Zum Hauptinhalt springen

Backup-Codes

Konzepte

Backup-Codes, auch bekannt als Wiederherstellungscode, sind Einmal-Codes für die Multi-Faktor-Authentifizierung (MFA) und dienen als Backup, falls die primären Authentifizierungsfaktoren des Benutzers (z. B. Authenticator-App oder Hardware-Token) nicht verfügbar sind.

Der Verlust dieser Codes kann zu Herausforderungen bei der Kontowiederherstellung führen. Daher wird empfohlen, vor der Aktivierung von Backup-Codes einen zusätzlichen primären Faktor einzurichten und diesem Priorität zu geben.

Logto generiert automatisch 10 Backup-Codes für Benutzer, sobald sie einen zusätzlichen Faktor konfigurieren. Jeder Code ist nur einmal verwendbar. Es wird empfohlen, im Bereich "Benutzerkontoeinstellungen" (zugänglich über die Management API) einen neuen Satz von Codes zu generieren, bevor alle vorhandenen Codes aufgebraucht sind.

Backup-Codes für MFA konfigurieren

  1. Navigiere zu Konsole > Multi-Faktor-Authentifizierung
  2. Aktiviere den Faktor "Backup-Codes". Backup-Codes können nicht als einziger MFA-Faktor verwendet werden. Es ist erforderlich, Backup-Codes in Kombination mit anderen primären MFA-Faktoren (Passkeys, Authenticator-App, SMS, E-Mail) zu verwenden.
  3. Konfiguriere deine bevorzugte MFA-Richtlinie (erforderlich vs. optional)
  4. Speichere deine Konfigurationsänderungen

Verwaltung von Backup-Codes konfigurieren

Du kannst die Account API verwenden, um benutzerdefinierte Kontoverwaltungsoberflächen zu erstellen, in denen Benutzer ihre Backup-Codes anzeigen, regenerieren und entfernen können. Dadurch können Benutzer ihre Wiederherstellungsoptionen direkt in den Kontoeinstellungen deiner Anwendung verwalten.

Für detaillierte Implementierungsschritte und API-Endpunkte siehe Kontoeinstellungen über Account API.

Backup-Codes Einrichtungsablauf

Da Backup-Codes ein sekundärer MFA-Faktor sind, können sie erst eingerichtet werden, nachdem ein primärer MFA-Faktor erfolgreich konfiguriert wurde. Eine Gruppe von 10 automatisch generierten Backup-Codes wird dem Benutzer angezeigt, die er sicher herunterladen und kopieren kann. Der Benutzer muss die Backup-Codes manuell bestätigen, um den MFA-Einrichtungsprozess abzuschließen.

Backup codes set up flow

Backup-Codes Verifizierungsablauf

Backup-Codes dienen als Notfall-Authentifizierung, wenn primäre MFA-Faktoren nicht verfügbar sind. Jeder Code kann nur einmal verwendet werden und wird nach erfolgreicher Verifizierung ungültig.

Verifizierungspriorität:

  • Zuerst primäre Faktoren: Wenn Benutzer andere MFA-Faktoren konfiguriert haben, werden primäre Faktoren (Passkeys, TOTP, SMS, E-Mail) zuerst abgefragt.
  • Zugriff auf Backup-Codes: Benutzer können auf Backup-Codes umschalten, indem sie auf "Andere Methode zur Verifizierung versuchen" klicken, falls primäre Faktoren nicht verfügbar sind.
  • Fallback-Szenario: Wenn alle primären Faktoren gelöscht wurden, werden Backup-Codes zur einzigen Verifizierungsoption. Nach erfolgreicher MFA-Verifizierung über Backup-Codes während der Anmeldung fordert Logto Benutzer automatisch auf, einen neuen primären Faktor einzurichten.
Backup codes verification flow