Die Zwei-Faktor-Authentifizierung ist eine der wirksamsten Maßnahmen, um Konten vor unbefugtem Zugriff zu schützen. Standardmäßig ist 2FA bei seven optional, das heißt jeder Nutzer entscheidet selbst, ob er sie für sein Konto aktiviert. Als Eigentümer oder Administrator können Sie 2FA jedoch für alle Mitglieder Ihres Accounts verpflichtend machen und so sicherstellen, dass niemand mehr mit einem alleinstehenden Passwort auf Ihren Account zugreifen kann.
Warum 2FA erzwingen?
Ein gestohlenes oder erratenes Passwort reicht allein nicht aus, um in einen 2FA-geschützten Account zu gelangen. Selbst wenn Zugangsdaten durch Phishing, Datenlecks bei Drittanbietern oder unsichere Passwörter in fremde Hände fallen, bleibt der Account geschützt, solange der Angreifer nicht auch das zweite Gerät des Nutzers besitzt.
Typische Szenarien, in denen die erzwungene 2FA besonders sinnvoll ist:
- Teams mit mehreren Mitgliedern, bei denen nicht einzeln nachgehalten werden kann, wer 2FA aktiviert hat
- Accounts mit sensiblen Daten, etwa umfangreichen Kontaktlisten, Logbuch-Einträgen oder API-Zugängen
- Unternehmen mit Compliance-Anforderungen, bei denen Mehrfaktor-Authentifizierung durch interne Richtlinien, ISO 27001, DSGVO-Schutzmaßnahmen oder vergleichbare Vorgaben gefordert ist
- Accounts mit Administratoren und Entwicklern, die Zugriff auf API Keys oder abrechnungsrelevante Funktionen haben
- Nach einem Sicherheitsvorfall, um sicherzustellen, dass wiederhergestellte Zugänge zuverlässig geschützt sind
Kurz gesagt: Wer 2FA nur als Empfehlung behandelt, verlässt sich darauf, dass jeder einzelne Nutzer sie auch tatsächlich einrichtet. Die Erzwingung nimmt diese Unsicherheit aus der Gleichung.
Einstellung finden
Gehen Sie in Ihrem Konto zu Einstellungen → Sicherheit und scrollen Sie zum Abschnitt „Zweifaktor Authentifizierung erzwingen".
2FA-Pflicht aktivieren
Aktivieren Sie den Schalter „Aktivieren Sie diese Option, um 2FA für alle Account-Mitglieder zu erzwingen". Anschließend können Sie unter „Erzwinge 2FA nach:" eine Frist auswählen, ab wann die Pflicht greift:
- Sofort
- 1 Tag
- 2 Tage
- 3 Tage
- 7 Tage
- 14 Tage
Die Frist gibt allen Mitgliedern Zeit, 2FA in Ruhe einzurichten, eine Authenticator-App zu installieren und die Backup-Codes sicher abzulegen. Nach Ablauf der Frist ist ein Login ohne aktivierte 2FA nicht mehr möglich.
Welche Frist ist sinnvoll?
- Sofort eignet sich, wenn alle Mitglieder bereits 2FA nutzen und Sie die Pflicht nur formal festschreiben möchten, oder als unmittelbare Reaktion auf einen Sicherheitsvorfall.
- 1 bis 3 Tage sind ein guter Kompromiss für kleinere Teams, die kurzfristig auf 2FA umstellen wollen.
- 7 oder 14 Tage bieten sich für größere Teams an, in denen auch weniger aktive Mitglieder oder Urlaubsabwesenheiten berücksichtigt werden müssen.
Unabhängig von der Frist empfehlen wir, das Team vor der Aktivierung kurz zu informieren, damit niemand von der Anforderung überrascht wird.
Was passiert nach Ablauf der Frist?
Sobald die gewählte Frist verstrichen ist, greift die Pflicht:
- Mitglieder mit aktivierter 2FA melden sich wie gewohnt an.
- Mitglieder ohne aktivierte 2FA können sich zwar noch mit Nutzername und Passwort anmelden, werden aber direkt aufgefordert, 2FA einzurichten, bevor sie den Account weiter nutzen können. Ein regulärer Login ohne eingerichtete 2FA ist nicht mehr möglich.
Benachrichtigung der Mitglieder
Alle Mitglieder, die zum Zeitpunkt der Aktivierung noch keine 2FA eingerichtet haben, erhalten automatisch eine E-Mail-Benachrichtigung mit dem Hinweis, 2FA rechtzeitig vor Ablauf der Frist zu aktivieren. So muss kein Administrator die Information manuell kommunizieren.
Eine Schritt-für-Schritt-Anleitung zur Einrichtung finden Sie im Artikel Zwei-Faktor-Authentifizierung (2FA).
Pflicht wieder deaktivieren
Sie können die 2FA-Pflicht jederzeit wieder ausschalten, indem Sie den Schalter auf derselben Seite deaktivieren. Bereits eingerichtete 2FA-Konfigurationen der einzelnen Mitglieder bleiben davon unberührt und müssen bei Bedarf individuell im jeweiligen Profil deaktiviert werden.