Zwei-Faktor-Authentifizierung (2FA)
Die Zwei-Faktor-Authentifizierung ergänzt das smoxy-Konto um eine zweite Sicherheitsebene: Zusätzlich zum Passwort erfordert die Anmeldung einen zeitbasierten Einmalcode (TOTP) aus einer Authenticator-App. Jeder Benutzer kann 2FA für das eigene Konto aktivieren, und Organisations-Owner können sie für alle Mitglieder erzwingen.


2FA für das eigene Konto aktivieren
- Die Konto-Seite öffnen und die Karte Zwei-Faktor-Authentifizierung aufrufen
- Auf Zwei-Faktor-Authentifizierung aktivieren klicken
- Den QR-Code mit einer Authenticator-App scannen -- Google Authenticator, Authy, 1Password oder jede TOTP-App. Alternativ den angezeigten Schlüssel manuell eingeben
- Den 6-stelligen Code aus der App eingeben und mit Bestätigen abschließen
2FA ist damit aktiv: Die nächste Anmeldung fragt nach dem Passwort zusätzlich einen Code aus der Authenticator-App ab.
Wiederherstellungscodes
Nach der Aktivierung zeigt smoxy einen Satz Wiederherstellungscodes an -- diese sollten sicher aufbewahrt werden (z. B. in einem Passwort-Manager). Jeder Code funktioniert genau einmal und dient als Ersatz, wenn die Authenticator-App nicht verfügbar ist. Sie werden nur in diesem Moment angezeigt und lassen sich später nicht erneut einsehen.
Neue Codes lassen sich jederzeit über Wiederherstellungscodes neu generieren auf der Konto-Seite erzeugen; der vorherige Satz wird dabei ungültig.
2FA deaktivieren
2FA lässt sich über Deaktivieren auf derselben Karte abschalten -- zur Bestätigung ist ein aktueller Code aus der Authenticator-App erforderlich.
INFO
Verlangt eine Organisation, der das Konto angehört, 2FA, kann sie nicht deaktiviert werden. Die Karte zeigt dann: „Eine der Organisationen verlangt 2FA, daher kann sie nicht deaktiviert werden."
Organisationsweite Durchsetzung
Organisations-Owner können 2FA für das gesamte Team vorschreiben: Auf der Team-Seite aktiviert unter Sicherheit der Schalter 2FA für alle Mitglieder erforderlich die Durchsetzung. Mitglieder ohne 2FA werden bei der nächsten Anmeldung zur Einrichtung aufgefordert und bis dahin blockiert.
