, mit mehreren Auswahlmöglichkeiten. Diese Einstellungen gelten für die gesamte Organisation.
Hardware-Zwei-Faktor-Authentifizierung aktivieren (Web-Authentifizierungsmodus) - Diese Einstellung aktiviert sowohl Hardware- als auch biometrische Passkey-Loginoptionen.
Web-Authentifizierungsmodus - Hiermit können Sie zwischen den unten beschriebenen Loginoptionen auswählen.
Nur Zwei-Faktor-Verifizierung - In diesem Modus müssen die Benutzer für das Login wie gewohnt ihre E-Mail (Benutzername) und ihr Passwort eingeben UND mit einer der ihnen verfügbaren Passkey-Methoden verifizieren.
Zwei-Faktor-Verifizierung und passwortlose Anmeldung - In diesem Modus können die Benutzer entweder die E-Mail (Benutzername)- und Passwort-Loginmethode wie gewohnt verwenden MIT zusätzlicher erforderlicher Verifizierung ODER nur den Authentifikator verwenden (für sie verfügbare Passkey-Methode).
Nur passwortlose Anmeldung - In diesem Modus kann sich der Benutzer mit der E-Mail (Benutzername) und dem Passwort wie gewohnt anmelden ODER nur den Authentifikator verwenden (für ihn verfügbare Passkey-Methode).
Modus | E-Mail und Passwort-Login | Authenticator-Login |
Nur Zwei-Faktor (Standard) | Möglich, Authenticator erforderlich | Nicht möglich |
Zwei-Faktor und passwortlos | Möglich, Authenticator erforderlich | Möglich |
Nur passwortlos | Möglich, Authenticator nicht erforderlich | Möglich |
4. Benutzer registrieren ihre Geräte
Sobald die Zwei-Faktor-Authentifizierung wie oben beschrieben aktiviert wurde, können Benutzer neue Geräte registrieren und vorhandene verwalten – direkt in ihrem Benutzerprofil, das oben rechts über das Menü geöffnet wird, das sich mit dem Benutzernamen öffnet.
Im Benutzerprofil gibt es eine Sektion namens „Multi-Faktor-Authentifizierung“. Dort können sie die registrierten Geräte sehen oder ein neues Gerät über die Schaltfläche „Gerät registrieren“ hinzufügen.
Sie können außerdem vorhandene Authentifikatoren entfernen oder bearbeiten. Das Löschen eines Passkey-Authentifikators entfernt ihn jedoch nicht aus dem Speicher des Authentifikators – für das Löschen der Anmeldedaten vom Gerät müssen andere, geräteabhängige Methoden verwendet werden, falls gewünscht.
Passwort - Sobald sie sich dafür entscheiden, ein neues Gerät zu registrieren, öffnet sich ein neues Dialogfenster. Um ein neues Gerät hinzuzufügen, müssen sie zuerst ihr bestehendes Vetera-Benutzerpasswort bestätigen, damit sie ein Gerät registrieren können.
Passwortlose Option - Als Nächstes können sie festlegen, ob das Login passwortlos erfolgen soll oder nicht. Das wird für die einfache Bedienung empfohlen, kann jedoch nicht mit allen Geräten funktionieren. Beachten Sie: Wenn die passwortlose Option aktiviert ist, kann sie nicht deaktiviert werden, ohne das Gerät erneut zu entfernen und zu registrieren.
Authenticator-Typ - Schließlich können sie wählen, ob sie einen tragbaren Authentifikator hinzufügen (z. B. den oben erwähnten YubiKey+NFC-Leser) oder einen geräteinternen Authentifikator (z. B. einen Fingerabdruckleser oder Face ID). Wie der Informationstext sagt: Ein tragbarer Authentifikator kann zwischen Computern gewechselt werden, aber die Daten eines geräteinternen Authentifikators werden auf dem Gerät selbst gespeichert (Windows Hello, Apples Touch ID).
Spitzname - Beachten Sie, dass dem Gerät auch ein Spitzname zugewiesen werden kann, aber nur durch das Bearbeiten des Geräts nach der ersten Registrierung.
5. Benutzer erhalten Sicherungscodes, wenn nötig
Um Benutzer in Fällen zu unterstützen, in denen sie wegen eines Authentifizierungsfehlers aus ihrem Konto ausgesperrt sind, wird eine Funktion für Sicherungscodes bereitgestellt. Sicherungscodes sind ein Satz aus 10 alphanumerischen Codes mit Berücksichtigung der Groß-/Kleinschreibung und jeweils 8 Zeichen, der verwendet werden kann, um das Authentifizierungssystem zu umgehen, nachdem die E-Mail (Benutzername) und das Passwort korrekt eingegeben wurden.
Sicherungscodes können aus dem Benutzerprofil erstellt werden. Eine Schaltfläche dafür wird neben der Schaltfläche zur Gerätregistrierung angezeigt, sobald mindestens ein Gerät hinzugefügt wurde.
Ein Dialogfenster zeigt die Codes an und ermöglicht außerdem die Generierung neuer Codes, wenn alle Codes bereits verwendet wurden oder kompromittiert sind. Die Sicherungscodes sollten extern gespeichert werden – an einem sicheren Ort, der für den Benutzer jedoch leicht zugänglich ist.
Hinweis
Die Option „Sicherungscodes“ ist im Benutzerprofil nicht sichtbar, wenn die Option „Nur passwortlos“ verwendet wird, da Benutzer sich dann normal mit ihrer E-Mail (Benutzername) und ihrem Passwort anmelden können, falls das Gerät nicht verfügbar ist oder nicht funktioniert.
Optionen zur Benutzerverwaltung durch den Administrator
Administratoren mit Rechten zur Benutzerverwaltung können die Multi-Faktor-Authentifikatoren der Benutzer prüfen und steuern, indem sie ein Benutzerprofil über Settings > Users öffnen.
Durch Auswahl der Option „Zwei-Schritt-Authentifizierungsinformationen zurücksetzen“ und das Speichern werden alle Geräte des Benutzers entfernt und sie können mit der Wiederherstellung ihres Setups beginnen, indem sie sich wie gewohnt mit der E-Mail (Benutzername) und dem Passwort anmelden.