FAQ - Multifaktor-Authentifizierung (MFA)

Ein Token, genauer "Security-Token", ist ein Gegenstand oder Gerät, welcher bei einem Anmelde-/Authentifizierungsdienst als ein Anmelde-Faktor registriert ist. Mit diesem Token können Nutzende ihre Identität nachweisen, ähnlich zur Nutzung von Passworten. Durch die Kombination mit einem Passwort (1. Faktor) und dem Token (2. Faktor) ergibt sich eine verbesserte Sicherheit. 

Der zweite Faktor generiert einen Einmal Sicherheitscode, der je nach Tokenart auf unterschiedliche Weise abgefragt wird. 

Nähere Informationen zu den Tokenarten finden Sie unter Allgemeine Infos.

Die folgenden Token stehen Ihnen an der RWTH Aachen University zur Verfügung: 

• Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)*
• Hardwaretoken für VPN (HOTP)*
• Smartphone-Token (TOTP)* 
• TAN-Liste (Einmal Sicherheitscode) 
• E-Mail 

*Zur Nutzung empfohlen.

Weitere Informationen

Sie können Ihre Token im Selfservice über den Tokenmanager erstellen, aktivieren, deaktivieren und löschen. 

Hardwaretoken basieren auf verschiedenen technischen Standards. 

Aktuell werden an der RWTH die folgenden Hardwaretoken-Standards angeboten: 

• Hardwaretoken für VPN (HOTP)
• Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)

WebAuthn/FIDO2 ist der am weitesten verbreitete Standard für Webservices und wird daher für den RWTH Single Sign-On verwendet.

Aus technischen Gründen ist dieser Standard für VPN nicht einsetzbar. Daher wurde zusätzlich der Standard HOTP eingeführt, um auch VPN mit dem aktuell sichersten Token schützen zu können. 

Einmal Sicherheitscode (auch Sicherheitspasswort oder Code genannt) sind die Zahlen- und/oder Buchstabenfolgen, wie sie bei der Authentifizierung durch einen 2. Faktor abgefragt werden. Diese sind "einmalig", da sie z.B. durch eine fest vorgegebene Reihenfolge oder eine kurze Lebensdauer ihre Gültigkeit verlieren.

Ein Sicherheitsschlüssel, auch Hardwareschlüssel genannt, ist ein alleinstehender Gegenstand, häufig in der Form eines USB-Sticks oder einer Karte, der explizit als ein Token dienen soll. Dabei unterstützen unterschiedliche Schlüssel unterschiedliche Tokenarten (WebAuthn/FIDO2, HOTP, TOTP, etc.) und auch unterschiedliche Methoden, die Codes auszugeben (über NFC, erst nach Bestätigung des Fingerabdrucks, etc.). Ein Schlüssel kann als mehrere Token registriert und genutzt werden (z.B. bei mehreren Diensten und/oder als WebAuthn- und HOTP-Token gleichzeitig).

Für einige Tokenarten müssen der Dienst und das Endgerät aufeinander eingestimmt werden, damit die Authentifizierung funktionieren kann. Das geschieht durch den Austausch, z.B. über einen QR-Code, eine Zeichenfolge oder direkte Kommunikation zwischen Server und Endgerät, eines "Token-Geheimnisses". Dieses ist effektiv ein kompliziertes Passwort. Dieses wird dann vom Token-Gerät genutzt, um die korrekten Codes zu erzeugen, bzw. vom Server genutzt, um die Codes zu verifizieren.

Der YubiKey ist ein Hardwareschlüssel, welchen Sie für die Token "Hardwaretoken für VPN (HOTP)" und "Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)" verwenden können. 

Wo erhalte ich einen YubiKey? 

Bitte wenden Sie sich in Ihrer Einrichtung an Ihre vorgesetzte Person. 

Wer bekommt einen YubiKey?

Für alle Mitarbeitende der RWTH Aachen University können YubiKeys beschafft werden. 

Neben den zur Verfügung gestellten YubiKeys können auch eigene genutzt werden. 

Wie richte ich den YubiKey ein? 

Eine Anleitung zur Einrichtung des YubiKeys finden Sie unter "Einrichtung YubiKey".

Um einen Token im Tokenmanager zu löschen, müssen Sie die folgenden Schritte ausführen:

1. Melden Sie sich im IdM Selfservice an und klicken Sie auf "Tokenmanager".
2. Klicken Sie auf das Auswahlkästchen des Tokens, das Sie löschen möchten.
3. Klicken Sie nun auf "Löschen".
4. Das Token wurde erfolgreich gelöscht.

Eine häufige Ursache, warum Sie einen Token nicht mehr nutzen können, um sich mit dem 2. Faktor am Service anzumelden, ist, dass er seine Gültigkeit verloren hat. Gründe hierfür können sein, dass

• der Token deaktiviert ist, oder
• bei der Einrichtung ein Fehler unterlaufen ist, oder
• bei Benutzung der TAN-Liste (Einmal Sicherheitscodes) alle Sicherheitscodes verbraucht wurden, oder
• bei der Benutzung eines Hardwareschlüssels ein veralteter Token verwendet wird. 

Falls ein weiterer Token vorhanden ist, nutzen Sie diesen bitte um im Selfservice über den Tokenmanager den nicht mehr funktionierenden Token zu löschen. 

Falls Sie keine weiteren Token mehr haben, wenden Sie sich bitte an das IT-ServiceDesk um die Token zurücksetzen zu lassen. 

Wichtig: Bitte setzen Sie immer mindestens zwei Token, um im Zweifel nicht mehr funktionierende Token zurücksetzen zu können. Eine Anleitung zur Verwaltung Ihrer Token finden Sie unter "Token einrichten".

Wenn Sie einen Token verloren haben, können Sie ihn selbstständig deaktivieren oder löschen. Dazu wurden Sie bei der Einrichtung angehalten, eine TAN-Liste (Einmal Sicherheitscodes) einzurichten.  

Navigieren Sie im Selfservice zum Tokenmanager und deaktivieren bzw. löschen Sie den verloren gegangenen Token. Sie können dann auch einen neuen Token einrichten. 

Wenn diese Möglichkeit nicht besteht, nutzen Sie das Rücksetzverfahren für MFA Token.