# Single-Sign-On

Authentik ([sso.fsrvi.de](https://sso.fsrvi.de)) dient als zentrale Login-Möglichkeit für Dienste des FSR VI. Um einen Account zu erhalten benötigst du eine Einladung, wende dich dazu an die IT.

### Multi-Faktor-Authentisierung (MFA)

<span style="white-space: pre-wrap;"> Alle Nutzer\*innen müssen Multi-Faktor-Authentisierung (MFA), auch bekannt als </span>[Zwei-Faktor-Authentisierung (2fa)](https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Zwei-Faktor-Authentisierung/zwei-faktor-authentisierung_node.html)<span style="white-space: pre-wrap;">, einrichten. </span>

MFA schützt den Account auch bei Abhandenkommen des Passworts vor Missbrauch, in dem ein weiterer Faktor („Besitz“) als Ergänzung zum Faktor „Wissen“ (dem Passwort) hinzukommt.

<span style="white-space: pre-wrap;">Du kannst mehrere Methoden oder Geräte als Faktor hinterlegen, bei der Anmeldung benötigst du nur eins. Du wirst bei der Registrierung/Login automatisch aufgefordert ein Gerät einzurichten. In deinem </span>[Konto](https://sso.fsrvi.de/if/user/#/settings;%7B%22page%22%3A%22page-mfa%22%7D)<span style="white-space: pre-wrap;"> kannst du Geräte hinzufügen oder löschen.</span>

Für eine MFA stehen in Authentik zwei Möglichkeiten zur Verfügung:

#### Authenticator-App (TOTP)

Bei dieser Authentisierungsmethode wird eine App verwendet, die anhand eines Geheimnisses und der Uhrzeit alle 30 Sekunden einen neuen Zahlencode erzeugt. Beim Login muss der aktuelle Code angegeben werden.

<span style="white-space: pre-wrap;">Als Verfahren wird TOTP (Time-based one-time password) verwendet. TOTP ist ein Standard, der von verschiedenen Apps (und sogar Hardware-Geräten) implementiert wird. </span>

<span style="white-space: pre-wrap;">Genutzt werden kann jede beliebige App, die TOTP unterstützt. Empfehlenswerte Apps sind bspw. </span>[2fas](https://2fas.com/)<span style="white-space: pre-wrap;">, </span>[FreeOTP](https://freeotp.github.io/)<span style="white-space: pre-wrap;"> oder </span>[Aegis](https://getaegis.app/)<span style="white-space: pre-wrap;"> (alle Open Source). Aber auch Apps wie der Google Authenticator, Microsoft Authenticator o.Ä. können benutzt werden. Auch viele Passwortmanager unterstützen TOTP, allerdings erhöht das Verwenden des Passwortmanagers das Risiko, dass beide Faktoren zusammen abhanden kommen.</span>

Das Hinzufügen des Authentik-Accounts zur Authenticator-App erfolgt durch scannen des angezeigten QR-Codes mit der App, oder manuell durch Übetragung des angezeigten Geheimnisses. Zu Bestätigung muss ein aktueller Code eingegeben werden.

#### WebAuthn/FIDO2/Passkeys

<span style="white-space: pre-wrap;">WebAuthn ist ein Webstandard für eine sichere und bequeme Anmeldung im Web. In Zukunft wird es in vielen Bereichen Passwörter komplett ersetzen. Passkeys sind eine Implementierung von WebAuthn, FIDO2 der zugrunde liegende Standard. </span>

<span style="white-space: pre-wrap;">WebAuthn arbeitet mit Public-Key-Kryptografie und verwendet entweder einen FIDO2-kompatiblen Hardware-Dongle (bspw. Yubikey, Nitrokey, Token2, …) oder Funktionen des Betriebssystems/Browsers (Apple Keychain, Google Chrome/Android Passwortmanager, Windows Hello) zur Authentifizierung. </span>

Der\*die Nutzer\*in authentisiert sich gegenüber dem Gerät (bspw. mit Fingerabdruck oder PIN) und dieses bestätigt der Webseite kryptografisch die erfolgreiche Authentisierung. Dabei kann Phishing technisch nahezu ausgeschlossen werden.

Ob dein Gerät Unterstützung für WebAuthn bietet probierst du am besten durch Hinzufügen eines WebAuthn-Gerätes aus.

<span style="white-space: pre-wrap;">Mehr Infos zu Passkeys findest du beim </span>[BSI](https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html)<span style="white-space: pre-wrap;"> oder </span>[heise](https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html).