AnleitungKeePassXC als Token einrichten
Diese Anleitung beschreibt, wie Sie mit KeePassXC Ihre Workstations als Software-Token zur Mehr-Faktor-Authentifizierung einsetzen können.
KeePassXC ist eine frei verfügbare Passwort-Manager-Software, die jeder nutzen kann. Diese Anleitung geht davon aus, dass Sie KeePassXC bereits eingerichtet haben.
Sollten KeePassXC noch nicht installiert sein, führen Sie bitte zuerst die rechts verlinkte Anleitung hierzu aus.
Die Mehr Faktor-Authentifizierung (MFA) wird in 3 Schritten durchgeführt, die gemeinsam Ihre Logins bei allen unterstützten Diensten von jetzt an absichern.
- Beim ersten Schritt auf der Token Self Service-Plattform LinOTP, dem Web-Dienst zur Verwaltung der eigenen Tokens für die Nutzung an Universitätsdiensten, ein Token erstellt. Die Token Self Service-Plattform LinOTP ist unter der verlinkten Seite rund um die Uhr aus dem Universitätsnetz oder über VPN erreichbar.
- Im zweiten Schritt richtet man dieses Token in KeePassXC ein. KeePassXC generiert nach der Einrichtung Einmalkennwörter für jeden Login. Damit ist sichergestellt, dass sich nur Personen, die neben den üblichen Anmeldedaten auch Zugriff auf das Zweitgerät haben, an den MFA-fähigen Diensten anmelden können.
- Während die ersten beiden Schritte pro Gerät nur ein Mal ausgeführt werden, wird der dritte Schritt (die Anmeldung an einem MFA-fähigen Dienst) viele Male durchgeführt. Zunächst wird das VPN der Universität unterstützt. Weitere Dienste werden folgen. Detaillierte Anleitungen zur Nutzung von MFA im jeweiligen Dienst finden Sie in den Service-Katalog-Einträgen der betreffenden Dienste.
Video-Tutorial
Ergänzend zu dieser Anleitung können Sie sich das Video-Tutorial ansehen, das in Kürze die Token-Einrichtung zeigt. Wir empfehlen, zusätzlich die Anleitung in Textform zu lesen, da diese ausführlichere Informationen enthält.
Token erstellen
1. Öffnen Sie die MFA Token Self Service-Plattform in einem Browser auf einem vertrauenswürdigen Gerät.
Loggen Sie sich mit Ihren regulären universitären Zugangsdaten ein. Dabei sollten Sie vor der Eingabe Ihrer Daten die Domain sowie das Schild-Symbol daneben prüfen, um sicherzustellen, dass alle übermittelten Daten auch wirklich mit unserer MFA-Lösung ausgetauscht werden.
Klicken Sie unter „Soft-Token (zeitbasiert)“ auf "Einrichten".
Im sich öffnenden Fenster können Sie unten bei „Token-Beschreibung“ einen Name vergeben (z.B. „Arbeitscomputer“ oder "Privater PC"). Bitte klicken Sie anschließend auf „Weiter“.
Klicken Sie in Ihrem Browser unter dem QR-Code auf "Tokendetails einblenden", um den geheimen Schlüssel für KeePassXC einzusehen.
Bitte klicken Sie nicht auf „Weiter“, bis KeePassXC erfolgreich eingerichtet ist!
Wählen Sie den Schlüssel im sich öffnenden Textfeld aus. Ein Doppelklick auf die Zeichenkette zwischen “secret=” und “&issuer=” markiert diese komfortabel. Kopieren Sie den Schlüssel in Ihre Zwischenablage.
Token in KeePassXC einrichten
Wechseln Sie nun in die Anwendung KeePassXC. Hier erweitern Sie einen bereits eingerichteten Eintrag um die Information zur Mehr-Faktor-Authentifizierung, indem Sie auf den Eintrag mit der rechten Maustaste klicken. Im erscheinenden Kontext-Menü wählen Sie bitte "TOTP" und dann "TOTP einrichten..." aus.
Fügen Sie im sich öffnenden Dialog den Schlüssel in das Feld des geheimen Schlüssels ein und bestätigen Sie den Dialog mit "OK".
Vor Ihrem Eintrag erscheint nun ein Uhren-Symbol und bestätigt damit die korrekte Einrichtung von KeePassXC als Token.
Sie können Sich jederzeit Ihr gerade aktuelles MFA-Token-Einmalkennwort anzeigen lassen, indem Sie mit der rechten Maustaste auf den Eintrag klicken und dort "TOTP" und dann "TOTP anzeigen" wählen.
Die hier angezeigte Zahl ist das jeweils gültige Einmalkennwort als zweiter Faktor zur Anmeldung an allen MFA-fähigen Diensten der Universität.
Token testen
Zurück auf der Self-Service Plattform können Sie nun auf „Weiter“ klicken und es erscheint die Bestätigung der Einrichtung des Tokens. Mit Klick auf „Testen“ fahren Sie zum Test fort.
Im sich öffnenden Dialog geben Sie bitte das gerade aktuelle Einmalkennwort aus Ihrem Token ein und drücken Sie auf „Absenden“.
Nun wird Ihnen angezeigt, ob Ihr Test erfolgreich war.
Test erfolgreich
Richten Sie nun nach Möglichkeit einen zweiten Token (z.B. Adroid- oder iOS-Gerät) ein oder loggen Sie sich von der Plattform ab.
Sie können MFA nun in allen kompatiblen Anwendungen nutzen. Konkrete Hilfestellungen hierzu finden Sie in den Anleitungen der entsprechenden Dienste.
Test nicht erfolgreich
Sollte der Test nicht erfolgreich gewesen sein, versuchen Sie es bitte direkt noch einmal. Falls dieser Test auch nicht erfolgreich sein sollte, löschen Sie bitte das Token umgehend durch Klick auf die drei Punkte in der Übersicht und anschließend auf „Löschen“.
Melden Sie sich bitte in diesem Fall bei Ihrem IT-Beauftragten oder dem IT-Service.
Auto-Type (optional)
Wenn Sie den Token auch automatisch in Anmeldefelder einfügen lassen möchten, bearbeiten Sie bitte den entsprechenden Eintrag und wählen in der Sektion “Auto-Type” unten in der Mitte "+", um eine neue Zuordnung hinzuzufügen.
Wählen Sie jetzt rechts den Fenstertitel, also den Namen des Fensters, in dem Benutzername, Kennwort und Token eingegeben werden sollen. Im Beispiel soll Auto-Type für die Anmeldung an der MFA Self-Service Plattform LinOTP erfolgen, weshalb das Browserfenster "Token Self Service - LinOTP - Mozilla Firefox" ausgewählt ist. Als Auto-Type Sequenz kann hier angegeben werden:
{USERNAME}{TAB}{PASSWORD}{ENTER}{DELAY 1000}{TOTP}{ENTER}
Das Ausführen des Auto-Types, wenn das Fenster aktiv ist, führt nun dazu, dass Benutzername und Kennwort im ersten Fenster eingegeben werden und nach einer kurzen Pause das TOTP-basiert MFA-Token im zweiten Fenster automatisch eingegeben wird, woraufhin man eingeloggt ist.
Falls Sie mehrere Token einsetzen, können Sie wie folgt in der Token Übersicht zum korrekten Token wechseln:
{USERNAME}{TAB}{PASSWORD}{ENTER}{DELAY 1000}{DOWN}{ENTER}{DELAY 1000}{TOTP}{ENTER}
Bitte wiederholen Sie „{DOWN}“ so oft wie nötig, um das richtige Token auszuwählen.
