Hilfe & AnleitungenKonto-Sicherheit › Vertrauenswürdige Geräte (Remember device mit 2FA)

Vertrauenswürdige Geräte (Remember device mit 2FA)

3 Min. Lesezeit · Konto-Sicherheit

Wenn Sie die Zwei-Faktor-Authentifizierung (2FA) aktiviert haben und beim Anmelden von einem gewöhnlichen Computer oder Mobiltelefon den sechsstelligen Code überspringen möchten, aktivieren Sie "Dieses Gerät merken". 30 Tage lang fragen wir Sie nicht erneut nach dem Einmalcode (TOTP).

Kontoeinstellungen - E-Mail, Passwort, 2FA und vertrauenswürdige Geräte
Bereich Konto: hier verwalten Sie 2FA und vertrauenswürdige Geräte.

So funktioniert es

  1. Aktivieren Sie bei der ersten erfolgreichen 2FA-Anmeldung auf dem Gerät die Option "Dieses Gerät merken".
  2. Wir speichern im Browser einen zufälligen Sicherheitstoken (256 Bit). Auf dem Server bewahren wir nur dessen Hash (SHA-256) auf, sodass der Token weder erraten noch abgeleitet werden kann - ein Angreifer kann kein gültiges Cookie fälschen.
  3. Bei der nächsten Anmeldung im selben Browser finden wir dieses Cookie und überspringen den 2FA-Schritt.
  4. Nach 30 Tagen läuft das Cookie ab und Sie müssen den Einmalcode erneut eingeben.

Verwaltung vertrauenswürdiger Geräte

In den Einstellungen sehen Sie im Bereich Konto -> Vertrauenswürdige Geräte eine Liste mit:

  • dem aus dem Browser abgeleiteten Gerätenamen (zum Beispiel "Chrome auf Windows 11").
  • der IP-Adresse und dem Land der letzten Anmeldung.
  • dem Datum des Hinzufügens und der letzten Verwendung.
  • einer Schaltfläche Entfernen - hebt das Vertrauen sofort auf, und die nächste Anmeldung von diesem Gerät erfordert wieder den 2FA-Code.

Wann ein Gerät entfernen

  • Sie haben sich an einem fremden oder öffentlichen Computer angemeldet (Café, Bibliothek).
  • Sie haben ein Notebook oder Mobiltelefon verloren oder verkauft.
  • Sie sehen in der Liste ein Gerät, das Sie nicht kennen (fremde IP-Adresse, unbekanntes Land).

Sicherheitsmaßnahmen

  • Zufälliger serverseitiger Token: an den Browser geht nur ein zufälliger 256-Bit-Token, der Server speichert lediglich dessen SHA-256-Hash und vergleicht ihn - ein Angreifer kann kein gültiges Cookie fälschen.
  • JavaScript hat keinen Zugriff auf das Cookie: Schutz davor, dass es ein schädliches Skript auf der Seite stehlen kann.
  • Nur über verschlüsselte Verbindung: das Cookie wird ausschließlich über HTTPS gesendet.
  • An das Konto gebunden: ein Cookie von Konto A funktioniert nicht in Konto B.
  • Automatischer Ablauf: nach 30 Tagen ist 2FA wieder erforderlich.
  • Bei einer Passwortänderung (über "Passwort vergessen" oder eine manuelle Änderung) werden alle vertrauenswürdigen Geräte automatisch entfernt. Selbst wenn ein Angreifer Ihr altes Cookie hätte, kann er 2FA nicht mehr überspringen.
War diese Anleitung hilfreich?