Yubico OTP aktivieren:
Für die Nutzung eines YubiKeys für die Multifaktor-Authentifizierung an der FAU muss zunächst Yubico OTP auf dem YubiKey aktiviert bzw. auf einen der zwei Slots programmiert werden. Hierzu muss der YubiKey Manager heruntergeladen und installiert werden. Nachdem das Programm gestartet wurde, muss unter Applications der Menüpunkt „OTP“ aufgerufen werden.
Anschließend muss der Slot, der genutzt werden soll, ausgewählt werden. Der Slot 1 meistens mit einer Anwendung vorbelegt ist, empfiehlt das RRZE Slot 2 (rot markiert) zu nutzen. Die Anwendung auf Slot 2 (hier Yubico OTP) wird über ein langes Drücken (Long Touch) aktiviert und generiert ein OTP.
Falls es sich bei dem YubiKey um einen vom RRZE ausgegebenen Hardware Token handelt, ist der zweite Slot für die MFA Anwendung an der FAU reserviert und gesperrt. In diesem Fall sollte der Slot 1 (gelb markiert) genutzt werden.
Im nächsten Dialog wird Yubico OTP ausgewählt und auf Next geklickt.
Im letzten Schritt werden Public ID, Private ID und Secret Key generiert und mit dem Button „Finish“ auf den YubiKey geschrieben. Die Public ID kann aus der Seriennummer generiert werden hierzu wird „Use serial“ ausgewählt. Die Public ID (blau markiert) und der Secret Key (grün markiert) werden für die Anlage des Tokens im IdM-Portal benötigt und sollten hierzu kopiert werden. Letztendlich kann mit „Finish“ die Yubico OTP Anwendung geschrieben werden. Die Auswahlbox „Upload“ sollte nicht ausgewählt werden, damit kein Upload dieser sensiben Daten in die Yubico-Cloud erfolgt.
Generierung:
Um einen neuen Hardware-Token über das IdM-Portal zu erstellen, muss im MFA-Bereich des IdM-Selfservice die Option „YubiKey hinzufügen“ gewählt werden.
Für die Erstellung eines neuen Tokens wird zunächst eine Beschreibung für diesen Token angegeben, die später für die Identifikation des Tokens sinnvoll ist. Im Feld Public ID (blau markiert) wird der Wert der im vorherigen Schritt mittels des YubiKey Managers generiert wurde eingetragen, das gleiche gilt für den Secret Key (grün markiert). Zur Überprüfung des generierten Tokens muss noch im gelb markierten Feld ein OTP eingegeben werden. Hierzu wird der im vorherigen Schritt programierte YubiKey eingesteckt, das Feld ausgewählt und durch langes Drücken ein OTP generiert, welches automatisch im Eingabefeld eingetippt wird.
Durch das lange Drücken des YubiKeys werden nach der Eingabe des OTPs die Formulardaten automatisch abgesendet.
Löschen:
Hardware-Tokens können genauso wie Software-Tokens im MFA Bereich des IdM-Selfservice gelöscht werden.
Das Löschen wird mit einem One-Time-Password bestätigt. Der letzte Token kann nur gelöscht werden, wenn die Multifaktor-Authentifizierung für den IdM-Zugang deaktiviert ist.
Fehlerzähler zurücksetzen:
Eine weitere Funktion im Bereich Multifaktor-Authentifizierung ist das Zurücksetzen des Fehlerzählers eines Tokens. Bei einer fehlgeschlagenen OTP-Validierung wird der Fehlerzähler hochgesetzt. Es erfolgt eine E-Mail-Benachrichtigung über einen fehlgeschlagenen Versuch. Wenn der Fehlerzähler den Wert 50 erreicht wird der Token gesperrt. In diesem Fall erfolgt das Entsperren über unsere Service-Theken.
YubiKeys sollten nicht im Rechner Stecken gelassen werden, im Idealfall sind YubiKeys immer mitzunehemen z. B. am Schlüsselbund. Der Secret Key sollte nach der Anlage des Tokens im IdM-Portal nicht mehr in Textform gespeichert werden, bei Bedarf sollte immer ein neuer Secret Key generiert werden.