Sicher anmelden: Magic Links, 2FA und Passwörter bei kursflow

Passwörter sind lästig. Du vergisst sie, deine Teilnehmer vergessen sie, und am Ende sitzt du als Admin da und resettest zum hundertsten Mal jemandes Zugang. kursflow macht das anders — mit Magic Links statt Passwort-Wirrwarr.

Ob du ein Yoga-Studio, eine Fahrschule oder einen Sprachkurs betreibst: Deine Teilnehmer melden sich mit einer E-Mail an, bekommen einen Link, klicken drauf — fertig. Für dich als Admin gibt es zusätzlich Passwort und 2FA, falls du das brauchst.

Hier ist alles, was du über Anmeldung und Sicherheit bei kursflow wissen musst.

Magic Links: Anmeldung ohne Passwort

Das ist das Standard-Anmeldeverfahren für Endkunden und Trainer. Kein Passwort merken, kein „Passwort vergessen"-Drama.

So funktioniert es:

1. Teilnehmer gibt E-Mail-Adresse ein
2. E-Mail mit Login-Link kommt an (Betreff: „Dein Login-Link für kursflow")
3. Klick auf den Link — sofort angemeldet
4. Der Link ist 10 Minuten gültig und kann nur einmal verwendet werden

Warum Magic Links sicherer sind:

• Es gibt keinen Passwort-Hash in der Datenbank, den Hacker stehlen können
• Der Link ist kurzlebig — selbst wenn jemand ihn abfängt, läuft er in 10 Minuten ab
• Keine „Passwort vergessen"-E-Mails nötig, die selbst zum Sicherheitsrisiko werden können
• Du sparst dir den Support-Aufwand für Passwort-Resets

Die E-Mail kommt nicht an?

Das passiert seltener als du denkst, aber wenn:

• Spam-Ordner prüfen (transaktionale E-Mails landen dort manchmal)
• Warten bis zu 2 Minuten — Zustell-Verzögerungen gibt es
• Überprüfen, ob die richtige E-Mail-Adresse verwendet wurde
• Als Admin: Du kannst einem Trainer manuell einen neuen Link senden über Trainer → Neuen Login-Link senden

Passwort + 2FA für Admins und Owners

Du als Account-Owner oder Admin brauchst mehr Sicherheit — dafür gibt es zusätzlich Passwort und 2-Faktor-Authentifizierung.

Passwort hinzufügen (optional):

Geh zu Einstellungen → Mein Konto → Sicherheit und setz dir ein Passwort. Du kannst dich dann entweder mit Magic Link ODER mit Passwort anmelden — wie es gerade passt.

Passwort vergessen? Nutze den Magic Link als Fallback und setz dir danach ein neues Passwort.

Zwei-Faktor-Authentifizierung (2FA)

2FA bedeutet: Nach dem Passwort oder Magic Link wird noch ein zweiter Code abgefragt. Das macht deinen Admin-Zugang deutlich sicherer — vor allem wenn mehrere Menschen Zugriff auf deine Mailbox haben könnten.

2FA einrichten:

1. Einstellungen → Mein Konto → Sicherheit → 2FA einrichten
2. QR-Code mit einer Authenticator-App scannen (Google Authenticator, Authy, 1Password, etc.)
3. 6-stelligen Code aus der App eingeben zur Bestätigung
4. 8 Recovery-Codes speichern — die brauchst du, falls du keinen Zugriff auf die App hast

Recovery-Codes sind wichtig:

Wenn dein Handy weg ist oder du die App nicht mehr nutzen kannst, rettet dich ein Recovery-Code. Jeder Code funktioniert nur einmal. Speicher diese 8 Codes in deinem Passwort-Manager oder einer sicheren Notiz-App — nicht einfach auf einem Post-it neben den Monitor kleben.

2FA beim Login:

Nach dem Passwort/Magic-Link-Klick fragt dich kursflow nach dem 6-stelligen Code. Du hast 10 Minuten Zeit einzugeben.

2FA wieder ausschalten:

Falls nötig: Einstellungen → Mein Konto → Sicherheit → 2FA deaktivieren. Du musst deinen aktuellen TOTP-Code bestätigen.

2FA für alle Admins verpflichten

Du willst sichergehen, dass alle Admins in deinem Studio/deiner Schule 2FA aktiviert haben? Kein Problem.

Geh zu Einstellungen → Sicherheit → 2FA für alle Admins verpflichten und aktiviere die Funktion. Admins, die noch keine 2FA haben, werden beim nächsten Login dazu aufgefordert. Punkt.

Sessions verwalten: Wer ist angemeldet?

Unter Einstellungen → Mein Konto → Aktive Sessions siehst du alle offenen Login-Sessions.

Das ist praktisch, wenn:

• Du dich auf einem fremden Computer angemeldet hast und dich wieder abmelden willst
• Dein Laptop gestohlen wurde und du alle Sessions kappen willst
• Du sehen möchtest, von wo aus dein Account gerade aktiv ist

Du kannst einzelne Sessions beenden oder mit „Alle anderen Sessions abmelden" alles außer der aktuellen Sitzung killen.

Kleiner Hinweis: Magic-Link-Sessions laufen nach 7 Tagen Inaktivität automatisch ab. Das ist Absicht — erhöht die Sicherheit.

Konto löschen (DSGVO-konform)

Falls ein Teilnehmer dich fragt, ob er sein Konto löschen kann: Ja, kann er. Einstellungen → Mein Konto → Konto löschen.

Das passiert dann:

• Name, Telefon, Notizen werden sofort anonymisiert
• E-Mail-Adresse wird durch eine interne ID ersetzt
• Aktive und offene Buchungen werden storniert
• Alte Rechnungen und abgeschlossene Buchungen bleiben (Steuerrecht), aber ohne Name

Die Löschung passiert sofort und ist nicht rückgängig zu machen.

Häufige Probleme schnell gelöst

| Was ist los? | Lösung | |---|---| | Magic Link abgelaufen | Seite neuladen, E-Mail neu eingeben, neuen Link anfordern | | „E-Mail nicht gefunden" | Die richtige E-Mail-Adresse verwendet? Meldung kommt erst nach 3 Versuchen | | 2FA-Code sagt „ungültig" | Uhr deines Geräts stimmt nicht (TOTP braucht exakte Zeit, max. ±30 Sekunden Toleranz) | | Recovery-Code funktioniert nicht | Jeder Code nur einmal nutzbar. Alle weg? Admin kontaktieren für Reset | | Anmeldung läuft immer wieder neu | Browser-Cache leeren oder Inkognito-Modus probieren |

Was du für Sicherheit tun solltest

• Magic Link nie teilen — der Link ist personalisiert und gibt vollständigen Zugang
• Recovery-Codes in deinen Passwort-Manager legen (KeePass, 1Password, Bitwarden, etc.)
• Falls du merkst, dass dein Account kompromittiert sein könnte: Sofort alle Sessions beenden + 2FA neu aufsetzen
• Für kritische Accounts (Owner, Admin): Mach 2FA verbindlich für dein Unternehmen

Sichere dir deinen Beta-Platz auf kursflow.de — 3 Monate kostenfrei, 0 % Provision. Keine Kreditkarte nötig. Deine Anmeldung ist innerhalb von 2 Minuten erledigt — ganz ohne Passwort-Chaos.