17. Oktober 2023 - IT-Sicherheit Einführung der Mehr-Faktor-Authentifizierung (MFA)
Ein großer Schritt in Richtung Sicherheit: An der Universität Heidelberg wird die Mehr-Faktor-Authentifizierung (MFA) als standardisiertes Anmeldeverfahren für bestimmte Dienste eingeführt. Loginprozesse mit mehreren Faktoren, wie beispielsweise aus dem Online-Banking bekannt, tragen erheblich zur Erhöhung der Sicherheit von Accounts und Daten der Nutzer:innen bei. Im ersten Schritt wird das Virtual Private Network (VPN) an den zentralen MFA-Service angebunden.
Die Mehr-Faktor-Authentifizierung (MFA) ist ein Verfahren, mit dem sich Nutzer:innen zusätzlich zur Passworteingabe mit einem weiteren Faktor identifizieren, wenn sie sich in ein Konto einloggen oder bei einem Service anmelden. Der zentrale Dienst für die Beschäftigten und Studierenden ermöglicht einen sicheren Login-Prozess für die angebundenen universitären Services und erhöht so den Schutz der IT-Infrastruktur sowie der Benutzerkonten und -daten deutlich. (Siehe auch das verlinkte Erklärvideo des BSI: So funktioniert Zwei-Faktor-Authentisierung)
Die Anmeldung bei den angebundenen universitären Services erfolgt in mehreren Schritten:
- mittels persönlicher Uni-ID bzw. Projektnummer und Passwort (erster Faktor – etwas das der:die Nutzer:in „weiß“) sowie
- im zweiten Schritt durch einen zusätzlichen Token (zweiter Faktor – „etwas, das der:die Nutzer:in „hat“).
Als Token wird ein zusätzlicher Gegenstand bezeichnet, den die Nutzer:innen als zweiten Faktor im Besitz haben müssen, dazu zählt z.B. ein Smartphone mit entsprechender Authenticator-App, die zeitbasierte Einmalpasswörter generiert, oder eine Desktopanwendung auf dem Rechner oder ein Hardware-Token.
Schrittweise Einführung: MFA wird während des WS2023/24 zum Standard für VPN-Login
Zum Anfang des Wintersemesters 2023/24 wurde das Virtual Private Network (VPN) an den zentralen MFA-Service angebunden. Ab Mitte Dezember 2023 wird der Login am VPN dann nur noch mit einem weiteren Faktor für alle Beschäftigten und Studierenden möglich sein. Richten Sie sich also am besten schon jetzt Ihren zusätzlichen Token ein, um sich bei den MFA-fähigen Diensten anzumelden. Sukzessive werden auch weitere Dienste an den MFA-Service angebunden.
So können Sie Ihre Token einrichten und verwalten:
Die Mehr-Faktor-Authentifizierung kann leicht von Ihnen eingerichtet werden. Hierzu bietet das URZ als zentralen Dienst für Beschäftigte und Studierende die MFA Token Self Service-Plattform (mit der Software LinOTP) zum Einrichten und Verwalten weiterer Faktoren an.
Standardmäßig werden zur Erstellung von Einmalpasswörtern sog. Software-Token empfohlen, die mittels Smartphone und Authenticator-App erzeugt werden können.
- Sie benötigen ein aktuelles Mobiltelefon mit einer installierten Authenticator-App. Diese Apps sind in allen gängigen App-Stores kostenlos verfügbar. Damit ist sichergestellt, dass sich nur die Person, die neben den üblichen Anmeldedaten auch Zugriff auf das Smartphone besitzt, an den MFA-fähigen Diensten anmelden kann.
- Registrieren Sie Ihr Smartphone bei der universitären MFA Token Self Service-Plattform, unserem Webdienst zur Verwaltung der Tokens, indem Sie die App öffnen und den in der Plattform angezeigten QR-Code einscannen.
Nach der Einrichtung erstellt die Authenticator-App automatisch zeitlich begrenzte Einmalkennwörter, die sie einfach ablesen und für jeden Login bei den angebundenen Diensten eingeben können.
Darüber hinaus besteht die Möglichkeit, die Token mit einer Software (KeePassXC) auf einem PC oder Mac zu erzeugen, soweit kein Smartphone/Tablet-PC zur Verfügung steht.
Neben softwarebasierten Token können auch Hardware-Token eingesetzt werden, die über die Einnrichtungen dezentral beschafft werden können, wobei das URZ bestimmte Hersteller und Geräte empfiehlt. Anleitungen, weitere Informationen, empfohlene Apps oder FAQ mit einer Liste der geprüften Token finden Sie im verlinkten Service-Katalog.
Ein großer Schritt für mehr IT-Sicherheit - Richten Sie jetzt Ihren zusätzlichen Faktor ein
Sie kann es bereits: MFA bei heiBOX optional möglich
Wer den Zugang zur heiBOX besonders gut absichern möchte, kann freiwillig schon seit einiger Zeit die Mehr-Faktor-Authentifizierung mittels Smartphone und Authenticator-App für den universitären Sync-und-Share-Service aktivieren. Weitere Informationen dazu entnehmen Sie bitte der verlinkten Anleitung.