Unter Multifaktor-Authentifizierung (MFA) versteht man ein Verfahren, bei dem Nutzende den Login über ein separates Medium/Gerät bestätigen müssen.

Dies erhöht die Sicherheit und kann Nutzende, bei Verlust der Zugangsdaten, vor Datenmissbrauch schützen.

Der RWTH Single Sign-On unterstützt als MFA eine Zwei-Faktor-Authentifizierung. Der zweite Faktor wird über Token realisiert.

Jeder Serviceprovider (also Webservices, die den RWTH Single Sign-On verwenden) entscheiden dabei selbstständig, ob für den Login ein zweiter Faktor vorausgesetzt wird, oder nicht.

Der Login ist, wie beim Single Sign-On üblich, für eine gesamte Browser-Session und den darin aufgerufenen Services gültig.

Welche Tokenarten werden unterstützt?

Aktuell werden 3 Tokenarten unterstützt.

• Der Einmal Sicherheitscode beinhaltet eine Liste an Codes, welche als zweiter Faktor abgefragt werden. Die einzelnen Sicherheitscodes sind nach der Benutzung verbraucht und können nicht erneut verwendet werden. Diese Liste muss für die Nutzung von MFA eingerichtet und separat abgespeichert werden. Die Einmal Sicherheitscodes dienen auch als Fallback Lösung, falls andere Token nicht mehr nutzbar sind (z.B.: Verlust des Gerätes oder Mail-Adresse). Daher ist der Einmal Sicherheitscode Token zwingend erforderlich, um die weiteren Tokenarten nutzen zu können.

• Bei Nutzung des E-Mail-Tokens wird Ihnen bei dem Login ein einmalig gültiger Sicherheitscode zugesandt.

• Bei dem Zeitbasierten Sicherheitscode (TOTP - Time-based One-time Password) Token wird eine entsprechende App benötigt, mit jener der Token verknüpft wird. Anschließend werden mithilfe dieser App kontinuierlich Sicherheitscodes generiert. Hier ist zu beachten, dass unterschiedliche TOTP-Apps unterschiedliche Sicherheitscode-Zeichenlängen und Hash-Algorithmen unterstützen.

Login über MFA

Sie können nach dem Login über den RWTH Single Sign-On wählen, welcher Token als zweiter Faktor verwendet werden soll.

Hierfür müssen Sie die entsprechenden Token vorab angelegt haben.