Übersicht über Sicherheitsmaßnahmen bei Varify
Inhaltsverzeichnis
Kurz & Knapp
Varify.io bietet eine Reihe von Sicherheitsfunktionen, die direkt im Varify Account konfigurierbar sind. Dieser Artikel gibt einen Überblick über alle verfügbaren Features zum Schutz deines Accounts und deiner Experimente.
Multi-Faktor-Authentifizierung (MFA)
Schütze deinen Login mit einem zweiten Faktor. Neben dem Passwort wird bei jeder Anmeldung ein zeitbasierter Code aus einer Authenticator App abgefragt — zum Beispiel Microsoft Authenticator, Google Authenticator oder 1Password. Die Aktivierung erfolgt unter „Your Settings” → „Security”: QR-Code scannen, generierten Code eingeben und mit „Verify & Enable” bestätigen.
Als Account Owner kannst du MFA darüber hinaus für alle Nutzer im Account verpflichtend machen. Damit ist sichergestellt, dass kein Team-Mitglied ohne zweiten Faktor auf das Dashboard zugreifen kann — unabhängig davon, ob einzelne Nutzer MFA selbst aktiviert haben.
Zur Dokumentation: MFA · Enforce MFA
Session Hijacking-Schutz durch Re-Authentifizierung
Selbst wenn eine aktive Session kompromittiert wird — zum Beispiel durch Cookie-Hijacking — verhindert die Re-Authentifizierung, dass ein Angreifer kritische Änderungen vornehmen kann.
Dieses Feature lässt sich auf drei Ebenen konfigurieren:
Geschützte Aktionen — Du bestimmst selbst, für welche Aktionen eine erneute Bestätigung erforderlich ist, zum Beispiel: Experimente starten und pausieren, Änderungen an Varianten, Archivierung von Experimenten, Änderungen am Page Targeting oder Änderungen am Audience Targeting.
Zeitfenster — Du legst fest, wie lange eine einmalige Bestätigung gültig bleibt: von einer Abfrage bei jeder einzelnen Aktion bis hin zu frei wählbaren Intervallen wie 30 Minuten oder mehrere Stunden.
Authentifizierungsmethode — Du entscheidest, ob für die Bestätigung das Passwort, ein zweiter Faktor (MFA) oder beides zusammen erforderlich ist.
Zur Dokumentation: Session Hijacking Protection
Cloudflare Captcha Login-Schutz
Der Login-Bereich von Varify ist durch Cloudflare Turnstile geschützt. Bei jedem Login-Versuch wird im Hintergrund eine automatische Prüfung durchgeführt, die Bots und automatisierte Angriffe (wie Brute-Force- oder Credential-Stuffing-Attacken) blockiert — ohne dass echte Nutzer ein klassisches Captcha lösen müssen.
Aktive Sessions
Die Übersicht „Active Sessions” zeigt alle derzeit aktiven Sessions deines Accounts an — inklusive Gerät, Browser und Standort. So kannst du jederzeit prüfen, ob unbekannte oder unautorisierte Sessions aktiv sind, und verdächtige Sessions sofort beenden.
Zur Dokumentation: Active Sessions
Login History
Die Login History gibt dir eine vollständige Übersicht über alle Anmeldungen an deinem Account: wann sich welcher Nutzer eingeloggt hat, von welchem Gerät und Standort aus, und ob es Anomalien oder unautorisierte Zugriffsversuche gab. Dieses Feature sorgt für Transparenz und ermöglicht die schnelle Erkennung ungewöhnlicher Aktivitäten.
Zur Dokumentation: Login History
Activity Log
Der Activity Log protokolliert sämtliche Änderungen innerhalb deines Accounts — ein lückenloser Audit Trail. Damit lässt sich jederzeit nachvollziehen, wer wann welche Änderung vorgenommen hat.
Folgende Aktivitäten werden getracked: Experimente (erstellen, bearbeiten, löschen), Änderungen an Varianten, Audience Targeting, Browser Targeting, Device Targeting, Geolocation Targeting, IP Targeting, JavaScript Targeting, CSS Selector Page Targeting, Local Storage Targeting, Session Storage Targeting, URL Match Page Targeting, URL Query Parameter Targeting, Page Targeting, Targeting Segments, Team-Verwaltung und Einladungen.
Zur Dokumentation: Activity Log
Rollen & Berechtigungen
Varify verwendet ein rollenbasiertes Zugriffsmodell, das den Zugang zu Funktionen und Daten gezielt einschränkt. Welche Rollen und ob ein Permission Management zur Verfügung stehen, hängt vom gewählten Varify Plan ab.
Account Owner — Jeder Account hat genau einen Owner. Dieser hat vollen Zugriff auf alle Funktionen, inklusive Subscription, Zahlungsmethoden, Team-Verwaltung, API-Keys und Security-Einstellungen (MFA erzwingen, Re-Authentifizierung konfigurieren). Nur der Owner kann die Subscription ändern oder abschließen. Der Owner hat immer Admin-Rechte und kann durch eine Anfrage an den Varify Support geändert werden.
System-Rollen — Ab dem Pro Plan stehen drei Standard-Rollen zur Verfügung: Admin, Publisher und Editor. Mit ihnen lässt sich granular steuern, wer Experimente starten, Teammitglieder verwalten oder Einstellungen ändern darf. Im Growth Plan sind ausschließlich Account Owner und Publisher verfügbar.
Permission Management (Enterprise) — Im Enterprise Plan können über das Permission Management zusätzlich eigene Rollen mit individuellen Berechtigungen erstellt werden.
Agency Account — Im Agency-Modell gibt es eine zusätzliche Berechtigungsebene. Team-Mitglieder auf Agency-Ebene haben Zugriff auf alle Domains und Kunden im Agency Account. Team-Mitglieder auf Client-Ebene sehen ausschließlich das Dashboard ihres zugewiesenen Kunden — kein Einblick in andere Clients der Agentur.
Team-Mitglieder werden per E-Mail-Einladung hinzugefügt und können jederzeit entfernt werden. Beim Austritt eines Mitarbeiters wird der Zugang sofort gesperrt.
Zur Dokumentation: Rollen & Permission Management
Zur Dokumentation: Agency Account
API-Key-Verwaltung
Für die Nutzung der Experiment API können API-Keys unter Team Settings erstellt werden. Die Erstellung ist dem Account Owner vorbehalten. Nach der Erstellung wird ein Client Key und ein Secret Key angezeigt. Das Client Secret ist nur kurz nach der Erstellung sichtbar und kann danach nicht mehr eingesehen werden — vergleichbar mit einem einmalig angezeigten Token.
