Authentifizierung

Die Authentifizierung legt fest, wer Sie sind, bevor die Plattform entscheidet, was Sie tun dürfen. Mirox vereint einen sicheren Login, optionalen Zwei-Faktor-Schutz, vollständige Sichtbarkeit Ihrer Sitzungen sowie Maschine-zu-Maschine-API-Tokens, sodass nur Sie — und die Integrationen, die Sie ausdrücklich autorisieren — Ihre Daten erreichen können.

So melden Sie sich an

Sie melden sich mit Ihrem Benutzernamen oder Ihrer E-Mail-Adresse plus Ihrem Passwort an. Eine erfolgreiche Anmeldung startet eine Sitzung, die Sie über die gesamte Web-App hinweg angemeldet hält, ohne dass Sie bei jeder Anfrage erneut Ihre Anmeldedaten eingeben müssen.

  • Registrierung nur auf Einladung — In der Produktivumgebung werden neue Konten über eine Einladung erstellt. Wenn Sie keine Einladung haben, können Sie eine Zugriffsanfrage stellen, und die Betreiber der Organisation werden benachrichtigt, um Sie einzuladen.
  • E-Mail-Verifizierung — Neue Konten bestätigen ihre Adresse über einen Verifizierungslink, bevor sie aktiv werden. Aus einer Einladung erstellte Konten sind bereits vorab freigegeben.
  • Passwort zurücksetzen — Sie können jederzeit einen Link zum Zurücksetzen anfordern. Das Abschließen des Zurücksetzens meldet jede aktive Sitzung ab und benachrichtigt Sie per E-Mail.
  • Anmeldewarnungen — Sie erhalten eine E-Mail, wenn eine Anmeldung von einem neuen Gerät oder einem neuen Standort erfolgt sowie wenn ein Anmeldeversuch fehlschlägt.

Information

Mirox teilt einem Außenstehenden niemals mit, ob zu einer E-Mail-Adresse ein Konto existiert. Antworten auf das Zurücksetzen des Passworts und auf Zugriffsanfragen sehen identisch aus, unabhängig davon, ob die Adresse existiert oder nicht — so gibt die Anmeldeoberfläche keinerlei Konto-Informationen preis.

Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) fügt zusätzlich zu Ihrem Passwort einen zweiten Identitätsnachweis hinzu, indem ein zeitbasiertes Einmalpasswort (TOTP) aus einer Authenticator-App verwendet wird.

  • Einrichtung — Beginnen Sie die Einrichtung, um einen QR-Code und ein Geheimnis zu erhalten, das Sie in Ihre Authenticator-App scannen. 2FA wird erst aktiv, nachdem Sie einen ersten Code bestätigt haben, sodass eine falsch konfigurierte App Sie niemals aussperren kann.
  • Erzwingung beim Login — Wenn 2FA aktiv ist, werden Sie bei der Anmeldung nach einem aktuellen 6-stelligen Code gefragt, bevor die Sitzung gewährt wird. Das Zeitfenster für den Code toleriert die angrenzenden Intervalle, sodass ein Code, der während der Eingabe umspringt, weiterhin funktioniert.
  • Deaktivieren / Prüfen — Sie können 2FA mit einem gültigen Code deaktivieren oder über Ihr Profil eine Verifizierung ohne Änderung ("Code prüfen") ausführen, um zu bestätigen, dass Ihre App synchron ist.

Backup-Code

Wenn Sie 2FA aktivieren, erhalten Sie einen einzigen 8-stelligen Backup-Code. Verwenden Sie ihn, wenn Sie den Zugriff auf Ihre Authenticator-App verlieren.

  • Der Backup-Code ist einmalig verwendbar. Sobald Sie ihn verwenden, wird automatisch ein neuer Backup-Code ausgestellt — notieren Sie sich den neuen.
  • Sie können den Backup-Code jederzeit (mit einem gültigen 2FA-Code) neu generieren, wodurch der vorherige ungültig wird.
  • Wenn Sie sich mit dem Backup-Code über den eigens dafür vorgesehenen Wiederherstellungsablauf anmelden, wird 2FA außerdem deaktiviert, damit Sie es sauber neu einrichten können.

Warnung

Sie besitzen immer nur einen Backup-Code zu einem Zeitpunkt — dies ist keine druckbare Liste mit zehn Codes. Bewahren Sie den aktuellen Code an einem sicheren Ort auf und aktualisieren Sie Ihre Notiz, sobald ein neuer ausgestellt wird.

Sitzungsverwaltung

Jedes Gerät, von dem aus Sie sich anmelden, erstellt eine Sitzung, und Sie behalten die Kontrolle über alle.

  • Ihre Sitzungen ansehen — Sehen Sie jede aktive Sitzung mit ihrem Standort (Stadt / Land), Browser, Betriebssystem und welche Ihre aktuelle Sitzung ist.
  • Aus der Ferne abmelden — Widerrufen Sie jede andere Sitzung einzeln oder widerrufen Sie alle anderen Sitzungen auf einmal, während Sie Ihre aktuelle beibehalten. Widerrufene Sitzungen funktionieren sofort nicht mehr.
  • Self-Service-Identität — Ändern Sie Ihr Passwort, Ihren Benutzernamen oder Ihre E-Mail-Adresse über Ihr Profil. Das Ändern Ihres Passworts meldet Ihre anderen Sitzungen ab; das Ändern Ihrer E-Mail-Adresse hält die alte Adresse aktiv, bis die neue verifiziert ist.

API-Tokens

Für Integrationen und Skripte, die ohne Browser mit Mirox kommunizieren, erstellen Sie API-Tokens — langlebige Anmeldedaten, die auf eine Berechtigungsgruppe statt auf Ihr vollständiges Konto gescopt sind.

  • Gescopter Zugriff — Jedes Token ist an eine Berechtigungsgruppe gebunden, sodass es nur das tun kann, was diese Gruppe erlaubt, niemals mehr als Ihr eigener Zugriff.
  • Rotation — Rotieren Sie ein Token, um ein neues Geheimnis auszustellen und das alte sofort außer Betrieb zu nehmen, ohne die Integration löschen und neu erstellen zu müssen.
  • Sichtbarkeit — Listen Sie Ihre Tokens auf, um deren Berechtigungsgruppe, Erstellungs- und Ablaufdaten sowie deren letzten Verwendungsort zu sehen.

Das Erstellen oder Rotieren eines Tokens erfordert eine interaktive (angemeldete) Sitzung — ein Token kann niemals verwendet werden, um ein anderes Token zu erzeugen oder zu rotieren. Siehe API-Tokens für die verfügbaren Berechtigungsgruppen, Limits und Nutzungsdetails.

Ratenbegrenzung

Um die Plattform stabil zu halten und Konten vor Brute-Force-Versuchen zu schützen, sind Anmelde- und andere sensible Endpunkte (Login, Registrierung, Zugriffsanfragen, Passwort-Zurücksetzung und Sitzungsverifizierung) pro Benutzer und pro öffentlicher IP-Adresse ratenbegrenzt.

Warnung

Wenn Sie das Limit überschreiten, gibt die Anfrage eine HTTP 429 (Too Many Requests)-Antwort zurück und die Quelle wird vorübergehend zurückgestellt. Bauen Sie in jede automatisierte Integration einen exponentiellen Backoff ein, damit eine Flut von Anfragen keine Sperre auslöst.

Administrativer Zugriff

In seltenen Support-Situationen kann ein Mirox-Plattformadministrator vorübergehend auf Ihr Konto zugreifen, um ein Problem in Ihrem Namen zu untersuchen.

  • Dies erfordert einen protokollierten Grund und wird in einem eigenen Audit-Trail festgehalten.
  • Auf diese Weise kann nur auf Standard-Benutzerkonten zugegriffen werden — Administratoren können dies nicht untereinander tun.
  • Der Zugriff ist kurzlebig und endet automatisch; solange er aktiv ist, macht ein Banner den Zugriff sichtbar.

Zusammenspiel mit dem Berechtigungssystem

Die Authentifizierung beantwortet die Frage, wer Sie sind; das Berechtigungssystem beantwortet, was Sie erreichen können. Beide arbeiten bei jeder Anfrage zusammen:

  1. Die Authentifizierung ermittelt Ihre Identität aus Ihrer Sitzung oder Ihrem API-Token.
  2. Das Berechtigungssystem wertet aus, was diese Identität tun darf.
  3. Jede Operation wird vor ihrer Ausführung gegen Ihre Berechtigungen geprüft.

Diese Trennung hält die Zugriffskontrolle flexibel, ohne die Garantie zu schwächen, dass Sie immer nur Ihre eigenen Ressourcen sehen.

Verwandte Funktionen

  • Berechtigungssystem — wie Rollen und Ressourcenzugriff ausgewertet werden, sobald Sie angemeldet sind
  • API-Tokens — gescopte, rotierbare Anmeldedaten für den Maschine-zu-Maschine-Zugriff
  • Audit-Log — die unveränderliche Aufzeichnung des Zugriffs auf Ihre Anlagen und Geräte
  • Einladungen — wie neue Benutzer und Organisationen onboarded werden
MIT Licensed | Copyright 2026 Mirox Verwaltungs GmbH