FAQ - Multifaktor-Authentifizierung (MFA)

Ein Token, genauer "Security-Token", ist ein Gegenstand oder Gerät, der einen Einmal Sicherheitscode generiert.

Sie verwenden den Token in Kombination mit einem Passwort, um sich einzuloggen.

Das Passwort ist Ihr erster Authentifizierungsfaktor. Der Token ist Ihr zweiter Authentifizierungsfaktor.

Das ist die sogenannte Multifaktor-Authentifizierung (MFA). Es ist sicherer als nur ein Passwort zu verwenden..

Es gibt verschiedene Arten von Token.

Mehr Informationen erhalten Sie unter Allgemeine Infos zu MFA.

Aktuell werden folgende Tokenarten unterstützt:

• Der Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)* (HOTP - HMAC-based One-time Password Algorithmus) wird an der RWTH mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Er kann sowohl für RWTH Single Sign-On, als auch für VPN verwendet werden. Zur Nutzung eines Hardwareschlüssels für den "Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)" muss eine entsprechende Manager App (z.B. YubiKey Manager) auf dem PC installiert und mit dem Tokenmanager eingerichtet werden. Anschließend erfolgt die Konfiguration entsprechend der Anweisungen in der App und dem Selfservice über den Tokenmanager. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
• Der Hardwaretoken für RWTH Single Sign-On (WebAuthN/FIDO2)* wird mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Zur Nutzung muss der Schlüssel während der Einrichtung im Selfservice lediglich in den USB-Slot des PC's eingesteckt werden, anschließend folgen Sie den Anweisungen auf dem Bildschirm. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
• Bei dem Token Authenticator App z.B. für Smartphone (TOTP) (TOTP - Time-based One-time Password) wird eine entsprechende App benötigt, mit welcher der Token verknüpft wird. Anschließend werden mithilfe dieser App kontinuierlich zeitlich begrenzte Einmal Sicherheitscode (z.B. 30 Sekunden) generiert. Hier ist zu beachten, dass unterschiedliche TOTP-Apps unterschiedliche Sicherheitscode-Zeichenlängen und Hash-Algorithmen unterstützen.
• Die TAN-Liste (Einmal Sicherheitscode) beinhaltet eine Liste an Einmal-Sicherheitscodes. Die einzelnen Einmal Sicherheitscodes sind ungültig nachdem sie gebraucht wurden und können nicht erneut verwendet werden. Diese Liste muss für die Nutzung von MFA eingerichtet und separat abgespeichert werden. Die TAN-Liste dient nur als Backup Lösung, falls andere Token nicht mehr nutzbar sind (z. B.: Verlust des Gerätes oder Mail-Adresse) und ist nicht für den täglichen Gebrauch gedacht. Die Liste selbst ist mit einem Passwort geschützt, welches beim Anlegen des Tokens selbst gewählt und gesetzt werden muss. Das Passwort ist im Nachgang weder einseh- noch änderbar. 
• Bei Nutzung des E-Mail Tokens wird Ihnen während des Logins ein einmalig gültiger Sicherheitscode zugesandt. Dieser Code ist 15 Minuten lang gültig.

*Zur Nutzung empfohlen.

Für folgende Services ist MFA verpflichtend:

• RWTH Single Sign-On
  • Einrichtung von MFA über den Tokenmanager im IdM Selfservice
  • Anleitung: Einrichtung von MFA für den Single Sign-On
• VPN
  • Einrichtung der MFA über den Tokenmanager im IdM Selfservice.
  • Anleitung: Einrichtung von MFA für VPN
• HPC
  • Einrichtung der MFA über die RegApp
  • Anleitung: Einrichtung von MFA über die RegApp

Für folgende Services ist MFA optional:

• M365
  • Einrichtung von MFA über den M365-Account
  • Anleitung: MFA für M365 aktivieren
• sciebo
  • Einrichtung von MFA über das sciebo-Webinterface
  • Anleitung: Authenticator App (TOTP) für sciebo
• GitLab
  • Einrichtung von MFA über den GitLab-Account
  • Anleitung: Authenticator App (TOTP) für GitLab

Für RWTH Single Sign-On
Einrichtung von Token erfolgt über den Tokenmanager im IdM Selfservice 

Für VPN
Einrichtung von Token erfolgt über den Tokenmanager im IdM Selfservice. 

Für HPC-Cluster
Einrichtung von Token über die RegApp.

Es ist derzeit leider nicht möglich, einen Token als Standard festzulegen.

Allerdings wird der bei RWTH Single Sign-On zuletzt verwendete Token in einem Cookie in Ihrem Browser hinterlegt und dann bei der Anmeldung im Dropdown-Menü vorausgewählt.

Damit das verlässlich (auch über den Browser-Neustart hinweg) funktioniert, müssen Sie Ihre Browsereinstellungen anpassen.

Microsoft Edge

1. Melden Sie sich an einer SSO-geschützten Plattform an (z.B. Selfservice oder RWTHmoodle).
2. Wählen Sie aus dem Dropdown-Menü den Token aus, den Sie als Standard festlegen möchten.
3. Klicken Sie auf die drei Punkte oben rechts.
4. Klicken Sie auf Einstellungen.
5. Klicken Sie auf Datenschutz, Suche und Dienste.
6. Klicken Sie auf Wählen Sie aus, was beim Schließen des Browsers gelöscht werden soll.
7. Klicken Sie auf Cookies und andere Websitedaten.
8. Klicken Sie neben "Nicht löschen" auf Hinzufügen.
9. Geben Sie unter "Website hinzufügen" ein: https://sso.rwth-aachen.de

Firefox

1. Melden Sie sich an einer SSO-geschützten Plattform an (z.B. Selfservice oder RWTHmoodle).
2. Wählen Sie aus dem Dropdown-Menü den Token aus, den Sie als Standard festlegen möchten.
3. Klicken Sie auf die drei Zeilen oben rechts.
4. Klicken Sie auf Einstellungen.
5. Klicken Sie auf Datenschutz & Sicherheit.
6. Klicken Sie unter "Cookies und Website-Daten" auf Ausnahmen verwalten.
7. Geben Sie unter "Adresse der Website" ein: https://sso.rwth-aachen.de
8. Klicken Sie auf Erlauben.
9. Klicken Sie auf Änderungen speichern.

Aktuell werden an der RWTH die folgenden Hardwaretoken-Standards angeboten:

• Hardwaretoken für VPN (HOTP)
• Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)

Hardwaretoken basieren auf verschiedenen technischen Standards. 

WebAuthn/FIDO2 ist der am weitesten verbreitete Standard für Webservices und wird daher für den RWTH Single Sign-On verwendet.

Aus technischen Gründen ist dieser Standard für VPN nicht einsetzbar. Daher wurde zusätzlich der Standard HOTP (HMAC-based One-time Password Algorithmus) eingeführt, um auch VPN mit dem aktuell sichersten Token schützen zu können. 

Einmal Sicherheitscodes (auch Sicherheitspasswort oder Code genannt) sind Zahlen- und/oder Buchstabenfolgen, wie sie bei der Authentifizierung durch einen 2. Faktor abgefragt werden. Diese sind "einmalig", da sie z.B. durch eine fest vorgegebene Reihenfolge oder eine kurze Lebensdauer ihre Gültigkeit verlieren.

Ein Sicherheitsschlüssel, auch Hardwareschlüssel genannt, ist ein alleinstehender Gegenstand, häufig in der Form eines USB-Sticks oder einer Karte, der explizit als ein Token dienen soll. Dabei unterstützen unterschiedliche Schlüssel unterschiedliche Tokenarten (WebAuthn/FIDO2, HOTP, TOTP, etc.) und auch unterschiedliche Methoden, die Codes auszugeben (über NFC, erst nach Bestätigung des Fingerabdrucks, etc.). Ein Schlüssel kann als mehrere Token registriert und genutzt werden (z.B. bei mehreren Diensten und/oder als WebAuthn- und HOTP-Token gleichzeitig).

Für einige Tokenarten müssen der Dienst und der Token aufeinander eingestimmt werden, damit die Authentifizierung funktionieren kann.

Das geschieht durch den Austausch, eines "Tokengeheimnisses" z.B. über einen QR-Code, eine Zeichenfolge oder direkte Kommunikation zwischen Server und Endgerät. Dieses ist effektiv ein kompliziertes Passwort.

Dieses wird dann vom Token-Gerät genutzt, um die korrekten Codes zu erzeugen, sowie vom Server, um die Codes zu verifizieren.

Warum funktionieren meine Token nicht?

Eine häufige Ursache ist, dass der Token nicht gültig ist. Gründe hierfür können sein, dass:

• der Token deaktiviert ist, oder
• bei der Einrichtung ein Fehler unterlaufen ist, oder
• bei Benutzung der TAN-Liste (Einmal Sicherheitscodes) alle Sicherheitscodes verbraucht wurden, oder
• bei der Benutzung eines Hardwareschlüssels ein veralteter Token verwendet wird. 

Was kann ich tun?

• Wenn Sie einen anderen Token haben, löschen Sie den nicht funktionierenden Token.
• Wenn Sie kein Token mehr haben, folgen Sie bitte der Anleitung Token verloren.

Wichtig: Bitte setzen Sie immer mindestens zwei Token, um im Zweifel nicht mehr funktionierende Token zurücksetzen zu können.  

Manche Dienste wie GitLab bieten im Dienst selbst die Konfiguration eines zweiten Faktors an.

Wenn der Dienst über RWTH Single-Sign-On authentifiziert, werden erst vom IdentityProvider Benutzername und Passwort und ein 2. Faktor abgefragt.

Danach erfolgt die unabhängige Abfrage eines zweiten Faktors durch den Dienst selbst.

Soweit technisch möglich kann der zweite Faktor im jeweiligen Dienst deaktiviert werden.