Multi-Faktor-Authentisierung

MFA steht für Multi-Faktor-Authentisierung. Ein Spezialfall ist die 2-Faktor-Authentisierung. Neben dem Benutzernamen und dem Passwort wird zusätzlich ein Wert eines Tokens benötigt, um sich an einem Dienst anzumelden. In der Regel unterliegt der 2-Faktor einem dynamischen Wert (z. B. einer zeitbahängigen, 6-stellige Zahl).

Auf dieser Webseite oben rechts befinden sich die Anleitungen für die App 2FAS unter iOS/iPadOS und Android sowie für KeePassXC für den PC (Windows, Linux und MacOS). Die Anleitungen enthalten am Ende auch ein Beispiel für den VPN-Zugang unter Windows. Die ausführlichen Anleitungen zu VPN finden Sie hier.

Es ist nicht möglich den 2ten Faktor per SMS oder per E-Mail zu erhalten.

Pro Benutzer:in kann nur ein Token genutzt werden. Beim Soft-Token kann der QR-Code bzw. der geheime Schlüssel neben der empfohlenen App 2FAS zusätzlich bei einer anderen App hinterlegt werden. Auch können mehrere Geräte damit ausgestattet werden. Beim Hardware-Token besteht diese Möglichkeit nicht. Da gibt es dann genau einen.

Unter einem Token (genauer Security-Token) versteht man eine software- oder hardwarebasierte Möglichkeit einen Wert für einen 2-Faktor zu generieren. Als softwarebasierte Möglichkeit kommen bei Smartphones App zum Einsatz. Hardwarebasierte Tokens sind meist sog. TAN-Generatoren. Das Verfahren ähnelt dem wie Banken und Sparkassen die Zugänge zum Online-Banking absichern. Weitere Information finden Sie z. B. bei Wikipedia.

Bitte melden Sie sich mit Ihrer Hohenheimer Benutzerkennung hier an. Bitte beachten Sie unbedingt: Nachdem der Soft-Token bereitgestellt wurde, können Sie den Soft-Token nicht selbständig löschen oder ändern. In der App 2FAS haben Sie die Möglichkeit nach Festlegung einer PIN den geheimen Schlüssel auszulesen und damit auch eine andere App oder ein anderes Gerät damit auszustatten.

Aktuell kann nur ein Token dem Hohenheimer Benutzerkonto zugeordnet werden. Das kann ein Soft-Token oder ein TAN-Generator sein. Bei dem Soft-Token besteht aber die Möglichkeit mehrere Geräte mit dem gleichen Soft-Token zu nutzen. Hierfür kann der QR-Code bei den verschiedenen Apps oder Geräten eingescannt werden. Bei der empfohlenen App 2FAS besteht die Möglichkeit auch später noch den Geheimschlüssel zu kopieren und zu nutzen.

Ein vorhandener Hardware-Token kann nur dann verwendet werden, wenn dieser durch das KIM bereitgestellt wurde. Beschäftigte von dezentralen Einrichtungen können einen Hardware-Token über die EDV-Kleinteile (einfacher Hardware-Token oder ein Hardware-Token mit der Möglichkeit zum Batteriewechsel) beziehen. Die Kosten trägt in beiden Fällen die nutzendenEinrichtung. Beschäftigte der Universitätsverwaltung können den vorhandenen Hardware-Token für die Parallels-Umgebung auf Antrag nutzen.

Andere bzw. eigene Hardware-Token können nicht ins System eingepflegt. Eine Verwendung ist nur dann möglich, wenn der Hardware-Token die Möglichkeit bietet den QR-Code zu scannen oder durch eine Eingabe aufzunehmen. Diese Geräte sind in der Regel etwas teuerer in der Anschaffung.

Der Soft-Token ist ein sog. TOTP-Token. TOTP steht für Time-based one-time password.

Wichtig sind folgende Parameter:

Um eine App oder ein Programm für die Erzeugung eines Soft-Tokens zu nutzen. Benötigen Sie diese Parameter und den geheimen Schlüssel.

Es handelt sich um einen "stillen" Absturz des Programms bei der aktuellen Version 2.7.9. Dies kann leicht selbst behoben werden, indem die neueste Version von Microsoft Visual Studio C++ Redistributables heruntergeladen und installiert wird. Nach einem Neustart des Rechners sollte das Programm ordnungsgemäß starten.

Die Fehlermeldung kommt, wenn der Token beim Ausrollen nicht verifiziert wurde. Das kann nachgeholt werden. Melden Sie sich mit den Hohenheimer Benutzerdaten hier an. Klicken Sie dann auf Ihren Token. Bei Rollout Status geben Sie bitte den aktuellen 2ten Faktor aus der 2FAS App oder KeePassXC ein. Klicken Sie dann auf Token verifizieren. Nachdem der Token verifiziert wurde, kann damit nun eine VPN-Verbindung aufgebaut werden.

Der geheime Schlüssel kann parallel zum QR-Code beim Beantragen des 2ten Faktors heruntergeladen werden. Er verbirgt sich in dem Link für den Passwortmanager und muss daraus extrahiert werden. Wenn nur noch der QR-Code  vorliegt, können Sie diesen mit einem QR-Scanner auslesen und auswerten. In beiden Fällen steckt der geheime Schlüssel zwischen „secret=“ bis ausschließlich mit nächsten „&“. In der 2FAS-App besteht die Möglichkeit den geheimen Schlüssel anzuzeigen und zu kopieren. Voraussetzung dafür ist, dass für die App eine PIN festgelegt wurde.

Der Wert des Soft-Tokens ändert sich alle 30 Sekunden. Damit die Eingabe zügig vonstatten gehen kann, öffnen Sie am Besten zuerst die App und aktivieren den Eintrag für den entsprechenden Soft-Token. Sollte sich dieser während der Eingabe des Benutzernamens und Passwortes ändern, können Sie gleich den neuen Wert des Soft-Tokens eingeben.

Sie können bei der initialen Generierung des Tokens mehrere Geräte mit diesem Token einrichten. Der QR-Code kann auch gesichert werden. Bei der empfohlenen App 2FAS können Sie nach Einrichtung eines PIN Codes auch den geheimen Schlüssel sichern und zu einem späteren Zeitpunkt erneut einlesen. Bitte bewahren Sie den QR-Code bzw. geheimen Schlüssel sicher und getrennt von den Zugangsdaten für das Hohenheimer Benutzerkonto auf.

Der Soft-Token kann aus Gründen der IT-Sicherheit nutzerseitig nicht geändert oder erneuert werden. Die App 2FAS löscht den Soft-Token zunächst in den Papierkorb, aus dem eine Wiederherstellung möglich ist. Sollte eine andere Person Zugriff auf den Soft-Token haben, dann sperren Sie diesen bitte hier umgehend. Bitte wenden Sie sich vor Ort mit Ihrem Personalausweis oder Reisepass an den IT-Service-Desk, um einen neuen Soft-Token zu erhalten.

Sofern kein Batteriewechsel möglich ist oder dieser defekt ist, muss der Hardware-Token durch einen neuen ersetzt werden. Bei der Gelegenheit sollte geprüft werden, ob nicht zukünftig ein Soft-Token eingesetzt werden kann.

Bitte deaktivieren Sie den Hardware-Token hier und melden Sie sich beim IT-Service-Desk.

Die App FreeOTP ist ebenfalls geeignet, ist aber sehr rudimentär. Versehentlich gelöschte Soft-Tokens können nicht wieder hergestellt werden und der Geheimschlüssel kann nicht nachträglich wieder angezeigt werden.

Die App Yubico Authenticator setzt einen Hardwaretoken von YubiKey voraus. Das ist dann sehr sicher, aber mit zusätzlichen Kosten für den YubiKey verbunden. Der Einsatz ist möglich.

Die App Google Authenticator kann verwendet werden.

Der Microsoft Authenticator kommt aktuell mit dem Verschlüsselungsalgorithmus SHA512 nicht zurecht. Der QR-Code des Soft-Tokens kann zwar eingelesen werden, liefert aber falsche Werte. D. h. eine Verwendung ist nicht möglich.

Die App Authy kommt wie Microsoft Authenticator aktuell mit dem Verschlüsselungsalgorithmus SHA512 nicht zurecht. Der QR-Code des Soft-Tokens kann zwar eingelesen werden, liefert aber falsche Werte. D. h. eine Verwendung ist nicht möglich.