Was bringt die Zwei-Faktor-Authentifizierung?


Auf Escola werden bei vielen Schulen äusserst sensitive Daten eingegeben – Personendaten, Schülerdossier-Einträge, Noten, Zeugnisdaten, private Nachrichten usw. Die Entwickler von Escola verwenden viel Energie, die Applikation sicher zu programmieren und immer die neuste Serverinfrastruktur einzusetzen. Die Sicherheit auf der Seite der Benutzer kann von Escola aber weniger gut beeinflusst werden. Wenn beispielsweise ein Computer einer Lehrperson von einem Virus verseucht ist und ein Keylogger die Login-Daten abgreift, können schnell viele wichtige Daten in die falschen Hände geraten. Die Zwei-Faktor-Authentifizierung löst dieses Problem, indem für den Login zwei verschiedene Kanäle verwendet werden. Wenn die Login-Daten einer Lehrperson also einmal in die Hände einer Schülerin/eines Schülers oder eines Hackers gerät, hätte dies keine Folgen, da der Benutzername und das Passwort für den Login nicht ausreichen.  


Die Zweifaktor-Authentifizierung erhöht die Software-Sicherheit massiv, allerdings leidet bei vielen Applikationen die Benutzerfreundlichkeit durch die zusätzliche Hürde beim Login. Die Zwei-Faktor-Authentifizierung von Escola ist so aufgebaut, dass sie dem User möglichst wenig Umstände bereitet und der Login nur wenige Sekunden mehr Zeit benötigt. 



Wie funktioniert die Zwei-Faktor-Authentifizierung von Escola?


Nach der korrekten Eingabe von Benutzernamen und Passwort wird dem User ein sms oder eine Whatsapp-Nachricht zugestellt mit einem sechsstelligen Code. Um den Login abzuschliessen, muss dieser Code ins vorgesehene Feld kopiert oder getippt werden. 





Sobald ein erfolgreicher Zwei-Faktor-Login erfolgt ist, wird der Browser für diesen User für zwei Monate als "sicher" markiert. Solange die Cookies nicht manuell gelöscht werden, muss die Zwei-Faktor-Authentifizierung via sms oder Whatsapp erst wieder in zwei Monaten erfolgen. Nach einem Logout innerhalb der zwei Monate muss also nur der normale Login durchgeführt werden. 



Bei welchen Personen wird die Zwei-Faktor-Authentifizierung aktiviert?


Beim Installieren der Zwei-Faktor-Authentifizierung wird diese Funktion standardmässig für Lehrpersonen und Administratoren (bei Mehrschulsystemen auch Superadministratoren) aktiviert. Dies kann unter Einstellungen > Control Panel > Sicherheit geändert werden (hier kann personengenau bestimmt werden, wer die Zwei-Faktor-Authentifizierung benutzen soll). 



Individuelle Einstellungen


Damit möglichst wenige Kosten für die Schule anfallen für die Zwei-Faktor-Authentifizierung (der Versand der SMS ist nicht kostenlos), kann jeder User vom sms- auf den Whatsapp-Versand umstellen. Hier kann auch gewählt werden, ob der Versand des Codes an die private oder geschäftliche Handy-Nummer verschickt wird (falls eine geschäftliche Nummer hinterlegt ist). 

Administratoren haben die Möglichkeit, bei Usern kurzfristig die Zwei-Faktor-Authentifizierung auszuschalten, z.B. für den Fall, dass eine Lehrperson das Handy nicht dabei hat und sich mit der Zwei-Faktor-Authentifizierung einloggen muss. 

Diese Einstellungen findet man im eigenen Profil (auf den eigenen Namen klicken, dann "Profil", dann "Login & Einstellungen" wählen) oder in der Personenverwaltung (Verwaltung > Personen). 





Mit welchen Kosten muss für die Zwei-Faktor-Authentifizierung gerechnet werden? 


Die Grundgebühr für die Zwei-Faktor-Authentifizierung kostet pro Jahr CHF 190.- (inkl. MwSt). Die sms kosten 8 Rappen, Whatsapp-Nachrichten sind kostenlos. 


Ein Beispiel für die Kosten, die durch die Zwei-Faktor-Authentifizierung verursacht werden: 

- eine Schule mit 100 Lehrpersonen
- 50 Lehrpersonen stellen um auf den Whatsapp-Versand

- jede Lehrperson loggt sich auf vier verschiedenen Geräten ein (z.B. Schulcomputer, Laptop zu Hause, Handy und Tablet)


geschätzte Kosten pro Jahr:

CHF 190.- Grundgebühr 

CHF 96.- für sms: 50 User x 4 Geräte x 6 Logins (alle 2 Monate) x 0.08 (Kosten pro sms)

Total: CHF 286.- 



Was passiert, wenn keine Handy-Nummer eingetragen ist im Profil?


Falls die Zwei-Faktor-Authentifizierung für eine Person aktiviert ist, aber keine Handy-Nummer hinterlegt ist im Profil, wird nur der normale Login ausgeführt.