Die Multifaktor-Authentifizierung (MFA) beschreibt ein Verfahren, bei dem Nutzende ihren Login über eine separate Applikation oder ein separates Medium/Gerät bestätigen müssen. Dies erhöht sowohl die Sicherheit der selbst genutzten Systeme als auch die Sicherheit von Services an der RWTH Aachen University und kann Nutzende vor Datenmissbrauch schützen.

Mitarbeitende, Studierende und Angehörige der RWTH benötigen zusätzlich zu ihren bereits vorhandenen Login-Daten einen weiteren Faktor (Sicherheitsschlüssel), um auf die Services zugreifen zu können.

Der RWTH Single Sign-On unterstützt als MFA eine Zweifaktor-Authentifizierung, der über sogenannte Token realisiert wird.

Unter Geschützte Services und zugehörige Tokenverfahren wird erläutert, welche Möglichkeiten die MFA bietet.

Sobald Sie sich im Selfservice über den Tokenmanager Token eingerichtet haben, müssen Sie beim Login an einem mit der Multifaktor-Authentifizierung geschützten Services nutzen zu können, einen zusätzlichen Einmal Sicherheitscode eingeben. 
Bei der Anmeldung am Service müssen Sie zunächst Ihre bekannten Login-Daten eingeben. Anschließend werden Sie aufgefordert, Ihren zweiten Faktor einzugeben. 

Bei der Nutzung eines zweiten Faktors an Services mit RWTH Single Sign-On werden Sie zunächst aufgefordert, einen Token auszuwählen, den Sie bei der Anmeldung verwenden möchten. Folgen Sie anschließend den Anweisungen auf dem Bildschirm. 

Aktuell werden folgende Tokenarten unterstützt:

• Der Hardwaretoken für VPN und RWTH Signle Sign-On (HOTP)* (HOTP - HMAC-based One-time Password Algorithmus) wird an der RWTH ebenfalls mit einem Hardwareschlüssel verwendet, der YubiKey unterstützt auch diesen Token. Er kann sowohl für SSO-Services, als auch für VPN verwendet werden. Zur Nutzung eines Hardwareschlüssels für den "Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)" muss eine entsprechende Manager App (z.B. YubiKey Manager) auf dem PC installiert und mit dem Tokenmanager eingerichtet werden. Anschließend erfolgt die Konfiguration entsprechend der Anweisungen in der App und dem Selfservice über den Tokenmanager. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
• Der Hardwaretoken für RWTH Single Sign-On (WebAuthN/FIDO2)* wird mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Zur Nutzung muss der Schlüssel während der Einrichtung im Selfservice lediglich in den USB-Slot des PC's eingesteckt werden, anschließend folgen Sie den Anweisungen auf dem Bildschirm. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
• Bei dem Token Authenticator App z.B. für Smartphone (TOTP) (TOTP - Time-based One-time Password) wird eine entsprechende App benötigt, mit welcher der Token verknüpft wird. Anschließend werden mithilfe dieser App kontinuierlich zeitlich begrenzte Einmal Sicherheitscode (z.B. 30 Sekunden) generiert. Hier ist zu beachten, dass unterschiedliche TOTP-Apps unterschiedliche Sicherheitscode-Zeichenlängen und Hash-Algorithmen unterstützen.
• Die TAN-Liste (Einmal Sicherheitscode) beinhaltet eine Liste an Einmal Sicherheitscode. Die einzelnen Einmal Sicherheitscodes sind ungültig nachdem sie gebraucht oder übersprungen wurden und können nicht erneut verwendet werden. Diese Liste muss für die Nutzung von MFA eingerichtet und separat abgespeichert werden. Die Einmal Sicherheitscodes dienen vor allem als Backup Lösung, falls andere Token nicht mehr nutzbar sind (z.B.: Verlust des Gerätes oder Mail-Adresse). Die Liste selbst ist mit einem Passwort geschützt, welches beim Anlegen des Tokens selbst gewählt und gesetzt werden muss. Das Passwort ist im Nachgang weder einsehbar noch änderbar. 
• Bei Nutzung des E-Mail Tokens wird Ihnen bei dem Login ein einmalig gültiger Sicherheitscode zugesandt.