FAQ zur Multifaktor-Authentifizierung

Allgemeine FAQ zur Multifaktor-Authentifizierung

Was ist die Multifaktor-Authentifizierung?

Neben dem Passwort wird für die Anmeldung ein weiterer Faktor benötigt um mehr Sicherheit bei der Authentifizierung zu gewährleisten.

Ich kann mich nicht mehr anmelden, weil meine Tokens deaktiviert wurden, was ist zu tun?

Bitte vereinbaren Sie per Mail an die Adresse rrze-mfa@fau.de einen Termin mit einem Mitarbeiter des RRZE, um die Tokens wieder zu reaktivieren.

Ich habe ein neues Gerät (im Normalfall: Handy) zur Vergabe von Einmalpasswörtern, was ist zu tun?

Auf jedem neuen Gerät sollte ein neuer Token generiert werden. Falls das alte Gerät nicht mehr verfügbar ist, kein zusätzlicher Token eingerichtet wurde und MFA aktiviert ist, vereinbaren Sie bitte per Mail an die Adresse rrze-mfa@fau.de einen Termin mit einem Mitarbeiter des RRZE, um sich einen Registrierungscode zur Vergabe eines neuen OTP-Tokens ausstellen zu lassen. Bringen Sie zu dem Termin bitte Ihren Ausweis mit.

Ich habe nur einen einzigen Token hinterlegt und diesen verloren. Wie soll ich vorgehen?

Vereinbaren Sie bitte per Mail an die Adresse rrze-mfa@fau.de einen Termin mit einem Mitarbeiter des RRZE, um sich einen Registrierungscode zur Vergabe eines neuen OTP-Tokens ausstellen zu lassen. Bringen Sie zu dem Termin bitte Ihren Ausweis mit. Alternativ können sich berechtigte Personengruppen auch einen YubiKey an einer Service-Theke einrichten lassen.

Abhilfe kann in diesem Fall ein zweiter Token schaffen: In diesem Fall kann auch ohne ein Besuch der Service-Theke das IdM-Portal weiter genutzt werden.

Wie kann ich mir einen zusätzlichen MFA-Token anlegen?

Damit Sie weiterhin alle Dienste nutzen können, die über die Multifaktor-Authentifizierung abgesichert sind, sollten Sie unbedingt mindestens 2 Tokens dafür in Ihrem IDM-Account hinterlegen. Dabei haben Sie die folgenden Optionen:

Ein YubiKey. Diesen erhalten Sie (sofern Sie zu einer empfangsberechtigten Personengruppe gehören) über die für Sie zuständige RRZE Service-Theke. Je Person kann nur 1 YubiKey ausgegeben werden.
Eine Authentisierungs-Anwendung. Empfehlungen des RRZE für verschiedene Betriebssysteme finden Sie unter https://www.anleitungen.rrze.fau.de/serverdienste/multifaktor-authentifizierung/empfehlung-fuer-authentifizierungs-anwendungen/

Wer kann die Multifaktor Authentifizierung nutzen?

Die Multifaktor Authentifizierung können alle aktivierten IdM-Nutzer verwenden.

Welche Art von Tokens werden unterstützt?

Momentan werden zeitbasierte Einmalkennworte (TOTPs) und Yubikeys im Yubico OTP Modus unterstützt.

Welche Dienste kann man mit der Multifaktor Authentifizierung absichern?

Mit der Multifaktor Authentifizierung können momentan das IdM-Portal, Linux-Systeme und der VPN-Zugang (via eduVPN und Cisco Anyconnect) gesichert werden. Weitere Dienste werden folgen.

Wie kann ich die Multifaktor Authentifizierung für das IdM-Portal aktivieren bzw. deaktivieren?

Setzen Sie unter https://www.idm.fau.de/go/settings/mfa den Haken „Multi-Faktor-Authentifizierung für die Webseiten des IdM-Portals (Self service, Anfragen/Aufgaben, Administration, …) aktivieren“

Wie kann ich ein Token erstellen?

Im IdM-Portal kann im Bereich MFA ein Token erstellt werden. Siehe auch Tokenverwaltung.

Was ist der Fehlerzähler?

Bei jedem fehlgeschlagenen Einmalkennwort wird ein Zähler (der Fehlerzähler) inkrementiert.

Was passiert wenn der Fehlerzähler den Maximalwert 50 erreicht?

Beim Erreichen dieses Werts wird der Token deaktiviert und kann nicht mehr verwendet werden.

Wie kann ich den Fehlerzähler zurücksetzen?

Der Fehlerzähler kann im IdM-Portal zurückgesetzt werden.

FAQ zu Time-Based-Onetime-Passwords (TOTPs)

Was ist ein TOTP?

Ein TOTP ist ein zeitbasiertes Einmalkennwort (engl. Time-based One-Time Password TOTP). Es ist der meistgenutzte Software-Token.

Welche Apps empfiehlt das RRZE für zeitbasierte Einmalkennworte?

Eine Übersicht der Empfehlungen für verschiedene Betriebssysteme ist unter Empfehlung für Authentifizierungs Anwendungen zu finden.

FAQ zu vom RRZE erhaltenen YubiKeys

Wie kann ich meinen YubiKey für MFA an der FAU nutzen?

Damit der YubiKey ein OTP (Einmalkennwort) für MFA an der FAU erzeugt, ist ein langes drücken (3,5 Sekunden) der Sensortaste notwendig. Der YubiKey erzeugt daraufhin ein OTP und tippt diesen selbstständig ein.

Ich habe meinen YubiKey verloren. Was soll ich tun?

Wenn Sie Ihren Yubikey verloren haben und Sie noch einen zweiten Token im IdM-Portal angelegt haben, sollten Sie zunächst den verlorenen YubiKey im IdM-Portal deaktivieren und daraufhin unverzüglich den Verlust an rrze-mfa@fau.de melden. Wenn der Yubikey Ihr einziger Token war, schreiben Sie bitte direkt an rrze-mfa@fau.de und lassen den Token sperren.

Damit Sie auch ohne YubiKey weiter arbeiten können, nutzen Sie übergangsweise den für diesen Fall angelegten zusätzlichen Token.

Der YubiKey verfügt über zwei Slots. Bei meinem YubiKey ist nur Slot 1 nutzbar

Der zweite Slot des YubiKey wurde für die MFA Anwendung der FAU programmiert und ist daher nicht nutzbar.

Darf ich den YubiKey beim Ausscheiden aus der FAU behalten?

Leider ist das nicht zulässig. Bitte geben Sie Ihren YubiKey an einer der Service-Theken des RRZE zurück, wenn Sie die FAU verlassen.

Kann ich meinen YubiKey zusammen mit anderen Personen nutzen?

Der YubiKey wurde persönlich an Sie übergeben und darf von Ihnen nicht an andere Personen weitergegeben oder gemeinsam mit diesen genutzt werden werden. Behandeln Sie ihn wie ein persönliches Passwort.

Welche Personengruppen erhalten vom RRZE einen YubiKey für die Multi-Faktor-Authentifizierung?

Jeder Mitarbeiter der FAU ist berechtigt einen YubiKey über eine der RRZE-Servicetheken zu beziehen.