Logo Universit?t Bremen, zurück zur StartseiteZfN
Zentrum für Netze (ZfN)

Zwei-Faktor-Authentifizierung

Grundlegendes

Die Universit?t, wie auch viele andere Organisationen, hat ein gro?es Problem mit dem sogenannten Phishing. Durch geschickt gef?lschte E-Mails oder Telefonanrufe gelangen universit?re Zugangsdaten in die H?nde von Kriminellen und werden in gro?em Stil für Kleinkriminalit?t, Datenspionage und Sabotage missbraucht. Deshalb hat sich die Universit?t entschlossen, neben verst?rkten Schulungen der Mitarbeiter auf die schrittweise Einführung der sogenannten Zwei-Faktor-Authentifizierung zu setzen.

Bei der Authentifizierung (Anmeldung) mit einem zweiten Faktor wird zus?tzlich zum Benutzernamen und dem Passwort ein weiterer Faktor abgeprüft, um Ihre Identit?t zu verifizieren. Dieser zweite Faktor kann beispielsweise ein durch eine Smartphone-Anwendung erzeugter Zahlencode oder auch ein Hardware-Token (?hnlich einem USB-Stick) sein. Der Vorteil ist: Dieser zweite Faktor kann nicht ohne weiteres im Rahmen eines Phishings unbedarft an einen Kriminellen weitergegeben werden, sondern ist fest an den Besitz einer Hardware (Smartphone oder Hardware-Token) gebunden.

Aus organisatorischen Gründen und nach sorgf?ltiger Abw?gung von Sicherheit und Usability hat sich die Universit?t zun?chst für ein einfaches, kostengünstiges, und weit verbreitetes Verfahren namens TOTP (Time-based One Time Password) mit einem von einer App erzeugten Zahlencode entschieden. Sie kennen dieses Verfahren vielleicht von anderen gro?en Diensteanbietern im Internet - beispielsweise Amazon oder Paypal.

Die Nutzung der Zwei-Faktor-Authentifizierung ist freiwillig. Wenn Sie das Verfahren nicht nutzen wollen, ver?ndert sich für Sie nichts und Sie melden sich weiterhin wie gewohnt nur mit Ihrem Usernamen und Passwort bei den universit?ren Diensten an.

Registrierung einer App/Token

Wollen Sie die Zwei-Faktor-Authentifizierung nutzen, müssen Sie z.B. eine entsprechende App auf einem Smartphone installieren und dieses anschlie?end im Self-Service im universit?ren System registrieren - ein sehr einfaches Verfahren. Nach der Registrierung müssen Sie, wenn Sie sich bei einem Dienst anmelden, der bereits umgestellt wurde, zus?tzlich zu Usernamen und Passwort einen durch die App erzeugten Zahlencode eingeben, der alle 30 Sekunden wechselt.

Schritt 1: Installation einer TOTP-f?higen App

Im ersten Schritt installieren Sie auf einem Smartphone eine TOTP-f?hige App. Da das Verfahren sehr einfach ist, gibt es eine Vielzahl derartiger Anwendungen, die Sie einfach aus Ihrem pr?ferierten Appstore herunterladen k?nnen. Verbreitet sind etwa Aegis und FreeOTP. Sie müssen keine Bedenken bzgl. des Datenschutzes haben. Diese Apps speichern keine Informationen in der Cloud - sie ben?tigen keinen Netzwerkzugriff.

Alternativ k?nnen auch einige Desktop-Anwendungen, etwa der Passwort-Manager KeepassXC, TOTP-Zug?nge verwalten. Die Nutzung von Hardware-TOTP-Generatoren ist grunds?tzlich m?glich - da diese Ger?te aber Probleme mit der notwendigen pr?zisen Uhrzeit haben, empfehlen wir die Nutzung eines Smartphones.

Schritt 2: Registrierung Ihres Smartphones

Nachdem Sie die Anwendung installiert haben, gehen Sie in die Onlinetools und rufen Sie dort die Seite 'Zwei-Faktor-Authentifizierung' auf. W?hlen Sie dort den Punkt 'TOTP-Token hinzufügen'.  Auf der folgenden Seite sehen Sie einen QR-Code, den Sie mit der zuvor installierten App einscannen. Damit ist die Registrierung auch schon abgeschlossen.

 

Token verloren?

Haben Sie keinen Zugriff auf die Zugangscodes 澳门皇冠_皇冠足球比分-劲爆体育, beispielsweise weil Ihr Smartphone gestohlen wurde oder kaputtgegegangen ist, k?nnen Sie sich bei Diensten, die mit einem zweiten Faktor abgesichert sind, nicht 澳门皇冠_皇冠足球比分-劲爆体育 anmelden und müssen einen vergleichsweise umst?ndlichen Prozess starten, um Ihren Zugang zurückzusetzen.

Deshalb ist es empfehlenswert, wenn m?glich zwei Ger?te wie oben erl?utert zu registrieren. Geht eines der Ger?te verloren, k?nnen Sie sich mit dem zweiten Ger?t anmelden, den Zugang über das verlorene Ger?t sperren und unterbrechungsfrei weiter arbeiten.

Ist kein zweites Ger?t vorhanden, müssen Sie Ihren Zugang zurücksetzen, in dem Sie Ihr Passwort zurücksetzen. Das Zurücksetzen des Passworts erlaubt es Ihnen zus?tzlich, sich mit einem tempor?ren Zugangscode anzumelden. So k?nnen Sie dann auf Ihre Einstellungen zugreifen und entsprechend neue Token hinzufügen.

Unterstützte Dienste

Die Dienstangebote der Universit?t werden nach M?glichkeit nach und nach um die Authentifizierung mit einem zweiten Faktor erg?nzt. Bereits umgestellt sind (ohne Anspruch auf Vollst?ndigkeit):

  • Alle über den zentralen Single-Sign-On (Shibboleth) abgesicherten Dienste. Dies umfasst beispielsweise Nextcloud und das zentrale Self-Service-Portal (Onlinetools), aber auch alle externen Angebote im Rahmen der DFN-AAI (beispielsweise Verlagszug?nge).

In naher Zukunft werden die folgenden Dienste ebenfalls mit dem zweiten Faktor abgesichert:

  • Stud.IP (Umstellung auf Shibboleth)
  • VPN
  • Webmail

Dienste, bei denen die Anmeldung automatisiert durch ein zugreifendes Programm erfolgt (beispielsweise E-Mail) sind prinzipbedingt schwieriger mit einem zweiten Faktor zu versehen. Diese werden wir zu einem sp?teren Zeitpunkt erg?nzen.

Selbstverst?ndlich k?nnen Sie Dienste, die 2FA noch nicht unterstützen, auch nach der Registrierung für den zweiten Faktor weiter nutzen - der zweite Faktor wird bei diesen Angeboten ignoriert und die Anmeldung erfolgt unver?ndert nur mit Benutzername und Passwort.

Sie sind Betreiber eines eigenen Dienstes an der Universit?t und m?chten die zentralen Authentifizierungsdienste (und damit auch 2FA) nutzen? Der beste Weg dorthin ist stark von Ihrer Anwendung abh?ngig. Idealerweise unterstützt Ihr Dienst entweder OpenId Connect (OIDC) oder SAML und kann daher per OpenId bzw. Shibboleth angebunden werden. Kontaktieren Sie uns unter campusserverprotect me ?!uni-bremenprotect me ?!.de, um die optimale L?sung zu finden und das weitere Vorgehen abzusprechen.

Datenschutz

Für das Verfahren werden keinerlei zus?tzliche pers?nliche Daten gespeichert.

Im Rahmen der Registrierung wird eine zuf?llige Zeichenfolge (sog. Shared Secret) erzeugt und sowohl in Ihrer Smartphone-App als auch in der zentralen Nutzerdatenbank gespeichert. Aus der Verknüpfung dieses Shared Secret und der aktuellen Uhrzeit erzeugt ein mathematisches Verfahren den von Ihnen bei der Anmeldung einzugebenden Zahlencode.

Aus der Nutzung ergeben sich keine zus?tzlichen ?berwachungsm?glichkeiten.

Aktualisiert von: Campusserver-Team
RSS
Seite drucken