Die 2FA-Pflicht ist eine Tenant-weite Erzwingung: Wenn sie aktiv ist, muss jede:r User eine zweite Authentifizierungs-Methode neben dem Master-Password eingerichtet haben, um den Tresor öffnen zu können. Ohne aktive 2FA verweigert der Tresor den Zugriff — selbst dann, wenn das Master-Password korrekt ist.
2FA wirkt nur auf den Tresor, nicht auf den allgemeinen Plattform-Login. Die Plattform selbst hat eine separate 2FA-Konfiguration (siehe Plattform-Account-Einstellungen). Die Tresor-2FA-Pflicht ist gezielt strenger, weil der Tresor sensible Geheimnisse enthält.
Ohne 2FA-Pflicht (Default): User kann den Tresor mit Master-Password entsperren. Optional kann der:die User selbst 2FA aktivieren, ist aber nicht gezwungen.
Mit 2FA-Pflicht (Admin-aktiviert): Jeder Tresor-Unlock-Versuch erfordert zwei Faktoren:
Ein:e User ohne eingerichtete 2FA wird beim ersten Unlock-Versuch nach Aktivierung der Pflicht zu einer Setup-Seite umgeleitet. Bis 2FA vollständig eingerichtet ist (inkl. Verifikation und Recovery-Codes-Quittung), bleibt der Tresor gesperrt.
Pfad: Einstellungen → Tools → Zugangsdaten-Tresor → Sicherheit → 2FA-Pflicht.
Nur Admins dürfen den Schalter umlegen. Beim Aktivieren wird ein Bestätigungs-Modal angezeigt, der den Effekt zusammenfasst:
Nach Aktivierung müssen alle Tresor-User innerhalb von 7 Tagen 2FA einrichten. Bis dahin können sie den Tresor weiterhin nutzen. Nach Ablauf der Frist ist der Tresor für nicht-2FA-User gesperrt.
Die 7-Tage-Grace-Period ist nicht änderbar — sie ist bewusst eingebaut, damit nicht ein:e Admin versehentlich 2FA aktiviert, während Kolleg:innen im Außendienst sind und für Tage keinen Tresor-Zugriff mehr haben.
Time-based One-Time-Password gemäß RFC 6238. Funktioniert mit allen gängigen Apps:
Setup-Flow:
YubiKey, Solokey und passkeys via WebAuthn. Setup-Flow analog zu TOTP, mit Browser-WebAuthn-Prompt statt QR-Code. Aktuell noch nicht verfügbar — Updates kommen mit dem Phase-2-Release.
Wenn 2FA-Pflicht aktiv ist und User noch nicht eingerichtet hat:
Wenn 2FA aktiv ist und User falschen TOTP-Code eingibt:
Beim 2FA-Setup generiert die Plattform 10 Recovery-Codes, jeweils 12 Zeichen lang. Sie werden einmalig angezeigt — danach nicht mehr abrufbar. Der:die User wird aufgefordert, sie auszudrucken oder offline (Passwort-Manager, abgeschlossener Tresor) zu speichern.
Jeder Recovery-Code ist einmalig verwendbar. Nach Verwendung verbraucht. Wenn weniger als 3 Codes übrig sind, zeigt das Plattform-UI einen Warn-Banner und bietet die Regeneration aller Codes an (alte werden invalidiert).
Wann brauchst du Recovery-Codes?
Wenn ein:e User weder Authenticator-App noch Recovery-Codes hat:
Wichtig: Der 2FA-Reset durch den Admin entsperrt nicht den Tresor. Der:die User braucht weiterhin das Master-Password. Wenn auch das verloren ist, hat der User keinen Weg zurück zu den eigenen privaten Einträgen — die sind unwiderruflich verschlüsselt. Geteilte Einträge sind weiterhin über andere User zugänglich.
Es gibt keinen Plattform-Support-Override für den Tresor. Das ist eine bewusste Design-Entscheidung: die Plattform soll keinen Mechanismus haben, der Tresor-Inhalte ohne Mitwirkung des Master-Password-Inhabers freigibt. Das schützt die Tenant vor Insider-Threats auf Plattform-Seite, bedeutet aber, dass Master-Password und Recovery-Codes nicht verloren gehen dürfen.