Die Abkürzung TOTP steht für „Time-Based One-Time Password“, also übersetzt zeitbasiertes Einmalpasswort, und bezeichnet ein Sicherheitsverfahren zur Zwei-Faktor-Authentifizierung zwischen dem Server und einem externen Gerät eines Nutzers. Möchte sich ein Benutzer anmelden, generiert das Gerät anhand der aktuellen Zeit ein Einmalpasswort. Wird dieses zusammen mit dem Benutzernamen korrekt eingegeben, ist die Anmeldung erfolgreich. Da das Einmalpasswort zeitlich begrenzt gültig ist und somit schwerer vorhersehbar ist oder gestohlen werden kann, bietet TOTP eine zusätzliche Sicherheitsebene,
Um auf do.de eine Zweifaktorauthentifizierung per TOTP einzurichten, wählst Du oben rechts nach dem Login im Dashboard den Button der eine Person abbildet.
Wähle dann den Punkt Benutzer-Einstellungen im Menü links.
Nun befindet sich die Einrichtung für die Zweifaktor Authentifizierung im Reiter Sicherheit.
Je nachdem, ob Du die Authentifizierung per TOTP, WebAuthn oder SMS aktivieren möchtest, klickst Du auf den entsprechenden grünen Button „jetzt aktivieren“.
Im Fall von TOTP erscheint nun ein Fenster mit einem QR-Code. Diesen scannst Du mit der gewünschten TOTP App oder einem Authenticator deiner Wahl. Sollte der Scan nicht funktionieren, kann alternativ auch der Schlüssel in der App bzw. dem Authenticator eingetragen werden.
Anschließend wählst Du aus, wofür Du die Zweifaktor-Authentifizierung verwenden möchtest – lediglich für den Login oder auch für Domain-Kündigungen.
Zu guter Letzt muss einmal ein Code aus der App / dem Authenticator eingetragen werden um die Einrichtung abzuschließen.
Für eine 2-Faktoren-Authentifizierung per WebAuthn stehen dir mehrere Geräte bzw. Apps zur Verfügung. Details hierzu findest Du hier.
SMS unterscheidet sich von TOTP nur dahingehend, dass anfangs eine Handynummer eingegeben werden muss. Dir wird dann ein Code per SMS zugeschickt, mit dem die Einrichtung abgeschlossen wird.
Nun erscheint auf dem Bildschirm eine Liste mit Backup-Codes. Drucke dir diese aus und bewahre Sie gut auf. Hiermit erhälst Du Zugang, auch wenn du den Authenticator verloren, die App gelöscht oder anderweitig kein Zugang zum Authenticator hast.