zur Startseite
Sie befinden sich im Service Identity Management
Allgemeine Infos
RWTH Single Sign-On (via Shibboleth)
IT Center Help

Sie befinden sich im Service: Identity Management

Token einrichten
Seite ausdrucken

Token einrichten

Kurzinformation

Token können direkt im IdM Selfservice im MFA-Tokenmanager eingerichtet und verwaltet werden. Jeder Token erhält eine Seriennummer.

 

Hinweis

Achten Sie darauf, dass keine dritte Person Zugriff zu Ihren Token erhält und löschen bzw. erneuern Sie diese im Zweifelsfall. 
 
Ihre Mithilfe ist gefragt: Nur, wenn Sie sicherheitsbewusst mit den Token umgehen, ergibt sich eine wirkliche Erhöhung der Sicherheit. Schützen Sie z.B. Ihre Endgeräte mit Token vor dem Zugriff Dritter.

Folgende Token stehen Ihnen zur Verfügung:

  1. Hardwaretoken (WebAuthn/FIDO2)
  2. TOTP (Smartphone-Token)
  3. TAN-Liste (Einmal Sicherheitscode)
  4. E-Mail

Detailinformation

In der MFA-Tokenverwaltung können Sie Token erstellen, einsehen, aktivieren, deaktivieren, bearbeiten oder löschen.

Klicken Sie auf "Erstellen", um sich einen neuen Token anzulegen. 

Wichtig: Falls Sie noch keinen Token angelegt haben, müssen Sie zunächst eine TAN-Liste (Einmal Sicherheitscode) generieren. Diese dient Ihnen als Backup, falls Ihre übrigen Token verloren sind. 

Liegt Ihnen keiner der weiteren Token vor und alle Einmal Sicherheitscodes der TAN-Liste sind verbraucht, können Sie sich nicht mehr an Systemen anmelden, die zwei Faktoren erfordern. In diesem Fall können Sie sich an den IT-ServiceDesk wenden.

Wenn Sie die MFA-Nutzung deaktivieren wollen, können Sie selbstständig alle Token löschen und sich dann wie gewohnt nur mit Benutzername und Kennwortwort anmelden. 

Wählen Sie dann den gewünschten Token aus.

Hardwaretoken (WebAuthn/FIDO2) 

Ein Hardwaretoken wird mit einer externen Hardwarekomponente (Hardware-Schlüssel) genutzt. Da der Hardwaretoken vollkommen losgelöst vom genutzten Endgerät und nicht kopierbar ist, stellt er eine sehr sichere Form des zweiten Faktors dar. Er generiert und übermittelt ein Einmal-Passwort, sodass Sie zum gewünschten Dienst weitergeleitet werden. Die Form des Einmal-Passworts ist abhängig von dem genutzten Hardware-Schlüssel.

Wichtig: Achten Sie bei der Wahl des Hardware-Schlüssels darauf, dass er mit dem genutzten Protokoll WebAuthn kompatibel ist. 

Vergeben Sie für den Token eine selbst gewählte, eindeutige Beschreibung und klicken Sie auf "Erstellen".

Starten Sie die Einrichtung des Hardwaretokens, indem Sie auf "Registrieren" klicken. Bitte beachten Sie, dass nicht alle Browser diese Funktion unterstützen und nutzen Sie im Zweifel einen anderen Browser (z.B. Chrome, Edge, Firefox).

 

Um Ihren Hardwaretoken einzurichten, folgen Sie bitte den Anweisungen auf dem Bildschirm. 

Ob eine PIN benötigt wird, hängt davon ab, ob und wie der Hardware-Schlüssel vorher eingerichtet wurde.

Wichtig: Achten Sie bei der Vergabe der Sicherheitsschlüssel-PIN darauf, dass sie von unbefugten Dritten nicht eingesehen werden kann. 

Falls Ihr Betriebssystem nicht über einen eigenen Credential Manager, wie den von Windows, verfügt, werden die Token durch Ihren Webbrowser eingerichtet.  


Firefox:

Im ersten Schritt dürfen die Daten nicht anonymisiert werden, da sonst die Einrichtung des Tokens fehlschlägt:

Nun kann der Hardware-Schlüssel an das System angeschlossen werden. Eventuell wird nach der PIN des Schlüssels gefragt:

Schließen Sie den Vorgang durch das Antippen des Schlüssels ab:

Chrome:

Falls noch kein Schlüssel mit dem System verbunden ist, werden Sie nach der Art des Gerätes gefragt, welches verwendet werden soll. Wählen Sie bitte „USB-Sicherheitsschlüssel“:

Folgen Sie anschließend den Anweisungen auf Ihrem Bildschirm.

TOTP (Smartphone-Token)

Ein TOTP-Token (Time-based One-time Password) wird mit einer TOTP-App Ihrer Wahl verknüpft. Vergeben Sie eine Beschreibung (z.B. Name der App) und wählen Sie die Sicherheitscodelänge und den Hash-Algorithmus aus.

TOTP Apps sind nach Hardwaretoken eine sehr sichere Form des zweiten Faktors, da sie häufig ein separates Gerät darstellen und vielen Nutzenden aus dem Alltag bereits bekannt sind. Sie sind schnell einsetzbar und es entstehen keine Kosten bei der Nutzung

Wichtig: Bitte prüfen Sie vorab, welche Zeichenlänge und Hash-Algorithmen von Ihrer App unterstützt werden. Alle TOTP-Apps unterstützen den SHA1 Algorithmus. Sicherere Verfahren wie SHA256 oder SHA512 werden aktuell nicht von allen Apps unterstützt.

 

 

Anschließend können Sie über den QR-Code (oder manueller Eingabe des TOTP Schlüssels) den Token in Ihrer TOTP-App registrieren. Im Kasten "TOTP testen" können Sie die Funktionalität des Tokens testen.

Ein Beispiel für TOTP Apps ist die 2FAS App (2 factor authenticator). Sie ist für Android und iOS nutzbar und stellt ein Browser-Plugin für Firefox zur Verfügung. 

Hier finden Sie eine Anleitung, um die App mit dem Tokenmanager zu verknüpfen. 

  1. Laden Sie die App im App Store oder in der Google Play App herunter. 
  2. Öffnen Sie die App und klicken Sie auf "Neuen Dienst koppeln"
  3. Erstellen Sie im Tokenmanager einen neuen Smartphone-Token (TOTP).
  4. Scannen Sie mit Ihrer App den QR-Code aus dem Tokenmanager. 
  5. Tippen Sie den Code aus Ihrer App in das Browserfeld auf Ihrem PC ein und klicken Sie auf "Bestätigen" und "Abschließen".

Ab jetzt können Sie die App als Smartphone-Token (TOTP) benutzen. Alle 30 Sekunden wird automatisch ein neuer Code generiert. 

      Wichtig: Stellen Sie sicher, dass unbefugte Dritte die Nutzung der App nicht einsehen können.

Für alle weiteren Supportfragen wenden Sie sich bitte direkt an den Hersteller. 

TAN-Liste (Einmal Sicherheitscodes) 

Alle Nutzenden müssen den Token "TAN-Liste (Einmal Sicherheitscodes)" einmalig anlegen, herunterladen und sicher lokal verwahren.

Vergeben Sie für den Token eine selbstgewählte Beschreibung und laden diesen herunter.

Die TAN-Liste generiert eine Liste mit nur einmal verwendbaren Zahlenfolgen. Bitte bewahren Sie diese Liste sorgfältig auf, da sie zur Wiederherstellung eines potenziell verloren gegangenen weiteren Token dienen kann, sofern nicht alle Zahlenfolgen bereits verbraucht sind. 

Jeder Einmal Sicherheitscode ist nur einmal gültig. 

Nutzen Sie die Einmal Sicherheitscodes in der angegebenen Reihenfolge, da übersprungene Codes ungültig werden. 

Erstellen Sie eine neue TAN-Liste, bevor Sie den letzten Code nutzen.

Wichtig: Der Token "TAN-Liste (Einmal Sicherheitscodes)" kann nicht deaktiviert oder gelöscht werden, solange noch ein anderer Token aktiv ist. So wird sichergestellt, dass Sie sich im Falle des Verlusts der anderen Token selbst helfen können.
Empfehlenswert ist es, die TAN-Liste vorrangig als Backup für das Zurücksetzen verloren gegangener weiterer Token zu nutzen.
Generieren Sie immer eine neue TAN-Liste, bevor Sie den letzten der zehn Einmal Sicherheitscodes verbraucht haben. 

Wenn Sie die MFA-Nutzung komplett deaktivieren wollen, können Sie nach Löschung des letzten Tokens auch den Token "TAN-Liste (Einmal Sicherheitscodes)" löschen.

E-Mail

Tragen Sie die E-Mail-Adresse ein, an die der einmalig gültige Sicherheitscode gesendet werden soll und ergänzen Sie eine selbstgewählte Beschreibung (z.B. "Dienst-E-Mail-Adresse").

 

 Zusatzinformation

Sollte es zu Problemen bei Erstellung oder Nutzung oder Verlust Ihrer Token kommen, wenden Sie sich gerne an das IT-ServiceDesk

zuletzt geändert am 08.08.2023

Wie hat Ihnen dieser Inhalt geholfen?

Creative Commons Lizenzvertrag
Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz
Chat