E-Mail-Verifizierung für Multi-Faktor-Authentifizierung (MFA)
Logto unterstützt E-Mail-basierte Multi-Faktor-Authentifizierung (MFA), die die Kontosicherheit erhöht, indem einmalige Verifizierungscodes an die registrierten E-Mail-Adressen der Benutzer gesendet werden. E-Mail-MFA dient als zweiter Authentifizierungsfaktor und kann mit anderen MFA-Faktoren (wie TOTP, Passkeys, Backup-Codes) kombiniert werden, um den Benutzern flexible Zwei-Faktor-Authentifizierungsoptionen zu bieten.
Konzepte
Die E-Mail-Verifizierung ist eine der universell zugänglichsten MFA-Methoden. Sie nutzt die weit verbreitete Verfügbarkeit von E-Mail-Konten, um temporäre, einmalige Verifizierungscodes direkt an die E-Mail-Postfächer der Benutzer zu senden. Im Gegensatz zu App-basierten Authenticatoren, die eine zusätzliche Softwareinstallation erfordern, verwendet E-Mail-MFA die bestehende E-Mail-Infrastruktur, die praktisch allen Internetnutzern über Webbrowser, E-Mail-Clients oder mobile Apps zugänglich ist. Dadurch ist sie für Benutzer sofort verfügbar, ohne dass spezielle Hardware oder zusätzliche Einrichtung über ein E-Mail-Konto hinaus erforderlich ist.
E-Mail-Verifizierung für MFA konfigurieren
Schritt 1: E-Mail-Connector und Vorlagen konfigurieren
-
Navigiere zu Konsole > Connectors > E-Mail- und SMS-Connectors
-
Wähle einen geeigneten E-Mail-Connector (SendGrid, Mailgun, etc.)
-
Konfiguriere die Verbindungsparameter.
-
Richte die E-Mail-Vorlage für MFA mit den dedizierten Verwendungstypen ein:
MfaVerification
usageType für die Verifizierung von MFA.BindMFA
usageType für das Binden von MFA.- Tipp: Logto E-Mail-Service bietet integrierte E-Mail-Vorlagen.
-
Siehe E-Mail-Connectors für anbieter-spezifische Einrichtungsanleitungen
Schritt 2: E-Mail für MFA aktivieren
- Navigiere zu Konsole > Multi-Faktor-Authentifizierung
- Aktiviere den Faktor "E-Mail-Verifizierungscode". Es wird empfohlen, E-Mail-MFA in Kombination mit anderen MFA-Faktoren (TOTP, Passkeys, SMS, Backup-Codes) zu verwenden, um die Abhängigkeit von einem einzelnen Faktor zu reduzieren.
- Konfiguriere deine bevorzugte MFA-Richtlinie (erforderlich vs. optional)
- Speichere deine Konfigurationsänderungen
-
Einschränkung der Anmeldemethode: E-Mail-Verifizierungscodes können nicht gleichzeitig als Anmeldemethode (1FA) und als MFA-Faktor (2FA) verwendet werden. Wähle einen Authentifizierungsablauf pro E-Mail-Implementierung.
-
Kompatibilität der Registrierungs-Methode: E-Mail-Verifizierungscodes können gleichzeitig sowohl für die Registrierungs-Methode als auch für MFA verwendet werden. Logto optimiert den Registrierungsablauf für Endbenutzer basierend auf deiner ausgewählten MFA-Richtlinie, um zu vermeiden, dass für dieselbe E-Mail-Adresse zweimal eine E-Mail-Verifizierung erforderlich ist.
-
Kompatibilität mit Passwort-Wiederherstellung: Während E-Mail-Verifizierungscodes gleichzeitig sowohl für Passwort vergessen als auch für MFA verwendet werden können, wird diese Kombination nicht empfohlen. Diese Konfiguration verringert die Sicherheit der MFA, da Benutzer MFA potenziell umgehen könnten, indem sie die Passwort-vergessen-E-Mail-Verifizierung nutzen, um ihr Passwort zurückzusetzen, dann das neue Passwort für die primäre Authentifizierung (1FA) verwenden und anschließend dieselbe E-Mail-Methode für die MFA-Verifizierung nutzen.
E-Mail-MFA-Einrichtungsabläufe
Die MFA-Einrichtungsaufforderung kann während der Benutzerregistrierung oder nach der Anmeldung erscheinen, abhängig von deiner konfigurierten MFA-Richtlinie. Benutzer können E-Mail-MFA auch über ihre Kontoeinstellungen aktivieren.
Der E-Mail-MFA-Einrichtungsablauf wird durch folgende Faktoren beeinflusst:
- Anzahl der primären MFA-Faktoren: Gibt es mehrere primäre Faktoren, muss der Benutzer einen zur Konfiguration auswählen. Primäre Faktoren sind MFA-Methoden außer Backup-Codes.
- Backup-Codes aktiviert: Wenn aktiviert, werden Backup-Codes automatisch nach der Konfiguration des primären MFA-Faktors generiert; der Benutzer wird aufgefordert, sie zu speichern.
- Konfiguration des Registrierungs-Identifiers: Wurde die E-Mail-Adresse als Registrierungs-Identifier verwendet und der Benutzer hat sie während der Registrierung bereits mit einem E-Mail-Verifizierungscode bestätigt, bindet das System diese E-Mail automatisch als MFA-Faktor und es ist keine weitere Verifizierung erforderlich. Gibt es weitere primäre Faktoren, zeigt die UI eine Option "Weitere 2-Schritt-Verifizierung hinzufügen" an (der Benutzer kann dies überspringen), was auch klar signalisiert, dass MFA aktiviert ist.
- Vorhandene Benutzerdaten: Wenn ein bestehender Benutzer MFA nach der Anmeldung einrichtet, muss er zunächst die primäre Authentifizierung abschließen und dann mit der MFA-Einrichtung fortfahren. Enthält das Konto bereits eine bestätigte primäre E-Mail-Adresse, verhält sich die Einrichtung wie im Fall des Registrierungs-Identifiers oben.
Nachfolgend findest du drei typische Szenarien zur E-Mail-MFA-Bindung.
Szenario 1: E-Mail-Adresse nur für MFA verwendet (Typischer Ablauf)
Wenn die E-Mail-Adresse nicht einer der Registrierungs-Identifier ist und nur für MFA verwendet wird, folge der Standard-Einrichtungssequenz:
- Gibt es nur einen E-Mail-MFA-Faktor, wird die Einrichtungs-UI für diesen Faktor direkt angezeigt.
- Gibt es mehrere primäre MFA-Faktoren, wird eine "MFA einrichten"-Übersicht angezeigt und der Benutzer kann wählen, welchen Faktor er konfigurieren möchte.
Beispiele:
Registrierung: Telefonnummer + SMS-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Backup-Codes
Telefonnummer + SMS-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Backup-Codes

Registrierung: Telefonnummer + SMS-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Passkeys + Authenticator-App-OTP + Backup-Codes
Telefonnummer + SMS-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Passkeys + Authenticator-App-OTP + Backup-Codes

Szenario 2: E-Mail als Registrierungs-Identifier verifiziert
Ist die E-Mail-Adresse der Registrierungs-Identifier und wurde sie vom Benutzer während der Registrierung bereits mit einem E-Mail-Code verifiziert, bindet das System diese E-Mail automatisch als MFA-Faktor — keine zusätzliche Verifizierung erforderlich.
Beispiele:
Registrierung: E-Mail-Adresse + E-Mail-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Backup-Codes
E-Mail-Adresse + E-Mail-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Backup-Codes

Szenario 3: E-Mail verifiziert, aber mehrere primäre Faktoren verfügbar
Wurde die E-Mail-Adresse bei der Registrierung (als Registrierungs-Identifier) verifiziert, das Konto verfügt jedoch über mehrere primäre MFA-Faktoren (z. B. E-Mail plus Passkeys oder Authenticator-Apps), fordert die UI den Benutzer mit "Weitere 2-Schritt-Verifizierung hinzufügen" auf. Der Benutzer kann einen weiteren Faktor hinzufügen oder überspringen; die Aufforderung signalisiert ebenfalls, dass MFA bereits aktiviert ist.
Beispiele:
Registrierung: E-Mail-Adresse + E-Mail-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Passkeys + Authenticator-App-OTP + Backup-Codes
E-Mail-Adresse + E-Mail-Verifizierungscode + Passwort
| MFA:
E-Mail-Verifizierungscode + Passkeys + Authenticator-App-OTP + Backup-Codes

E-Mail-MFA-Verifizierungsabläufe
Wenn sich ein Benutzer mit aktivierter E-Mail-MFA anmeldet, wird er nach erfolgreicher primärer Authentifizierung (1FA) aufgefordert, seine Identität mit dem E-Mail-Verifizierungscode als zweiten Authentifizierungsfaktor (2FA) zu bestätigen.
Sind mehrere MFA-Faktoren verfügbar, können Benutzer aus ihren konfigurierten Faktoren wählen. Das System bestimmt, welcher MFA-Faktor zuerst abgefragt wird, basierend auf der Prioritätsreihenfolge in MFA konfigurieren.
Beispiele:
Anmeldung: Telefonnummer + Passwort
| MFA: E-Mail-Verifizierungscode (zuletzt verwendet) / Authenticator-App-OTP / Backup-Codes
Telefonnummer + Passwort
| MFA: E-Mail-Verifizierungscode (zuletzt verwendet) / Authenticator-App-OTP / Backup-Codes

Fehlerbehandlung
-
E-Mail-Adresse nicht gebunden
- Fehlercode:
session.mfa.mfa_factor_not_enabled
- Behandlung: Benutzer anleiten, zuerst E-Mail-Adresse zu binden
- Fehlercode:
-
Falscher Verifizierungscode
- Fehlercode:
verification_code.code_mismatch
- Behandlung: Benutzer zur erneuten Eingabe auffordern, Versuche begrenzen
- Fehlercode:
-
Verifizierungscode abgelaufen
- Fehlercode:
verification_code.expired
- Behandlung: Benutzer auffordern, neuen Verifizierungscode anzufordern
- Fehlercode:
-
Sende-Limit überschritten
- Fehlercode:
connector.rate_limit_exceeded
- Behandlung: Wartezeit anzeigen, erneutes Senden begrenzen
- Fehlercode: