FAQ zur Multifaktor-Authentifizierung

Allgemeine FAQ zur Multifaktor-Authentifizierung

Neben dem Passwort wird für die Anmeldung ein weiterer Faktor benötigt um mehr Sicherheit bei der Authentifizierung zu gewährleisten.

An der Service-Theke können RRZE-Mitarbeiter die Fehlerzähler zurücksetzen und Tokens wieder aktivieren.

Auf jedem neuen Gerät sollte ein neuer Token generiert werden. Falls das alte Gerät nicht mehr verfügbar ist, kein zusätzlicher Token eingerichtet wurde und MFA aktiviert ist, bleibt nur der Weg mit einem Ausweis zur Service-Theke.

Gehen Sie mit einem Ausweis an eine der Service-Theken (https://www.rrze.fau.de/infocenter/kontakt-hilfe/service-theken/) und lassen Sie dort MFA deaktivieren. Dann ist eine Anmeldung ohne Einmalkennwort möglich. Nun kann ein neuer Token generiert werden und MFA wieder aktiviert werden.

Bitte beachten Sie, dass durch die MFA Deaktivierung ggfs. administrative Kennungen, die zwingend MFA voraussetzen auslaufen und im Anschluss durch Sie neu beantragt werden müssen.

Daher empfehlen wir Ihnen dringend, immer einen zweiten Token (z. B. TOTP) einzurichten, um diese Situation zu vermeiden.

Damit Sie weiterhin alle Dienste nutzen können, die über die Multifaktor-Authentifizierung abgesichert sind, sollten Sie unbedingt mindestens 2 Tokens dafür in Ihrem IDM-Account hinterlegen. Dabei haben Sie die folgenden Optionen:

  1. Ein YubiKey. Diesen erhalten Sie (sofern Sie zu einer empfangsberechtigten Personengruppe gehören) über die für Sie zuständige RRZE Service-Theke. Je Person kann nur 1 YubiKey ausgegeben werden.
  2. Eine Authentisierungs-Anwendung. Empfehlungen des RRZE für verschiedene Betriebssysteme finden Sie unter https://www.anleitungen.rrze.fau.de/serverdienste/multifaktor-authentifizierung/empfehlung-fuer-authentifizierungs-anwendungen/

Die Multifaktor Authentifizierung können alle aktivierten IdM-Nutzer verwenden.

Momentan werden zeitbasierte Einmalkennworte (TOTPs) und Yubikeys im Yubico OTP Modus unterstützt.

Mit der Multifaktor Authentifizierung können momentan das IdM-Portal, Linux-Systeme und der VPN-Zugang (via eduVPN und Cisco Anyconnect) gesichert werden. Weitere Dienste werden folgen.

Setzen Sie unter https://www.idm.fau.de/go/settings/mfa den Haken „Multi-Faktor-Authentifizierung für die Webseiten des IdM-Portals (Self service, Anfragen/Aufgaben, Administration, …) aktivieren“

Im IdM-Portal kann im Bereich MFA ein Token erstellt werden. Siehe auch Tokenverwaltung.

Bei jedem fehlgeschlagenen Einmalkennwort wird ein Zähler (der Fehlerzähler) inkrementiert.

Beim Erreichen dieses Werts wird der Token deaktiviert und kann nicht mehr verwendet werden.

Der Fehlerzähler kann im IdM-Portal zurückgesetzt werden.

Was ist die Multifaktor-Authentifizierung?
Neben dem Passwort wird für die Anmeldung ein weiterer Faktor benötigt um mehr Sicherheit bei der Authentifizierung zu gewährleisten.
Ich kann mich nicht mehr anmelden, weil meine Tokens deaktiviert wurden, was ist zu tun?
An der Service-Theke können RRZE-Mitarbeiter die Fehlerzähler zurücksetzen und Tokens wieder aktivieren.
Ich habe ein neues Gerät (im Normalfall: Handy) zur Vergabe von Einmalpasswörtern, was ist zu tun?
Auf jedem neuen Gerät sollte ein neuer Token generiert werden. Falls das alte Gerät nicht mehr verfügbar ist, kein zusätzlicher Token eingerichtet wurde und MFA aktiviert ist, bleibt nur der Weg mit einem Ausweis zur Service-Theke.
Ich habe nur einen einzigen Token hinterlegt und diesen verloren. Wie soll ich vorgehen?
Gehen Sie mit einem Ausweis an eine der Service-Theken (https://www.rrze.fau.de/infocenter/kontakt-hilfe/service-theken/) und lassen Sie dort MFA deaktivieren. Dann ist eine Anmeldung ohne Einmalkennwort möglich. Nun kann ein neuer Token generiert werden und MFA wieder aktiviert werden. Bitte beachten Sie, dass durch die MFA Deaktivierung ggfs. administrative Kennungen, die zwingend MFA voraussetzen auslaufen und im Anschluss durch Sie neu beantragt werden müssen. Daher empfehlen wir Ihnen dringend, immer einen zweiten Token (z. B. TOTP) einzurichten, um diese Situation zu vermeiden.
Wie kann ich mir einen zusätzlichen MFA-Token anlegen?
Damit Sie weiterhin alle Dienste nutzen können, die über die Multifaktor-Authentifizierung abgesichert sind, sollten Sie unbedingt mindestens 2 Tokens dafür in Ihrem IDM-Account hinterlegen. Dabei haben Sie die folgenden Optionen: Ein YubiKey. Diesen erhalten Sie (sofern Sie zu einer empfangsberechtigten Personengruppe gehören) über die für Sie zuständige RRZE Service-Theke. Je Person kann nur 1 YubiKey ausgegeben werden. Eine Authentisierungs-Anwendung. Empfehlungen des RRZE für verschiedene Betriebssysteme finden Sie unter https://www.anleitungen.rrze.fau.de/serverdienste/multifaktor-authentifizierung/empfehlung-fuer-authentifizierungs-anwendungen/
Wer kann die Multifaktor Authentifizierung nutzen?
Die Multifaktor Authentifizierung können alle aktivierten IdM-Nutzer verwenden.
Welche Art von Tokens werden unterstützt?
Momentan werden zeitbasierte Einmalkennworte (TOTPs) und Yubikeys im Yubico OTP Modus unterstützt.
Welche Dienste kann man mit der Multifaktor Authentifizierung absichern?
Mit der Multifaktor Authentifizierung können momentan das IdM-Portal, Linux-Systeme und der VPN-Zugang (via eduVPN und Cisco Anyconnect) gesichert werden. Weitere Dienste werden folgen.
Wie kann ich die Multifaktor Authentifizierung für das IdM-Portal aktivieren bzw. deaktivieren?
Setzen Sie unter https://www.idm.fau.de/go/settings/mfa den Haken „Multi-Faktor-Authentifizierung für die Webseiten des IdM-Portals (Self service, Anfragen/Aufgaben, Administration, …) aktivieren“
Wie kann ich ein Token erstellen?
Im IdM-Portal kann im Bereich MFA ein Token erstellt werden. Siehe auch Tokenverwaltung.
Was ist der Fehlerzähler?
Bei jedem fehlgeschlagenen Einmalkennwort wird ein Zähler (der Fehlerzähler) inkrementiert.
Was passiert wenn der Fehlerzähler den Maximalwert 50 erreicht?
Beim Erreichen dieses Werts wird der Token deaktiviert und kann nicht mehr verwendet werden.
Wie kann ich den Fehlerzähler zurücksetzen?
Der Fehlerzähler kann im IdM-Portal zurückgesetzt werden.

FAQ zu Time-Based-Onetime-Passwords (TOTPs)

Ein TOTP ist ein zeitbasiertes Einmalkennwort (engl. Time-based One-Time Password TOTP). Es ist der meistgenutzte Software-Token.

Eine Übersicht der Empfehlungen für verschiedene Betriebssysteme ist unter Empfehlung für Authentifizierungs Anwendungen zu finden.

Was ist ein TOTP?
Ein TOTP ist ein zeitbasiertes Einmalkennwort (engl. Time-based One-Time Password TOTP). Es ist der meistgenutzte Software-Token.
Welche Apps empfiehlt das RRZE für zeitbasierte Einmalkennworte?
Eine Übersicht der Empfehlungen für verschiedene Betriebssysteme ist unter Empfehlung für Authentifizierungs Anwendungen zu finden.

FAQ zu vom RRZE erhaltenen YubiKeys

Damit der YubiKey ein OTP (Einmalkennwort) für MFA an der FAU erzeugt, ist ein langes drücken (3,5 Sekunden) der Sensortaste notwendig. Der YubiKey erzeugt daraufhin ein OTP und tippt diesen selbstständig ein.

Falls Sie zusätzlich zum YubiKey noch einen zweiten Token (z. B. TOTP) im IdM-Portal angelegt haben, deaktivieren Sie den YubiKey bitte im IdM-Portal unter https://www.idm.fau.de/go/settings/mfa (auf das Zahnrad neben dem hinterlegen YubiKey klicken und „Löschen“ auswählen) und suchen Sie danach eine Service-Theke des RRZE auf (https://www.rrze.fau.de/infocenter/kontakt-hilfe/service-theken/).

Bitte bringen Sie ein Ausweisdokument mit. Damit Sie zwischenzeitlich auch ohne YubiKey weiterarbeiten können, nutzen Sie übergangsweise den für diesen Fall angelegten zusätzlichen Token.

Wenn kein zweiter Token verfügbar ist, gehen Sie bitte „Ich habe nur einen einzigen Token hinterlegt und diesen verloren. Wie soll ich vorgehen?“ beschrieben vor.

Der zweite Slot des YubiKey wurde für die MFA Anwendung der FAU programmiert und ist daher nicht nutzbar.

Leider ist das nicht zulässig. Bitte geben Sie Ihren YubiKey an einer der Service-Theken des RRZE zurück, wenn Sie die FAU verlassen.

Der YubiKey wurde persönlich an Sie übergeben und darf von Ihnen nicht an andere Personen weitergegeben oder gemeinsam mit diesen genutzt werden werden. Behandeln Sie ihn wie ein persönliches Passwort.

Jeder Mitarbeiter der FAU ist berechtigt einen YubiKey über eine der RRZE-Servicetheken zu beziehen.

Wie kann ich meinen YubiKey für MFA an der FAU nutzen?
Damit der YubiKey ein OTP (Einmalkennwort) für MFA an der FAU erzeugt, ist ein langes drücken (3,5 Sekunden) der Sensortaste notwendig. Der YubiKey erzeugt daraufhin ein OTP und tippt diesen selbstständig ein.
Ich habe meinen YubiKey verloren. Was soll ich tun?
Falls Sie zusätzlich zum YubiKey noch einen zweiten Token (z. B. TOTP) im IdM-Portal angelegt haben, deaktivieren Sie den YubiKey bitte im IdM-Portal unter https://www.idm.fau.de/go/settings/mfa (auf das Zahnrad neben dem hinterlegen YubiKey klicken und „Löschen“ auswählen) und suchen Sie danach eine Service-Theke des RRZE auf (https://www.rrze.fau.de/infocenter/kontakt-hilfe/service-theken/). Bitte bringen Sie ein Ausweisdokument mit. Damit Sie zwischenzeitlich auch ohne YubiKey weiterarbeiten können, nutzen Sie übergangsweise den für diesen Fall angelegten zusätzlichen Token. Wenn kein zweiter Token verfügbar ist, gehen Sie bitte „Ich habe nur einen einzigen Token hinterlegt und diesen verloren. Wie soll ich vorgehen?“ beschrieben vor.
Der YubiKey verfügt über zwei Slots. Bei meinem YubiKey ist nur Slot 1 nutzbar
Der zweite Slot des YubiKey wurde für die MFA Anwendung der FAU programmiert und ist daher nicht nutzbar.
Darf ich den YubiKey beim Ausscheiden aus der FAU behalten?
Leider ist das nicht zulässig. Bitte geben Sie Ihren YubiKey an einer der Service-Theken des RRZE zurück, wenn Sie die FAU verlassen.
Kann ich meinen YubiKey zusammen mit anderen Personen nutzen?
Der YubiKey wurde persönlich an Sie übergeben und darf von Ihnen nicht an andere Personen weitergegeben oder gemeinsam mit diesen genutzt werden werden. Behandeln Sie ihn wie ein persönliches Passwort.
Welche Personengruppen erhalten vom RRZE einen YubiKey für die Multi-Faktor-Authentifizierung?
Jeder Mitarbeiter der FAU ist berechtigt einen YubiKey über eine der RRZE-Servicetheken zu beziehen.