FAQ - Multifaktor-Authentifizierung (MFA)

Für folgende Services ist MFA verpflichtend:

• RWTH Single Sign-On
  • Einrichtung von MFA über den Tokenmanager im IdM Selfservice
  • Anleitung: Einrichtung von MFA für den Single Sign-On
• VPN
  • Einrichtung der MFA über den Tokenmanager im IdM Selfservice.
  • Anleitung: Einrichtung von MFA für VPN
• HPC
  • Einrichtung der MFA über die RegApp
  • Anleitung: Einrichtung von MFA über die RegApp

Für folgende Services ist MFA optional:

• M365
  • Einrichtung von MFA über den M365-Account
  • Anleitung: MFA für M365 aktivieren
• sciebo
  • Einrichtung von MFA über das sciebo-Webinterface
  • Anleitung: Authenticator App (TOTP) für sciebo
• GitLab
  • Einrichtung von MFA über den GitLab-Account
  • Anleitung: Authenticator App (TOTP) für GitLab

Aktuell werden folgende Tokenarten unterstützt. Dabei können mehrere oder alle Tokenarten gleichzeitig genutzt werden:

• Hardwaretoken
  • für VPN und RWTH Single Sign-On (HOTP) *
  • für RWTH Single Sign-On (WebAuthN/FIDO2) * 
• Biometrische Daten
  • als Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)
• Authenticator App
  • für mobile Endgeräte (TOTP) *
  • für Laptops und Festrechner (TOTP) *
• TAN-Liste (Einmal-Sicherheitscode)
  • Muss zum Einrichten der Multifaktor-Authentifizierung einmal angelegt werden
  • Nur als Backup Token empfohlen
• E-Mail
  • ​​​​​​​Kann nicht als zweiter Faktor für die VPN Nutzung verwendet werden
  • Kann trotzdem als zweiter Faktor für die RWTH Single Sign-On Anmeldung verwendet werden

*Zur Nutzung empfohlen.

• Um die alle Arten der Multifaktor-Authentifizierung nutzen zu können, muss ein Hardwaretoken die Protokolle HOTP und WebAuthn/FIDO2 unterstützen.
  • HOTP für die Verwendung als Hardwaretoken für VPN und RWTH Single Sign-On (HOTP).
  • WebAuthn/FIDO2 für die Verwendung als Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2).
    • Alternativ kann auch ein mobiles Endgerät, das biometrische Daten erfassen kann als Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2) verwendet werden.
       
• Mit dem Protokoll HOTP kann nur eine der beiden Tokenarten erstellt, aber auf alle RWTH Dienste mit Multifaktor-Authentifizierung zugegriffen werden. Ein Hardwaretoken der nur das HOTP Protokoll unterstützt ist theoretisch ausreichend.
   
• Der Hersteller der Hardwaretoken spielt keine Rolle.
  • YubiKeys, Nitrokeys (Pro 2 und 3) und ausgewählte Feitian Keys sind Beispiele für Sicherheitsschlüssel die verwendet werden können.
     
• Ggf. muss zusätzliche Software zur Verknüpfung der Hardwaretoken mit dem Tokenmanager heruntergeladen werden. Bei Komplikation damit wenden Sie sich bitte an die Bereitsteller.

Mitarbeitende der RWTH Aachen University können YubiKeys, Hardwaretoken der Marke Yubiko, von Ihrer Einrichtung erhalten, sofern diese Hardwaretoken zur Verfügung stellt und noch vorrätig hat.

Bitte wenden Sie sich in Ihrer Einrichtung an Ihre vorgesetzte Person oder an eine Person mit der Rolle "Bestellung IT".

Neben den zur Verfügung gestellten YubiKeys können auch eigene Sicherheitsschlüssel genutzt werden. Der Hersteller ist egal.
Bitte stellen Sie sicher, dass selbst erworbene Sicherheitsschlüssel mindestens die Protokolle HOTP und WebAuthn/FIDO2  unterstützen, wenn Sie diesen für alle geschützten Services der RWTH verwenden wollen.

Aktuell werden an der RWTH die folgenden Hardwaretoken-Standards angeboten:

• Hardwaretoken für VPN (HOTP)
• Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)

Hardwaretoken basieren auf verschiedenen technischen Standards. 

WebAuthn/FIDO2 ist der am weitesten verbreitete Standard für Webservices und wird daher für den RWTH Single Sign-On verwendet.

Aus technischen Gründen ist dieser Standard für VPN nicht einsetzbar. Daher wurde zusätzlich der Standard HOTP (HMAC-based One-time Password Algorithmus) eingeführt, um auch VPN mit dem aktuell sichersten Token schützen zu können. 

Manche Dienste wie GitLab bieten im Dienst selbst die Konfiguration eines zweiten Faktors an.

Wenn der Dienst über RWTH Single-Sign-On authentifiziert, werden erst vom IdentityProvider Benutzername und Passwort und ein 2. Faktor abgefragt.

Danach erfolgt die unabhängige Abfrage eines zweiten Faktors durch den Dienst selbst.

Soweit technisch möglich kann der zweite Faktor im jeweiligen Dienst deaktiviert werden.

Beim Einrichten einer TAN-Liste werden Sie aufgefordert, ein Kennwort zu setzen. Sie benötigen dieses Kennwort, um die heruntergeladene PDF-Datei die Ihre TAN-Liste enthält zu öffnen.

Das Kennwort ist kein Einmalpasswort! Bitte verwenden Sie die in der TAN-Liste enthaltenen Zahlencodes stattdessen als Einmalpasswörter

Warum funktionieren meine Token nicht?

Eine häufige Ursache ist, dass der Token nicht gültig ist. Gründe hierfür können sein, dass:

• der Token deaktiviert ist, oder
• bei der Einrichtung ein Fehler unterlaufen ist, oder
• bei Benutzung der TAN-Liste (Einmal-Sicherheitscodes) alle Sicherheitscodes verbraucht wurden, oder
• bei der Benutzung eines Hardwareschlüssels ein veralteter Token verwendet wird. 

Was kann ich tun?

• Versuchen Sie bei einer TAN-Liste den letzten Code.
• Wenn Sie einen anderen Token haben, löschen Sie den nicht funktionierenden Token.
• Wenn Sie kein Token mehr haben, folgen Sie bitte der Anleitung Token verloren.

Wichtig: Bitte setzen Sie immer mindestens zwei Token, um im Zweifel nicht mehr funktionierende Token zurücksetzen zu können.