REOSA Docs LogoREOSADocs
Anmelden
REOSA Docs
§ 02 · 2FA-Pflicht — Zugangsdaten-Tresor

2FA-Pflicht — Zugangsdaten-Tresor

Zwei-Faktor-Authentifizierung als Pflicht für den Tresor-Zugriff: was bedeutet das konkret, welche Methoden sind unterstützt, wie funktioniert das Recovery, was tun bei verlorenen Codes.

Die 2FA-Pflicht ist eine Tenant-weite Erzwingung: Wenn sie aktiv ist, muss jede:r User eine zweite Authentifizierungs-Methode neben dem Master-Password eingerichtet haben, um den Tresor öffnen zu können. Ohne aktive 2FA verweigert der Tresor den Zugriff — selbst dann, wenn das Master-Password korrekt ist.

2FA wirkt nur auf den Tresor, nicht auf den allgemeinen Plattform-Login. Die Plattform selbst hat eine separate 2FA-Konfiguration (siehe Plattform-Account-Einstellungen). Die Tresor-2FA-Pflicht ist gezielt strenger, weil der Tresor sensible Geheimnisse enthält.


Was 2FA-Pflicht in diesem Kontext bedeutet

Ohne 2FA-Pflicht (Default): User kann den Tresor mit Master-Password entsperren. Optional kann der:die User selbst 2FA aktivieren, ist aber nicht gezwungen.

Mit 2FA-Pflicht (Admin-aktiviert): Jeder Tresor-Unlock-Versuch erfordert zwei Faktoren:

  1. Master-Password (Faktor "Wissen")
  2. Zweiter Faktor (Faktor "Besitz") — TOTP-Code oder Hardware-Key

Ein:e User ohne eingerichtete 2FA wird beim ersten Unlock-Versuch nach Aktivierung der Pflicht zu einer Setup-Seite umgeleitet. Bis 2FA vollständig eingerichtet ist (inkl. Verifikation und Recovery-Codes-Quittung), bleibt der Tresor gesperrt.


Aktivierung pro Tenant

Pfad: Einstellungen → Tools → Zugangsdaten-Tresor → Sicherheit → 2FA-Pflicht.

Nur Admins dürfen den Schalter umlegen. Beim Aktivieren wird ein Bestätigungs-Modal angezeigt, der den Effekt zusammenfasst:

Nach Aktivierung müssen alle Tresor-User innerhalb von 7 Tagen 2FA einrichten. Bis dahin können sie den Tresor weiterhin nutzen. Nach Ablauf der Frist ist der Tresor für nicht-2FA-User gesperrt.

Die 7-Tage-Grace-Period ist nicht änderbar — sie ist bewusst eingebaut, damit nicht ein:e Admin versehentlich 2FA aktiviert, während Kolleg:innen im Außendienst sind und für Tage keinen Tresor-Zugriff mehr haben.


Unterstützte 2FA-Methoden

TOTP via Authenticator-App (verfügbar)

Time-based One-Time-Password gemäß RFC 6238. Funktioniert mit allen gängigen Apps:

  • iOS / Android: Aegis, 1Password, Bitwarden, Google Authenticator, Microsoft Authenticator, Authy
  • Desktop: KeePassXC, 1Password Desktop

Setup-Flow:

  1. Einstellungen → Sicherheit → Tresor-2FA aktivieren
  2. QR-Code wird angezeigt — User scannt ihn mit der gewählten App
  3. Aktueller 6-stelliger Code wird eingegeben (zur Verifikation)
  4. Recovery-Codes werden angezeigt — User muss die Codes herunterladen oder ausdrucken (siehe nächster Abschnitt)
  5. Bestätigung "Recovery-Codes sicher abgelegt" — erst danach ist 2FA aktiv

WebAuthn / Hardware-Key (geplant Phase 2)

YubiKey, Solokey und passkeys via WebAuthn. Setup-Flow analog zu TOTP, mit Browser-WebAuthn-Prompt statt QR-Code. Aktuell noch nicht verfügbar — Updates kommen mit dem Phase-2-Release.


Was passiert beim Unlock-Versuch ohne 2FA

Wenn 2FA-Pflicht aktiv ist und User noch nicht eingerichtet hat:

  • Während Grace-Period (7 Tage): Banner mit Hinweis "Tresor-2FA wird in X Tagen Pflicht. Jetzt einrichten.". Tresor bleibt nutzbar.
  • Nach Grace-Period: Tresor öffnet nicht. Stattdessen Setup-Aufforderung. Erst nach erfolgreichem Setup wieder Zugriff.

Wenn 2FA aktiv ist und User falschen TOTP-Code eingibt:

  • Erster falscher Code: normale Fehlermeldung.
  • Drei falsche Codes hintereinander: 30 Sekunden Sperre.
  • Fünf falsche Codes innerhalb 10 Minuten: temporäre 30-Minuten-Sperre, Admin wird via E-Mail informiert.

Recovery-Codes

Beim 2FA-Setup generiert die Plattform 10 Recovery-Codes, jeweils 12 Zeichen lang. Sie werden einmalig angezeigt — danach nicht mehr abrufbar. Der:die User wird aufgefordert, sie auszudrucken oder offline (Passwort-Manager, abgeschlossener Tresor) zu speichern.

Jeder Recovery-Code ist einmalig verwendbar. Nach Verwendung verbraucht. Wenn weniger als 3 Codes übrig sind, zeigt das Plattform-UI einen Warn-Banner und bietet die Regeneration aller Codes an (alte werden invalidiert).

Wann brauchst du Recovery-Codes?

  • Handy verloren / kaputt / neues Smartphone
  • Authenticator-App versehentlich gelöscht ohne Backup
  • TOTP-Sekret-Drift zwischen Server- und Geräte-Zeit (extrem selten)

Wenn Recovery-Codes verloren gehen

Wenn ein:e User weder Authenticator-App noch Recovery-Codes hat:

  1. User meldet sich beim Admin — nicht beim Plattform-Support, sondern intern.
  2. Admin authentifiziert die Person persönlich (Identitätsprüfung am Schreibtisch oder per Video-Call).
  3. Admin löst 2FA-Reset aus in Einstellungen → Team → User → Tresor-2FA zurücksetzen. Dies erzeugt einen Audit-Log-Eintrag.
  4. User richtet 2FA neu ein beim nächsten Login mit neuen Recovery-Codes.

Wichtig: Der 2FA-Reset durch den Admin entsperrt nicht den Tresor. Der:die User braucht weiterhin das Master-Password. Wenn auch das verloren ist, hat der User keinen Weg zurück zu den eigenen privaten Einträgen — die sind unwiderruflich verschlüsselt. Geteilte Einträge sind weiterhin über andere User zugänglich.

Es gibt keinen Plattform-Support-Override für den Tresor. Das ist eine bewusste Design-Entscheidung: die Plattform soll keinen Mechanismus haben, der Tresor-Inhalte ohne Mitwirkung des Master-Password-Inhabers freigibt. Das schützt die Tenant vor Insider-Threats auf Plattform-Seite, bedeutet aber, dass Master-Password und Recovery-Codes nicht verloren gehen dürfen.