ServiceMehr-Faktor-Authentifizierung (MFA)
Mehr Sicherheit beim Login.
Bei jedem Login wird durch die sogenannte Authentifizierung geprüft, ob das angegebene Konto auch wirklich dem:r anfragenden Nutzer:in gehört. Üblicherweise wird für die Prüfung der Zugangsberechtigung ein Kennwort verwendet, welches im Zusammenhang mit einem Login als Faktor bezeichnet wird. Da ein Kennwort jedoch leicht mit dem Benutzernamen gemeinsam z.B. durch Phishing erbeutet werden kann, bietet dieser Ansatz keinen zeitgemäßen mehr Schutz davor, dass Dritte unberechtigt Zugriff auf das Konto und alle damit verbundenen Daten und Rechte erhalten.
Bei einer Mehr-Faktor-Authentifizierung (MFA) wird die Identität beim Login neben dem Kennwort anhand weiterer, unabhängiger Faktoren geprüft. Hierzu bietet das URZ als zentralen Dienst die MFA Token Self Service-Plattform (mit der Software LinOTP) zum Einrichten weiterer Faktoren für Beschäftigte und Studierende der Universität Heidelberg an. Hier werden mehrere Faktoren zur Auswahl angeboten, welche sich die Nutzer:innen selbst einrichten können.
Wenn Sie bei der Einrichtung Ihrer Token oder bei der Verwendung von MFA am VPN auf Hindernisse stoßen oder Fragen haben, melden Sie sich bitte beim IT-Service per Videocall.
- MFA Token Self Service-Plattform (Zugang beschränkt auf Uni-Netz oder VPN)
- Anleitung: Einrichten eines Android-Smartphones als Software-Token
- Anleitung: Einrichten eines iOS-Smartphones als Software-Token
- Anleitung: KeePassXC als Token einrichten
- Anleitung: Anmeldung Cisco Secure Client - AnyConnect - VPN
- Hilfe per Videocall
Zielgruppe
- Beschäftigte
- Studierende
- Nutzer:innen mit Projektnummer
Nutzen
- Zusätzliche Faktoren sind im Gegensatz zu Kennwörtern nicht nur statische Informationen und können nicht einfach kopiert werden. Hierdurch bietet MFA einen sicheren Login-Prozess für die angebundenen Services und erhöht so den Schutz von Benutzerkonten und -daten
- Faktoren aus verschiedenen Kategorien wie „Wissen“ (z.B. persönliches Kennwort) und „Besitz“ (z.B. ein Smartphone mit Authenticator-App oder ein Hardware-Token) sowie „Inhärenz“ (z.B. biometrische Merkmale wie Gesicht oder Fingerabdruck) verstärken sich gegenseitig und reduzieren so das Risiko von Angriffen deutlich.
- Account-Diebstahl wir stark erschwert und erfordert wesentlich höheren Aufwand. Damit sind die Daten und Rechte aller Nutzer:innen besser geschützt
Zugang und Voraussetzungen
Die Anmeldung bei den angebundenen Services erfolgt in mehreren Schritten:
- mittels persönlicher Uni-ID bzw. Projektnummer und Passwort (erster Faktor – etwas das der:die Nutzer:in „weiß“) sowie
- im zweiten Schritt durch einen zusätzlichen Token (zweiter Faktor – „etwas, das der:die Nutzer:in „hat“).
Als Token wird ein zusätzlicher Gegenstand bezeichnet, den die Nutzer:innen als zweiten Faktor im Besitz haben müssen, dazu zählt z.B. ein Smartphone mit entsprechender Authenticator-App, die zeitbasierte Einmalpasswörter generiert, oder auch ein Hardware-Token. Die auf diese Weise erstellten Einmalpasswörter können dann jeweils beim Login für die durch MFA geschützen Dienste eingegeben werden.
Folgende Voraussetzungen müssen erfüllt sein, um MFA nutzen zu können:
- Es muss eine Uni-ID oder Projektnummer vorhanden sein
- Einrichten zumindest eines weiteren Faktors (z.B. Smartphone mit Authenticator-App) via die MFA Token Self Service-Plattform (Login via Uni-ID oder Projektnummer).
- Die Einrichtung weiterer Faktoren muss aus dem Netzwerk der Universität oder via VPN erfolgen
Standardmäßig werden zur Erstellung von Einmalpasswörtern sog. Software-Token empfohlen, die mittels Smartphone und Authenticator-App erzeugt werden können. Darüber hinaus besteht die Möglichkeit, die Token mit der Software KeePassXC auf einem PC oder Mac zu erstellen, soweit kein Smartphone/Tablet-PC zur Verfügung steht.
Neben softwarebasierten Token können auch Hardware-Token eingesetzt werden. Alle Einrichtungen haben daher die Möglichkeit, eigene Hardware-Token dezentral zu beschaffen, wobei das URZ bestimmte Hersteller und Geräte empfiehlt. Eine Liste der geprüften Token finden Sie in den FAQ.
Häufig gestellte Fragen
Tabellenfilter
Tabelle
| Frage | Antwort |
|---|
| Frage | Antwort | |
|---|---|---|
Ich bin nicht in Heidelberg, habe aber noch kein Token eingerichtet. Was kann ich tun? | Bitte melden Sie sich beim Video-Call-Service des URZ, um sich mit den Kollegen sicher ein Token einzurichten: https://www.urz.uni-heidelberg.de/de/newsroom/it-service-bietet-beratung-per-videocall | |
Wie viele Faktoren sollte ich einrichten? | Wir empfehlen, zwei verschiedene Token (z.B. Smartphone und PC) einzurichten. Damit haben Sie im Falle des Verlustes eines der Token weiterhin selbstständig Zugriff auf die Self Service Plattform und können den verlorenen Token löschen und sich einen neuen Token einrichten. | |
Empfehlen wir die Nutzung einer App auf dem Smartphone als Faktor? | Ja, hierbei handelt es sich um einen sicheren Faktor. Konkrete Vorschläge hierfür finden Sie in den Anleitungen. | |
Wenn kein Smartphone zur Verfügung steht, kann auch über eine Software am PC ein Token eingerichtet werden? | Ja, es besteht die Möglichkeit, die Token mit der Software KeePassXC auf einem PC oder Mac zu erstellen, soweit kein Smartphone/Tablet-PC zur Verfügung steht. Diese Möglichkeit schmälert den Nutzen von MFA gegenüber dem Hauptrisiko - das Phishing von Accountdaten - in keiner Weise. Natürlich besteht die Möglichkeit, dass das genutzte Endgerät kompromittiert wurde und damit Zugriff auf das Token gewährt ist: In diesem Fall kann jedoch auch die Eingabe eines Hardware-Tokens ausgelesen werden. Erst das wesentlich komplexere FIDO2 kann diesen Angriffsvektor abschwächen. | |
Was bedeutet OTP bzw. TOTP? | OTP steht für one-time password und bedeutet Einmalkennwort. TOTP steht für time-based one-time password und bedeutet zeitbasiertes Einmalkennwort. | |
Welche Faktoren werden unterstützt? | Zu Beginn werden zeitbasierte Einmalkennwörter (TOTP) auf einem Handy oder als Hardware-Token sowie Yubikeys unterstützt. Bei der MFA Token Self Service-Plattform wird die Software LinOTP eingesetzt . Diese unterstützt eine Vielzahl an Tokens. Bei den meisten Einsatzzwecken können jedoch nur die Text- und nicht Protokoll-basierten Verfahren eingesetzt werden. Wir empfehlen daher TOTP oder HOTP nach dem Standard RFC 6238, was eigentlich fast alle Token auf dem Markt mit einschließt. FIDO2 könnte nach einiger Zeit hinzu kommen, werden wir jedoch zum Start nicht unterstützen können. | |
Wie verbinde ich mich via openconnect mit dem VPN? | Auf der Kommandozeile: sudo openconnect vpn-ac.uni-heidelberg.de/2fa --useragent='AnyConnect' Im Network Manager geben Sie bitte den Gateway 'vpn-ac.uni-heidelberg.de/2fa' sowie die Programmkennung 'AnyConnect' an. Dabei sollte die Komponente Network Manager Openconnect in der Version 1.2.10 oder höher genutzt werden. | |
Wie kann ich mich auf der Token Self Service-Plattform anmelden? | Der Login auf der Token Self Service-Plattform ist nur vor der Einrichtung eines Tokens ohne einen zweiten Faktor möglich. Sobald ein Token eingerichtet ist, können Sie sich nur noch mit diesem zweiten Faktor anmelden. Stellen Sie deshalb sicher, dass Sie die Einrichtung vollständig abschließen oder ein teilweise eingerichtetes Token vor dem Abmelden an der Plattform wieder löschen. Ansonsten können Sie sich dort ohne Hilfe des IT-Service nicht mehr anmelden. | |
Wie können Hardware-Token beschafft werden? | Neben softwarebasierten Token können auch Hardware-Token eingesetzt werden. Alle Einrichtungen haben daher die Möglichkeit, eigene Hardware-Token dezentral zu beschaffen. Die Beschaffung muss unter Einhaltung des Beschaffungshandbuchs erfolgen. Ein landesweiter Rahmenvertrag für Hardware-Tokens wird aktuell angestrebt. Das URZ empfiehlt derzeit folgendes Token:
Bitte kontaktieren Sie bei Beratungsbedarf it-sicherheit@urz.uni-heidelberg.de | |
Ich habe für meine Einrichtung Hardware-Tokens beschafft. Wie verfahre ich weiter? | Bitte folgen Sie dieser Anleitung: https://www.urz.uni-heidelberg.de/de/anleitung-import-von-instituts-token |