Keine 2FA im Schulhaus

  • Hallo zusammen!

    Da schule-intern hochsensible persönliche Daten zu Grunde liegen (Voll-Export aus der ASV) ist es m.E. nach unerlässlich, den Login von Lehrern (die Einblick in viele dieser Daten haben) mittels 2. Faktor zu schützen.

    Mein Wunsch wäre, innerhalb des Schulnetzes (das ich für ausreichend gesichert gegen Zugriff von außen halte) auf den 2. Faktor aber zu verzichten.

    Da unser Internetzugang per Glasfaser über zwei statische IP-Adressen (round Robin) läuft, bräuchte es imho nur eine Abfrage innerhalb schule-intern, ob die Login-Anfrage von einer dieser beiden Adressen kommt.

    Falls ja, direkt weiter, falls nein -> 2. Faktor verlangen. (In der Admin-Ansicht natürlich Felder, in denen man "sichere" IP-Adressen hinterlegen kann.)

    Das würde mir und meinen Kollegen sparen, an gemeinsam genutzten Geräten ständig das Handy zücken zu müssen um den 2. Faktor abzugleichen.

    Wie seht Ihr das?

    Und vor allem: ist das so umsetzbar wie ich es mir vorstelle oder hab ich was übersehen?

    Danke schonmal für Euer Feedback!

    Liebe Grüße und ein gutes Neues ;)

    Sebastian

    Wo kämen wir da hin, wenn alle sagten "Wo kämen wir da hin" und keiner ginge, um zu sehen, wohin wir kämen, wenn wir gingen?

  • Hallo Sebastian,

    ich bin eher gegen eine 2FA grundsätzlich. Meine Erfahrung damit ist so negativ, dass ich das einfach überhaupt nicht mitgehen kann.
    Bin zwar technisch nicht so fit, aber kann mir nicht vorstellen, dass man einfach unterscheiden kann ob "im Schulhaus" oder "von außen" zugegriffen wird. Oder vom iPad als Dienstgerät über WLAN?
    Ich finds schon sehr gut, dass der automatische Logout jetzt dabei ist.

    Nachtrag: Wenn dann wäre evtl. eher zu überlegen, ob man internRSK in einer APP abbilden kann...

    Viele Grüße

  • Ich denke, 2FA sollten wir für administrative Zugänge in jedem Fall verlangen.

    Durch die modulbezogene Delegierbarkeit (das ist ein fantastisches Feature!) ist es aber schwierig, administrative von "normalen" Lehrerzugängen scharf zu trennen.

    Im Hinblick auf Akzeptanz befürchte ich Rückschritte, wenn 2FA in jedem Fall für Lehreraccounts verlangt würden. In der Sache gehe ich voll mit. fis

    Euch allen einen wunderbaren Start ins Neue (=> "Schulsylvester"? :S )

    Viele Grüße

    Martin

    • Offizieller Beitrag

    Hallo zusammen,

    Bildschirmfoto 2023-09-21 um 03.32.26.png

    Konnte eine IP Allowlist einfügen.

    Alle Anfragen mit einer IP von der Liste benötigen kein 2FA.

    Sollten wir aber vor den Veröffentlichen noch weiter testen. (Habe hier leider keine feste IP)

    lg chris

  • Das wär der Hammer - das würde uns das Leben wirklich deutlich erleichtern ohne ein größeres Sicherheitsrisiko darzustellen 🤘

    Vielen Dank schonmal dafür, stell mich gern als Betatester dafür zur Verfügung!

    Wo kämen wir da hin, wenn alle sagten "Wo kämen wir da hin" und keiner ginge, um zu sehen, wohin wir kämen, wenn wir gingen?

  • @Pierre: von einer 2FA-Pflicht war hier nie die Rede, keine Sorge! So war das auch gar nicht gemeint, muss jeder selbst wissen ob er Lehrer (und natürlich den Admin-Account) zusätzlich absichern möchte :)

    Wo kämen wir da hin, wenn alle sagten "Wo kämen wir da hin" und keiner ginge, um zu sehen, wohin wir kämen, wenn wir gingen?

  • Vielen, vielen Dank an Chrisland, der meinen Wunsch so schnell erfüllen konnte!

    Das ist m.E. wirklich ein guter Kompromiss zwischen Sicherheit und Anwenderfreundlichkeit :)

    *virtuellen Kaffee rüberschieb*

    Wo kämen wir da hin, wenn alle sagten "Wo kämen wir da hin" und keiner ginge, um zu sehen, wohin wir kämen, wenn wir gingen?