Service Mehr-Faktor-Authentifizierung (MFA)

Mehr Sicherheit beim Login.

Bei jedem Login wird durch die sogenannte Authentifizierung geprüft, ob das angegebene Konto auch wirklich dem:r anfragenden Nutzer:in gehört. Üblicherweise wird für die Prüfung der Zugangsberechtigung ein Kennwort verwendet, welches im Zusammenhang mit einem Login als Faktor bezeichnet wird. Da ein Kennwort jedoch leicht mit dem Benutzernamen gemeinsam z.B. durch Phishing erbeutet werden kann, bietet dieser Ansatz keinen zeitgemäßen Schutz mehr davor, dass Dritte unberechtigt Zugriff auf das Konto und alle damit verbundenen Daten und Rechte erhalten.

Bei einer Mehr-Faktor-Authentifizierung (MFA) wird die Identität beim Login neben dem Kennwort anhand weiterer, unabhängiger Faktoren geprüft. Hierzu bietet das URZ als zentralen Dienst die MFA Token Self Service-Plattform (mit der Software LinOTP) zum Einrichten weiterer Faktoren für Beschäftigte und Studierende der Universität Heidelberg an. Hier werden mehrere Faktoren zur Auswahl angeboten, welche sich die Nutzer:innen selbst einrichten können.

Wenn Sie bei der Einrichtung Ihrer Token oder bei der Verwendung von MFA am VPN auf Hindernisse stoßen oder Fragen haben, melden Sie sich bitte beim IT-Service per Videocall.

Zielgruppe

  • Beschäftigte
  • Studierende
  • Nutzer:innen mit Projektnummer

Nutzen

  • Zusätzliche Faktoren sind im Gegensatz zu Kennwörtern nicht nur statische Informationen und können nicht einfach kopiert werden. Hierdurch bietet MFA einen sicheren Login-Prozess für die angebundenen Services und erhöht so den Schutz von Benutzerkonten und -daten 
  • Faktoren aus verschiedenen Kategorien wie „Wissen“ (z.B. persönliches Kennwort) und „Besitz“ (z.B. ein Smartphone mit Authenticator-App oder ein Hardware-Token) sowie „Inhärenz“ (z.B. biometrische Merkmale wie Gesicht oder Fingerabdruck) verstärken sich gegenseitig und reduzieren so das Risiko von Angriffen deutlich.
  • Account-Diebstahl wird stark erschwert und erfordert wesentlich höheren Aufwand. Damit sind die Daten und Rechte aller Nutzer:innen besser geschützt

Erklärvideo: BSI

Zugang und Voraussetzungen

Die Anmeldung bei den angebundenen Services erfolgt in mehreren Schritten:

  1. mittels persönlicher Uni-ID bzw. Projektnummer und Passwort (erster Faktor – etwas das der:die Nutzer:in „weiß“) sowie
  2. im zweiten Schritt durch einen zusätzlichen Token (zweiter Faktor – „etwas, das der:die Nutzer:in „hat“).

Als Token wird ein zusätzlicher Gegenstand bezeichnet, den die Nutzer:innen als zweiten Faktor im Besitz haben müssen, dazu zählt z.B. ein Smartphone mit entsprechender Authenticator-App, die zeitbasierte Einmalpasswörter (One time passwords - OTPs) generiert, oder auch ein Hardware-Token. Die auf diese Weise erstellten OTPs können dann jeweils beim Login für die durch MFA geschützen Dienste eingegeben werden.

Folgende Voraussetzungen müssen erfüllt sein, um MFA nutzen zu können:

  • Es muss eine Uni-ID oder Projektnummer vorhanden sein
  • Einrichten zumindest eines weiteren Faktors (z.B. Smartphone mit Authenticator-App) via die MFA Token Self Service-Plattform (Login via Uni-ID oder Projektnummer).
  • Die Einrichtung weiterer Faktoren muss aus dem Netzwerk der Universität oder via VPN erfolgen

Standardmäßig werden zur Erstellung von OTPs sog. Software-Token empfohlen, die mittels Smartphone und Authenticator-App erzeugt werden können. Darüber hinaus besteht die Möglichkeit, die Token mit der Software KeePassXC auf einem PC oder Mac zu erstellen, soweit kein Smartphone/Tablet-PC zur Verfügung steht.
Neben Software-Token können auch Hardware-Token eingesetzt werden. Alle Einrichtungen haben daher die Möglichkeit, eigene Hardware-Token dezentral zu beschaffen, wobei das URZ bestimmte Hersteller und Geräte empfiehlt. Eine Liste der geprüften Token finden Sie in den FAQ. 

Anleitungen

Einrichten eines Android-Smartphones als Software-Token

Einrichten eines iOS-Smartphones als Software-Token

Anmeldung Cisco Secure Client - AnyConnect - VPN

Die Anleitung beschreibt, wie Sie sich beim Cisco Secure Client - AnyConnect - VPN mit Mehr-Faktor-Authentifizierung anmelden.

Alle Anleitungen

Häufig gestellte Fragen

Tabellenfilter

Tabelle

Was gilt für neue Studierende?

Neuimmatrikulierte erhalten zusammen mit ihrer Uni-ID und dem dazugehörigen Aktivierungscode einen Initialtoken per Post. Dieser Token ist ein zufällig generiertes Passwort , das nur zehn Mal verwendet werden kann und nur für eine bestimmte Zeit gültig ist. Bitte richten Sie nach Erhalt des Briefs so schnell wie möglich einen Token über die MFA Token Self Service-Plattform dauerhaft ein. Sie können die Plattform von innerhalb des Uni-Netzes aufrufen. Sollten Sie keinen Zugang zum Uni-Netz haben, können Sie die Plattform auch über VPN erreichen:    

Schritt 1: Richten Sie Ihren VPN-Zugang ein. 

Laden Sie sich dafür mit dem Initialtoken den VPN-Client Cisco Any Connect herunter und melden Sie sich damit an. Via VPN können Sie nun immer von überall eine sichere Verbindung mit dem Universitätsnetz herstellen.

Schritt 2: Richten Sie Ihren dauerhaften Token ein.

Loggen Sie sich anschließend auf der MFA Token Self Service-Plattform ein und richten Sie dauerhaft Ihren zweiten Faktor ein. 

Erhalten auch Beschäftigte einen Initialtoken?
Nein, bitte rufen Sie MFA Token Self Service-Plattform von innerhalb des Uni-Netzes auf, oder melden Sie sich wie unten beschrieben beim IT-Service.
Ich bin nicht in Heidelberg, habe aber noch kein Token eingerichtet. Was kann ich tun?
Bitte melden Sie sich beim Video-Call-Service des URZ, um sich mit den Kollegen sicher ein Token einzurichten:

https://www.urz.uni-heidelberg.de/de/newsroom/it-service-bietet-beratung-per-videocall

Wie viele Faktoren sollte ich einrichten?
Wir empfehlen, zwei verschiedene Token (z.B. Smartphone und PC) einzurichten. Damit haben Sie im Falle des Verlustes eines der Token weiterhin selbstständig Zugriff auf die Self Service Plattform und können den verlorenen Token löschen und sich einen neuen Token einrichten.
Empfehlen wir die Nutzung einer App auf dem Smartphone als Faktor?
Ja, hierbei handelt es sich um einen sicheren Faktor. Konkrete Vorschläge hierfür finden Sie in den Anleitungen.
Wenn kein Smartphone zur Verfügung steht, kann auch über eine Software am PC ein Token eingerichtet werden?
Ja, es besteht die Möglichkeit, die Token mit der Software KeePassXC auf einem PC oder Mac zu erstellen, soweit kein Smartphone/Tablet-PC zur Verfügung steht. Diese Möglichkeit schmälert den Nutzen von MFA gegenüber dem Hauptrisiko - das Phishing von Accountdaten - in keiner Weise. Natürlich besteht die Möglichkeit, dass das genutzte Endgerät kompromittiert  wurde und damit Zugriff auf das Token gewährt ist: In diesem Fall kann jedoch auch die Eingabe eines Hardware-Tokens ausgelesen werden. Erst das wesentlich komplexere FIDO2 kann diesen Angriffsvektor abschwächen.
Was bedeutet OTP bzw. TOTP?
OTP steht für one-time password und bedeutet Einmalkennwort. TOTP steht für time-based one-time password und bedeutet zeitbasiertes Einmalkennwort.
Welche Faktoren werden unterstützt?
Zu Beginn werden zeitbasierte Einmalkennwörter (TOTP) auf einem Handy oder als Hardware-Token sowie Yubikeys unterstützt. Bei der MFA Token Self Service-Plattform wird die Software LinOTP eingesetzt . Diese unterstützt eine Vielzahl an Tokens. Bei den meisten Einsatzzwecken können jedoch nur die Text- und nicht Protokoll-basierten Verfahren eingesetzt werden. Wir empfehlen daher TOTP oder HOTP nach dem Standard RFC 6238, was eigentlich fast alle Token auf dem Markt mit einschließt. FIDO2 könnte nach einiger Zeit hinzu kommen, werden wir jedoch zum Start nicht unterstützen können.
Wie verbinde ich mich via openconnect mit dem VPN?
Auf der Kommandozeile: sudo openconnect vpn-ac.uni-heidelberg.de/2fa --useragent='AnyConnect'
Im Network Manager geben Sie bitte den Gateway 'vpn-ac.uni-heidelberg.de/2fa' sowie die Programmkennung 'AnyConnect' an. Dabei sollte die Komponente Network Manager Openconnect in der Version 1.2.10 oder höher genutzt werden.
Wie kann ich mich auf der Token Self Service-Plattform anmelden?
Der Login auf der Token Self Service-Plattform ist nur vor der Einrichtung eines Tokens ohne einen zweiten Faktor möglich. Sobald ein Token eingerichtet ist, können Sie sich nur noch mit diesem zweiten Faktor anmelden. Stellen Sie deshalb sicher, dass Sie die Einrichtung vollständig abschließen oder ein teilweise eingerichtetes Token vor dem Abmelden an der Plattform wieder löschen. Ansonsten können Sie sich dort ohne Hilfe des IT-Service nicht mehr anmelden.
Können Mitarbeiter Hardware-Token nutzen?
Wir raten aus Umweltschutz- und organisatorischen Gründen hiervon ab. Dennoch können Institute und andere dezentrale Einrichtungen eigene Hardware-Token anhand der normalen Beschaffungsregeln erwerben. Technische Voraussetzung ist, dass RFC 6238 unterstützt wird und Ihnen vom Verkäufer die Seeds in einer verschlüsselten Datei übertragen werden. Bitte beachten Sie, dass nur die IT-Beauftragen die Token einspielen können:

https://www.urz.uni-heidelberg.de/de/anleitung-import-von-instituts-token

Können Studierende Hardware-Token nutzen?
Wie auch bei den Instituten raten wir hiervon ab. Da das Einspielen von selbst beschafften Token nicht sicher gestaltet werden kann, besteht für Studierende ausschließlich die Möglichkeit einen Token-Generator mit Kamera und RFC 6238-Kompatibilität (wie z.B. den Rainer SCT Authenticator) zu verwenden. Mit diesen können Sie den QR-Code auf der Self-Service-Plattform wie mit einem Mobiltelefon abscannen und danach TOTPs generieren. Wir können für diese Lösung jedoch keinen technischen Support anbieten. Die Nutzung dieser Methode ist auf eigene Gefahr.