FAQ - Multifaktor-Authentifizierung (MFA)
Ein Token, genauer "Security-Token", ist ein Gegenstand oder Gerät, welches bei einem Anmelde-/Authentifizierungsdienst als ein Anmelde-Faktor registriert ist. Mit diesem Token können Nutzende ihre Identität nachweisen, ähnlich wie die Nutzung von Passwörtern. Durch die Kombination mit einem Passwort (1. Faktor) und dem Token (2. Faktor) ergibt sich eine verbesserte Sicherheit.
Der zweite Faktor generiert einen Einmal Sicherheitscode, der je nach Tokenart auf unterschiedliche Weise abgefragt wird.
Nähere Informationen zu den Tokenarten finden Sie unter Allgemeine Infos.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Aktuell werden folgende Tokenarten unterstützt:
- Der Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)* (HOTP - HMAC-based One-time Password Algorithmus) wird an der RWTH mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Er kann sowohl für RWTH Single Sign-On, als auch für VPN verwendet werden. Zur Nutzung eines Hardwareschlüssels für den "Hardwaretoken für VPN und RWTH Single Sign-On (HOTP)" muss eine entsprechende Manager App (z.B. YubiKey Manager) auf dem PC installiert und mit dem Tokenmanager eingerichtet werden. Anschließend erfolgt die Konfiguration entsprechend der Anweisungen in der App und dem Selfservice über den Tokenmanager. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
- Der Hardwaretoken für RWTH Single Sign-On (WebAuthN/FIDO2)* wird mit einem Hardwareschlüssel wie z.B. YubiKey verwendet. Zur Nutzung muss der Schlüssel während der Einrichtung im Selfservice lediglich in den USB-Slot des PC's eingesteckt werden, anschließend folgen Sie den Anweisungen auf dem Bildschirm. Der Hardwaretoken ist der aktuell sicherste zweite Faktor an der RWTH Aachen University.
- Bei dem Token Authenticator App z.B. für Smartphone (TOTP) (TOTP - Time-based One-time Password) wird eine entsprechende App benötigt, mit welcher der Token verknüpft wird. Anschließend werden mithilfe dieser App kontinuierlich zeitlich begrenzte Einmal Sicherheitscode (z.B. 30 Sekunden) generiert. Hier ist zu beachten, dass unterschiedliche TOTP-Apps unterschiedliche Sicherheitscode-Zeichenlängen und Hash-Algorithmen unterstützen.
- Die TAN-Liste (Einmal Sicherheitscode) beinhaltet eine Liste an Einmal Sicherheitscodes. Die einzelnen Einmal Sicherheitscodes sind ungültig nachdem sie gebraucht oder übersprungen wurden und können nicht erneut verwendet werden. Diese Liste muss für die Nutzung von MFA eingerichtet und separat abgespeichert werden. Die Einmal Sicherheitscodes dienen vor allem als Backup Lösung, falls andere Token nicht mehr nutzbar sind (z.B.: Verlust des Gerätes oder Mail-Adresse). Die Liste selbst ist mit einem Passwort geschützt, welches beim Anlegen des Tokens selbst gewählt und gesetzt werden muss. Das Passwort ist im Nachgang weder einseh- noch änderbar.
- Bei Nutzung des E-Mail Tokens wird Ihnen während des Logins ein einmalig gültiger Sicherheitscode zugesandt. Dieser Code ist 15 Minuten lang gültig.
*Zur Nutzung empfohlen.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Sie können Ihre Token im Selfservice über den Tokenmanager erstellen, aktivieren, deaktivieren und löschen.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Hardwaretoken basieren auf verschiedenen technischen Standards.
Aktuell werden an der RWTH die folgenden Hardwaretoken-Standards angeboten:
WebAuthn/FIDO2 ist der am weitesten verbreitete Standard für Webservices und wird daher für den RWTH Single Sign-On verwendet.
Aus technischen Gründen ist dieser Standard für VPN nicht einsetzbar. Daher wurde zusätzlich der Standard HOTP eingeführt, um auch VPN mit dem aktuell sichersten Token schützen zu können.
zuletzt geändert am 05.03.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Einmal Sicherheitscodes (auch Sicherheitspasswort oder Code genannt) sind Zahlen- und/oder Buchstabenfolgen, wie sie bei der Authentifizierung durch einen 2. Faktor abgefragt werden. Diese sind "einmalig", da sie z.B. durch eine fest vorgegebene Reihenfolge oder eine kurze Lebensdauer ihre Gültigkeit verlieren.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Ein Sicherheitsschlüssel, auch Hardwareschlüssel genannt, ist ein alleinstehender Gegenstand, häufig in der Form eines USB-Sticks oder einer Karte, der explizit als ein Token dienen soll. Dabei unterstützen unterschiedliche Schlüssel unterschiedliche Tokenarten (WebAuthn/FIDO2, HOTP, TOTP, etc.) und auch unterschiedliche Methoden, die Codes auszugeben (über NFC, erst nach Bestätigung des Fingerabdrucks, etc.). Ein Schlüssel kann als mehrere Token registriert und genutzt werden (z.B. bei mehreren Diensten und/oder als WebAuthn- und HOTP-Token gleichzeitig).
zuletzt geändert am 21.02.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Für einige Tokenarten müssen der Dienst und das Endgerät aufeinander eingestimmt werden damit die Authentifizierung funktionieren kann. Das geschieht durch den Austausch, z.B. über einen QR-Code, eine Zeichenfolge oder direkte Kommunikation zwischen Server und Endgerät, eines "Token-Geheimnisses". Dieses ist effektiv ein kompliziertes Passwort. Dieses wird dann vom Token-Gerät genutzt, um die korrekten Codes zu erzeugen, sowie vom Server, um die Codes zu verifizieren.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Der YubiKey ist ein Hardwareschlüssel, welchen Sie für die Token "Hardwaretoken für VPN (HOTP)" und "Hardwaretoken für RWTH Single Sign-On (WebAuthn/FIDO2)" verwenden können.
Wo erhalte ich einen YubiKey?
Bitte wenden Sie sich in Ihrer Einrichtung an Ihre vorgesetzte Person oder an eine Person mit der Rolle "Bestellung IT".
Falls nicht bekannt ist wer diese Rolle besitzt, kann Ihnen ein Rollenverwalter Ihrer Einrichtung Auskunft geben.
Rollenverwalter können u. a. im IdM Selfservice unter Rollen und Gruppen / Rollenverwalter eingesehen werden.
Wer bekommt einen YubiKey?
Mitarbeitende der RWTH Aachen University erhalten YubiKeys von Ihrer Einrichtung, sofern diese YubiKeys zur Verfügung stellt.
Neben den zur Verfügung gestellten YubiKeys können auch eigene genutzt werden.
Bitte stellen Sie sicher, dass selbst erworbene YubiKeys mindestens HOTP und Fido2 unterstützen, wenn Sie diesen für alle geschützten Services verwenden wollen.
Wie richte ich den YubiKey ein?
Anleitungen zur Einrichtung des YubiKeys finden Sie hier:
zuletzt geändert am 13.06.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Um einen Token im Tokenmanager zu löschen, müssen Sie die folgenden Schritte ausführen:
- Melden Sie sich im IdM Selfservice an und klicken Sie auf "Tokenmanager".
- Klicken Sie auf das Auswahlkästchen des Tokens, das Sie löschen möchten.
- Klicken Sie nun auf "Löschen".
- Das Token wurde erfolgreich gelöscht.
zuletzt geändert am 27.02.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Eine häufige Ursache, warum Sie einen Token nicht mehr nutzen können, um sich mit dem 2. Faktor am Service anzumelden, ist, dass er seine Gültigkeit verloren hat. Gründe hierfür können sein, dass
- der Token deaktiviert ist, oder
- bei der Einrichtung ein Fehler unterlaufen ist, oder
- bei Benutzung der TAN-Liste (Einmal Sicherheitscodes) alle Sicherheitscodes verbraucht wurden, oder
- bei der Benutzung eines Hardwareschlüssels ein veralteter Token verwendet wird.
Falls ein weiterer Token vorhanden ist, nutzen Sie diesen bitte um im Selfservice über den Tokenmanager den nicht mehr funktionierenden Token zu löschen.
Falls Sie keine weiteren Token mehr haben, wenden Sie sich bitte an das IT-ServiceDesk um die Token zurücksetzen zu lassen.
Wichtig: Bitte setzen Sie immer mindestens zwei Token, um im Zweifel nicht mehr funktionierende Token zurücksetzen zu können.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Wenn Sie einen ihrer Token verloren haben, aber noch Zugriff auf den Tokenmanager haben, können Sie den verlorenen Token selbstständig deaktivieren oder löschen.
Deshalb mussten Sie bei der Einrichtung mindestens eine TAN-Liste (Einmal Sicherheitscodes) als Rückfall Möglichkeit einrichten und wurden dazu angehalten mindestens zwei Token anzulegen.
Navigieren Sie im Selfservice zum Tokenmanager und deaktivieren bzw. löschen Sie den verloren gegangenen Token. Sie können dann auch einen neuen Token einrichten.
Wenn diese Möglichkeit nicht besteht (kein Zugriff mehr auf jeglichen Token oder den Tokenmanager), müssen Sie das Rücksetzverfahren für MFA Token durchlaufen.
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Für folgende RWTH Services ist MFA verpflichtend:
- RWTH Single Sign-On
- Einrichtung von MFA über den Tokenmanager im IdM Selfservice.
- Hilfestellung zur Einrichtung von MFA
- VPN
- Einrichtung der MFA über den Tokenmanager im IdM Selfservice.
- Hilfestellung zur Einrichtung von MFA
- HPC:
- Einrichtung der MFA über die RegApp.
- Hilfestellung zur Einrichtung von MFA über die RegApp.
Für folgende Services ist MFA optional und kann über den Service selbst eingerichtet werden:
- M365:
- Einrichtung von MFA über den M365-Account.
- Hilfestellung: Hardwaretoken (HOTP), Authenticator App (TOTP), SMS-Codes oder Anruf
- Sciebo:
- Einrichtung von MFA über den Sciebo-Account.
- Hilfestellung: Authenticator App (TOTP)
- GitLab:
- Einrichtung von MFA über den GitLab-Account.
- Hilfestellung: Authenticator App (TOTP)
zuletzt geändert am 02.08.2024
Wie hat Ihnen dieser Inhalt geholfen?
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz