die offizielle Anleitung der Bundesgeschäftsstelle zum Wechsel von SMS auf Authenticator App findet ihr >hier<
Das Grüne Netz erfordert für eine erfolgreiche Anmeldung eine aktivierte Zwei-Faktor-Authentifizierung, kurz "2FA" genannt - oder auch "MFA" für Mehr-Faktor-Authentifizierung. Bei der erstmaligen Anmeldung wird man zur Einrichtung einer Methode zur Zwei-Faktor-Authentisierung aufgefordert. Nach der initialen Aktivierung der 2FA können in der Account-Verwaltung weitere Methoden eingerichtet werden. Es wird empfohlen, mindestens zwei Methoden zur 2FA zu hinterlegen, falls eine Methode ausfällt.
Die empfohlene primäre Methode ist Security-Token.
Eine Schritt-für-Schritt-Einleitung zur Einrichtung der Zwei-Faktor-Authenfizierung findet sich im Grünsteifen.
Im Grünen Netz wird immer die 2FA-Methode als erstes angeboten, die (zeitlich) zuerst eingerichtet wurde. Da dies im Regelfall SMS ist, wird diese Methode auch immer zuerst bei einem Anmeldevorgang angeboten. Um die Standardmethode zu ändern, muss zunächst mindestens eine andere Methode (Authenticator-Anwendung oder Security Token) eingerichtet werden. Anschließend muss in der Account-Verwaltung die Telefonnummer als 2-Faktor-Methode gelöscht werden. Nun ist die neu eingerichtete, andere Methode standardmäßig aktiv. Bei Bedarf kann die Telefonnummer nun wieder hinzugefügt werden, beispielsweise für den Fall, dass der USB Security Token abhanden kommt.
Es können beliebig viele Methoden parallel konfiguriert werden, so dass man sich die "bequemste" Methode für das jeweilige Endgerät aussuchen kann und so auch vermeidet, sich bei Nicht-Verfügbarkeit einer einzelnen Methode (z.B. nach Verlust des Smartphones) auszusperren.
Ein Einrichtung erfolgt durch das Scannen eines QR-Codes, der bei der Einrichtung der Methode angezeigt wird.
Die App ist über den Google Play Store, den Apple App Store und F-Droid installierbar.
Die App ist über den Google Play Store und F-Droid installierbar.
Die App ist über den Apple App Store installierbar.
Auf vielen Android Geräten ist bereits der Google Authenticator installiert. Dieser kann ebenfalls für das TOTP-Verfahren eingesetzt werden. Jedoch macht dieser in letzter Zeit mit fehlender Verschlüsselung von sich reden.
Die Firma Reiner SCT bietet den sog. Authenticator an. Ein etwa Zigarettenschachtel großes Gerät mit dem es unabhängig von anderen Geräten möglich ist, TOTP Codes zu erzeugen. Auch hier erfolgt die Einricthung durch das Scannen des QR-Codes.
KeePassXC ist ein Passwort-Manager, der als Desktop-Anwendung für Windows, MacOS und Linux verfügbar ist. Neben Passwörtern kann KeePassXC auch TOTP-Codes verwalten.
Zunächst muss in KeePassXC ein Passwort-Eintrag (Plus-Symbol in der Symbolleiste) erzeugt werden. Das Passwort kann leer bleiben. Nach einem Klick auf OK wird der neue Eintrag in der Übersichtsliste angezeigt. Dort kann nur mit der Rechten Maustaste auf demn Kontext-Menü TOTP > TOTP einrichten ... gewählt werden.
Klicke in der Account-Verwaltung des Grünen Netzes auf Authenticator-Anwendung einrichten. Eventuell musst du nun erneut dein Passwort eingeben. Anschließend klicke unter dem angezeigten QR-Code auf Sie können den Barcode nicht scannen?. Kopiere das angezeigte Passwort in das Text-Feld Geheimer Schlüssel in der KeePassXC-Anwendung. Bestätige die Einrichtung, indem du im KeePassXC mit der rechten Maustaste das Kontext-Menü öffnest, und TOTP > TOTP kopieren wählst. Den Code kannst du aus der Zwischenablage (Strg +v) zur Bestätigung unter dem QR-Code einfügen.
Zunächst musst du einen USB Security Token deiner Wahl bestellen. Achte dabei darauf, dass du den richtigen USB-Anschluss passend zu allen deinen Geräten wählst. Einige USB Security Tokens unterstützen auch NFC und können somit auch in Kombination mit einem Smartphone verwendet werden.
Verfügbare Hardware (viele der gelisteten Geräte sind auch bei anderen Händlern verfügbar):
Zur Einrichtung wählst du in der Account-Verwaltung Security-Token einrichten. Im erscheinenden Dialog wählst du Einrichten. Stelle sicher, dass dein USB Security Token angeschlossen ist und halte eventuell kurz den Finger an. Anschließend kannst du dem neu registrierten Gerät noch einen Namen geben, um es später eventuell auch wieder löschen zu können.
Mit Windows Hello kann auf den Kauf eines USB Security Token verzichtet werden. Microsoft stellt eine Anleitung zur Verfügung.
Apple unterstützt die Synchronisierung von Passkeys zwischen allen Apple-Geräten. Die Passkeys werden mit Face oder Touch ID gesichert.
Weitere Informationen von Apple zu Passkeys.
Auch auf aktuellen Android Geräten kann man inzwischen mit Chrome Passkeys nutzen. Dafür ist mind. Android 9 nötig. Für andere bleibt noch die Möglichkeit eines NFC-fähigen oder per USB angeschlossen Security Token in Kombination mit dem Chrome Browser zu verwenden.
Weitere Informationen von Google zu Passkeys
Mittels Chrome-Browser können die Passkeys auch auf Windows-, Linux- oder MacOS-Rechner synchronisiert werden.
Alternative Browser wie Fennec oder Bromite-basierte unterstützen derzeit weder NFC noch Passkeys und nur vereinzelt per USB angeschlossene Security Tokens.
Einige Passwort Manager unterstützen Passkeys oder haben Passkey-Unterstützung angekündigt. Derzeit ist es zu früh für eine Sicherheitsbewertung dieser Tools.
Solltet ihr euch doch mal ausgesperrt haben, z.B. wenn nur eine Methode konfiguiert war und auf diese kein Zugriff mehr besteht oder gleichzeitig mehrere Methoden abhanden kommen (gleichzeitiger Smartphone und Rufnummernwechsel), so wendet euch unter Angabe Deines Namen und des Kreis- oder Ortsverband an die Bundesgeschäftsstelle um wieder Zugang zum Grünen zu erlangen.