FAQ - Multifaktor-Authentifizierung (MFA)
Ein Token, genauer "Security-Token", ist ein Gegenstand oder Gerät, der einen Einmal Sicherheitscode generiert.
Sie verwenden den Token in Kombination mit einem Passwort, um sich einzuloggen.
Das Passwort ist Ihr erster Authentifizierungsfaktor. Der Token ist Ihr zweiter Authentifizierungsfaktor.
Das ist die sogenannte Multifaktor-Authentifizierung (MFA). Es ist sicherer als nur ein Passwort zu verwenden..
Es gibt verschiedene Arten von Token.
Mehr Informationen erhalten Sie unter Allgemeine Infos zu MFA.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Aktuell werden folgende Tokenarten unterstützt:
- Der Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)* (HOTP - HMAC-based One-time Password Algorithmus) wird an der RWTH mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Er kann sowohl für RWTH Single Sign-On, als auch für VPN verwendet werden. Zur Nutzung eines Hardwareschlüssels für den "Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)" muss eine entsprechende Manager App (z.B. YubiKey Manager) auf dem PC installiert und mit dem Tokenmanager eingerichtet werden. Anschließend erfolgt die Konfiguration entsprechend der Anweisungen in der App und dem Selfservice über den Tokenmanager. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
- Der Hardwaretoken für RWTH Single Sign-On (WebAuthN/FIDO2)* wird mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Zur Nutzung muss der Schlüssel während der Einrichtung im Selfservice lediglich in den USB-Slot des PC's eingesteckt werden, anschließend folgen Sie den Anweisungen auf dem Bildschirm. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
- Bei dem Token Authenticator App z.B. für Smartphone (TOTP) (TOTP - Time-based One-time Password) wird eine entsprechende App benötigt, mit welcher der Token verknüpft wird. Anschließend werden mithilfe dieser App kontinuierlich zeitlich begrenzte Einmal Sicherheitscode (z.B. 30 Sekunden) generiert. Hier ist zu beachten, dass unterschiedliche TOTP-Apps unterschiedliche Sicherheitscode-Zeichenlängen und Hash-Algorithmen unterstützen.
- Die TAN-Liste (Einmal Sicherheitscode) beinhaltet eine Liste an Einmal Sicherheitscodes. Die einzelnen Einmal Sicherheitscodes sind ungültig nachdem sie gebraucht oder übersprungen wurden und können nicht erneut verwendet werden. Diese Liste muss für die Nutzung von MFA eingerichtet und separat abgespeichert werden. Die Einmal Sicherheitscodes dienen vor allem als Backup Lösung, falls andere Token nicht mehr nutzbar sind (z.B.: Verlust des Gerätes oder Mail-Adresse). Die Liste selbst ist mit einem Passwort geschützt, welches beim Anlegen des Tokens selbst gewählt und gesetzt werden muss. Das Passwort ist im Nachgang weder einseh- noch änderbar.
- Bei Nutzung des E-Mail Tokens wird Ihnen während des Logins ein einmalig gültiger Sicherheitscode zugesandt. Dieser Code ist 15 Minuten lang gültig.
*Zur Nutzung empfohlen.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Für folgende Services ist MFA verpflichtend:
- RWTH Single Sign-On
- Einrichtung von MFA über den Tokenmanager im IdM Selfservice
- Anleitung: Einrichtung von MFA für den Single Sign-On
- VPN
- Einrichtung der MFA über den Tokenmanager im IdM Selfservice.
- Anleitung: Einrichtung von MFA für VPN
- HPC
- Einrichtung der MFA über die RegApp
- Anleitung: Einrichtung von MFA über die RegApp
Für folgende Services ist MFA optional:
- M365
- Einrichtung von MFA über den M365-Account
- Anleitung: MFA für M365 aktivieren
- sciebo
- Einrichtung von MFA über das sciebo-Webinterface
- Anleitung: Authenticator App (TOTP) für sciebo
- GitLab
- Einrichtung von MFA über den GitLab-Account
- Anleitung: Authenticator App (TOTP) für GitLab
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Sie können Ihre Token im Tokenmanager einrichten.
Der Tokenmanager befindet sich im Selfservice.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Aktuell werden an der RWTH die folgenden Hardwaretoken-Standards angeboten:
Hardwaretoken basieren auf verschiedenen technischen Standards.
WebAuthn/FIDO2 ist der am weitesten verbreitete Standard für Webservices und wird daher für den RWTH Single Sign-On verwendet.
Aus technischen Gründen ist dieser Standard für VPN nicht einsetzbar. Daher wurde zusätzlich der Standard HOTP (HMAC-based One-time Password Algorithmus) eingeführt, um auch VPN mit dem aktuell sichersten Token schützen zu können.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Einmal Sicherheitscodes (auch Sicherheitspasswort oder Code genannt) sind Zahlen- und/oder Buchstabenfolgen, wie sie bei der Authentifizierung durch einen 2. Faktor abgefragt werden. Diese sind "einmalig", da sie z.B. durch eine fest vorgegebene Reihenfolge oder eine kurze Lebensdauer ihre Gültigkeit verlieren.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Ein Sicherheitsschlüssel, auch Hardwareschlüssel genannt, ist ein alleinstehender Gegenstand, häufig in der Form eines USB-Sticks oder einer Karte, der explizit als ein Token dienen soll. Dabei unterstützen unterschiedliche Schlüssel unterschiedliche Tokenarten (WebAuthn/FIDO2, HOTP, TOTP, etc.) und auch unterschiedliche Methoden, die Codes auszugeben (über NFC, erst nach Bestätigung des Fingerabdrucks, etc.). Ein Schlüssel kann als mehrere Token registriert und genutzt werden (z.B. bei mehreren Diensten und/oder als WebAuthn- und HOTP-Token gleichzeitig).
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Für einige Tokenarten müssen der Dienst und der Token aufeinander eingestimmt werden, damit die Authentifizierung funktionieren kann.
Das geschieht durch den Austausch, eines "Tokengeheimnisses" z.B. über einen QR-Code, eine Zeichenfolge oder direkte Kommunikation zwischen Server und Endgerät. Dieses ist effektiv ein kompliziertes Passwort.
Dieses wird dann vom Token-Gerät genutzt, um die korrekten Codes zu erzeugen, sowie vom Server, um die Codes zu verifizieren.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Warum funktionieren meine Token nicht?
Eine häufige Ursache ist, dass der Token nicht gültig ist. Gründe hierfür können sein, dass:
- der Token deaktiviert ist, oder
- bei der Einrichtung ein Fehler unterlaufen ist, oder
- bei Benutzung der TAN-Liste (Einmal Sicherheitscodes) alle Sicherheitscodes verbraucht wurden, oder
- bei der Benutzung eines Hardwareschlüssels ein veralteter Token verwendet wird.
Was kann ich tun?
- Wenn Sie einen anderen Token haben, löschen Sie den nicht funktionierenden Token.
- Wenn Sie kein Token mehr haben, folgen Sie bitte der Anleitung Token verloren.
Wichtig: Bitte setzen Sie immer mindestens zwei Token, um im Zweifel nicht mehr funktionierende Token zurücksetzen zu können.
zuletzt geändert am 11.12.2024
Wie hat Ihnen dieser Inhalt geholfen?

Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz