Häufig gestellte Fragen

Es ist keine zusätzliche Freigabe/Aktivierung erforderlich. Sobald die MFA eingerichtet und die Code-Karte bereitgestellt ist, kann sie direkt genutzt werden.

Die MFA wird auf dem Entra ID Mandanten eingerichtet. Alle Benutzer, welche Mitglied der MFA-Sicherheitsgruppe sind, können den Code-Karten-MFA-Dienst nutzen.

Eine 10x5 Code-Karte enthält 50 Codes, woarus bei jedem Versuch zufällig ein Code ausgewählt wird. Dadurch ist es unwahrscheinlich, dass ein Angreifer den Code erraten kann. Die maximale Kartengrösse ist 10x10.

Ja, jede:r Schüler:in kann eine individuell angepasste Karte mit variierenden Code-Längen (4-10 Zeichen) haben. Diese Flexibilität erlaubt Anpassungen an individuelle Bedürfnisse. Optionen:

Grossbuchstaben und Ziffern | Kleinbuchstaben und Ziffern | Grossbuchstaben Kleinbuchstaben und Ziffern

SHA512 für 20'000 Codes = ~3,5 Stunden bei 10x5. Batch-Grösse: 100 => ~60 Sekunden.

Die Code-Karten sollten über eine zuverlässige, nicht-elektronische Methode verteilt werden, z.B. über einen vertrauenswürdigen Postdienst.

Wenn eine Code-Karte gestohlen wird, kann sie sofort über die Schülerverwaltungs-API invalidiert werden.

Wenn eine neue Code-Karte erstellt wird, wird die bisherige Code-Karte des entsprechenden Benutzers automatisch invalidiert.

Die Codes werden gehasht und nur der HASH wird gespeichert: Rfc2898DeriveBytes.Pbkdf2 unter Verwendung des SHA512-Algorithmus.

Die Anzahl der Versuche ist pro Sitzung auf drei begrenzt, um Brute-Force-Angriffe zu verhindern.

Bei der Registrierung der App wird lediglich der delegierte Zugriff auf die Profildaten des Nutzers beantragt. Das bedeutet, dass die App nur die Erlaubnis hat, auf die Profilinformationen des Nutzers zuzugreifen. Dazu gehören z.B. der Name, die E-Mail-Adresse sowie andere grundlegende Details, die vom Nutzer genehmigt wurden. Über diesen Umfang hinaus werden keine weiteren Berechtigungen oder Datenzugriffe angefordert.

Die Verschlüsselungs- und Signierzertifikate werden direkt aus einem sicheren Azure Key Vault erstellt und verwendet. Der Azure Key Vault ist nicht über das Internet erreichbar.

Nein. Jede OID kann nur in einem einzigen Mandanten existieren.

Es wird nicht empfohlen, mehrere MFA-Authentifizierungsmethoden zu unterstützen, wenn die Code-Karten-MFA verwendet wird. Dies kann nämlich zu einer schlechten Benutzererfahrung in der Microsoft Entra ID Oberfläche führen.

Ja, die MFA-Benutzeroberfläche bietet vollständige Unterstützung für Bildschirmlesegeräte und entspricht den statischen WCAG-Standards.

Ja, Exchange Hybrid muss aktiviert sein und Hybrid Modern Authentication kann verwendet werden. How to configure Exchange Server on-premises to use Hybrid Modern Authentication

Ja, eine einfache Anpassung ist möglich. Folgende HTML-Elemente können angepasst werden:

Login page title, Login hint, Help link text, Help link target, Show grid card ID (optional, verschiedene Formate), Bild für Logo, Default Sprache, Service Name, Amount of columns and rows (für Code-Karte)

Nach drei fehlerhaften Versuchen wird der easyauth.ch Service für eine Minute ausgesetzt. Nach 12 Versuchen wird der Benutzer informiert und die IT bekommt eine E-Mail, dass der Benutzer 12 fehlerhafte Anmeldungen hatte. Dieses Handling schützt vor DDOS, ohne den ganzen Benutzer für alle Entra-Funktionen zu sperren.