Zwei-Faktor-Authentifizierung

Die Meldungen über gestohlene Zugangsdaten für verschiedene Internetdienste nehmen zu. Das ist nicht nur ärgerlich, sondern kann auch teuer werden. Um dem entgegenzuwirken, bieten Dienste wie Paypal oder Ebay zweistufige Anmeldeverfahren an. Dafür benötigen Sie neben Ihren Zugangsdaten einen Sicherheitscode, der für jeden Zugriff neu generiert wird. Dieser Code wird mit einem zweiten Endgerät abgerufen.
Um der steigenden Anzahl von geknackten Accounts auch im Hochschulumfeld Herr zu werden - und um Ihnen als Nutzende größtmögliche Sicherheit für Ihre Daten bieten zu können - werden zukünftig viele IT-Dienste der Hochschule mit der Zwei-Faktor-Authentifizierung gesichert.
Dadurch verlängert sich der Anmeldevorgang. Aber Hand aufs Herz: Möchten Sie, dass Ihre EC-Karte ohne PIN funktioniert, nur weil das einfacher wäre?
So funktioniert der Schutz: Auch weiterhin werden Sie sich bei verschiedenen Diensten mit Benutzernamen und Passwort anmelden. Im zweiten Schritt folgt dann die Eingabe eines sechsstelligen Sicherheitscodes, der Ihnen auf ein zweites Endgerät gesendet wird. So ist sichergestellt, dass alleine Benutzername und Passwort nicht ausreichen, um auf Ihre Daten zuzugreifen.
So bekommen Sie den Sicherheitscode:
An der TH OWL bieten wir Ihnen die Authentifizierung per App (TOTP) oder per Telefon (OTP) an.
Gleich vorab: die Authentifizierung per App ist die sicherere und komfortablere Methode. Deshalb starten unsere neuen Studierenden auch gleich mit dieser Authentifizierung. Die Telefonmethode wird perspektivisch nur noch in Ausnahmefällen verwendet werden.
Eine kurze Erläuterung zu den Methoden:
- Authentifizierung per App (TOTP):
Sie laden sich eine App auf Ihr Handy oder Ihr Tablet. Diese App generiert den Code, den Sie zur Anmeldung auf einem weiteren Gerät benötigen. Bei diesem Verfahren spricht man von einem TOTP (Timebased One-Time-Password).
Diese Methode ist sicherer als die Telefonvariante. Sie kann auch offline ohne Internetverbindung eingesetzt werden und ist für weitere (auch private) Anwendungen oder Konten nutzbar. Daher werden wir künftig diese Variante nutzen. - Authentifizierung per Telefon (OTP): Der Code wird Ihnen per SMS auf Ihr Smartphone oder per Anruf auf Ihr Festnetzgerät übertragen. Bei diesem Verfahren spricht man von einem OTP (One-Time-Password).
Perspektivisch wird diese Methode nur noch Mitarbeitenden zur Verfügung gestellt, sofern sie sie mit einem Festnetzgerät anwenden möchten.
Weitere Details zur Übersicht, Einrichtung, Auswahl und Benutzung der beiden Methoden lesen Sie in den folgenden Abschnitten:
- Übersicht: Dienste der Hochschule mit 2FA
- Einrichtung: Empfang des Sicherheitscodes per App (TOTP)
- Einrichtung: Empfang des Sicherheitscodes per Telefon (OTP)
- Nutzung der Zwei-Faktor-Authentifizierung
- Verwaltung der Zugangsmethoden
- Wichtiger Hinweis für Angehörige der TH mit zwei Nutzeraccounts
- Weitere Infos
Übersicht: Dienste der Hochschule mit 2FA
Folgende Dienste sind mit der Zwei-Faktor-Authentifizierung versehen:
Dienst | Verweis | Dokumentation |
---|---|---|
Benutzerverwaltung (IDM) | https://idm.th-owl.de | https://www.th-owl.de/skim/dokumentation/benutzerzugang/ |
KIS-Portal | https://kis-portal.th-owl.de | https://www.th-owl.de/skim/dokumentation/kis-portal/ |
Lernplattform eCampus (ILIAS) | https://ecampus.th-owl.de | https://www.th-owl.de/skim/dokumentation/lernplattform-ecampus/ |
Webmail (OWA) | https://webmail.th-owl.de | https://www.th-owl.de/skim/dokumentation/e-mail-konto/ |
WLAN-/VPN-Zertifikat (eduroam) | https://mdl.th-owl.de/mobile/ | https://www.th-owl.de/skim/dokumentation/funknetzwerk/ https://www.th-owl.de/skim/dokumentation/hochschuleinwahl/ |
Einrichtung: Empfang des Sicherheitscodes per App (TOTP)
Um eine App zur Generierung des Sicherheitscodes zu nutzen, benötigen Sie zwei Endgeräte. Einmal das Endgerät, auf dem Sie geschützte Seiten aufrufen möchten und zusätzlich ein zweites Endgerät, auf dem Sie den Sicherheitscode empfangen.
Neue Studierende starten gleich mit dieser Methode. Auch allen anderen empfehlen wir, diese Methode einzusetzen. Im Vergleich zur Telefon-Methode bietet sie viele Vorteile:
- Sicherheit: Eine App, die den Code direkt auf Ihrem Gerät generiert, ist in der Regel sicherer, da sie nicht abgefangen werden kann. Viele Apps bieten zusätzliche Sicherheitsfunktionen wie biometrische Authentifizierung (Fingerabdruck, Gesichtserkennung) oder Passwortschutz für die App selbst.
- Offline-Zugriff: Im Gegensatz zu SMS-basierten Codes funktioniert eine App auch ohne Mobilfunknetz oder Internetverbindung. Solange Sie Zugriff auf die App haben, können Sie den Code generieren, um sich anzumelden. Dies kann besonders nützlich sein, wenn Sie sich in einem Bereich mit schlechtem Netzwerkempfang oder auf Reisen/im Ausland befinden.
- Mehrere Einsatzmöglichkeiten: Eine Authentifizierungs-App kann in der Regel für unterschiedliche Zwecke genutzt werden. Sie können die darin generierten Codes auch für andere Anwendungen oder mehrere Konten verwenden
Gut zu wissen: Bei der Nutzung einer App zur Authentifizierung, ist diese an ein bestimmtes Gerät geknüpft. Wenn Sie das Gerät wechseln, bedarf es der Zwei-Faktor-Authentifizierung zur erneuten Einrichtung der App. Tipp: Wenn möglich richten Sie sich die App auf dem neuen Gerät ein, während Sie noch Zugriff auf das alte Gerät haben.
Einrichtung: Empfang des Sicherheitscodes per Telefon (OTP)
Vorab: Perspektivisch steht diese Methode nur noch Mitarbeitenden zur Verfügung, sofern sie sie mit einem Festnetzgerät anwenden möchten.
Sie können den Sicherheitscode über Ihr Telefon empfangen. Sollte Ihr Endgerät SMS-fähig sein, bekommen Sie eine Mitteilung, ansonsten einen Sprachanruf.
Die Einrichtung dieses Dienstes funktioniert in beiden Fällen gleich.
- Rufen Sie das Portal zur Einrichtung der Authentifizierungsmethode auf: Verwaltung der Authentifizierung
- Melden Sie sich hier mit Ihrem Benutzerzugang (xyz-xyz) und dem dazugehörigen Passwort an
- Klicken Sie im Bereich "Authentifizierung hinzufügen" auf den Bereich "Telefon/SMS (OTP)"
Geben Sie die Telefonnummer ein, über die Sie den Code erhalten möchten. Bitte geben Sie hier die Telefonnummer im internationalen Format ein.
Beispiel anhand der S(kim)-Support-Nummer: +4952617022222 (+49=Ländercode, 5261= Vorwahl ohne führende 0, 702222= Durchwahl)
- Geben Sie den Überprüfungscode ein und klicken Sie auf Speichern.
Nutzung der Zwei-Faktor-Authentifizierung
- Rufen Sie eine mit der Zwei-Faktor-Authentifizierung geschütze Webseite auf
- Die Ihnen bekannte Anmeldeseite der TH OWL erscheint, ergänzt um den Hinweis "TH OWL Zwei-Faktor-Authentifizierung"
- Melden Sie sich mit den Daten aus Ihrem Benutzerzugang an (xyz-xyz und dazugehöriges Kennwort)
- Wählen Sie nun die Methode für die Authentifizierung durch den zweiten Faktor
- App (TOTP) - Die App auf Ihrem zweiten Endgerät zeigt Ihnen den Code zur Anmeldung an
SMS/Anruf(OTP) - Geben Sie den Code ein, der Ihnen per SMS oder Anruf übermittelt wurde
Verwaltung der Zugangsmethoden
Die Verwaltung der Authentifizierungsmethoden funktioniert über ein Portal, den Link dazu finden Sie hier: Verwaltung der Authentifizierung
Je nach Status funktioniert der Login unterschiedlich:
- Sie haben noch keine Authentifizierungsmethode festgelegt: Melden Sie sich mit Ihrem Hochschulzugang an (Benutzername und dazugehöriges Passwort).
- Sie haben bereits eine Authentifizierungsmethode festgelegt: Melden Sie sich mit dem Benutzernamens Ihres Hochschulzugangs sowie dem Sicherheitscode der Zwei-Faktor-Authentifizierung an. Hierbei erfolgt eine automatische Priorisierung. Ist die App-Methode (TOTP) eingerichtet ist die Anmeldung nur mit dieser möglich. Sollte nur die Telefon-Methode (OTP) eingerichtet sein, funktioniert die Anmeldung hiermit.
Im Portal zur Verwaltung Ihrer Authentifizierungsmethode können Sie folgende Dinge vornehmen:
- Hinzufügen einer Authentifizierungsmethode
- Ändern der Telefonnummer, für das Empfangen des Codes per Sprachanruf oder SMS
- Löschen einer Authentifizierungsmethode
- Testen der Authentifizierungsmethoden
So setzen Sie die Anmeldemethode zurück: Sie können auf Ihre Authentifizierung nicht zugreifen (Neues Smartphone, neue Telefonnummer)? Dann können wir Ihnen an den Service-Points in den Bibliotheken weiterhelfen. Gegen Vorlage eines amtlichen Lichtbildausweises kann Ihre Authentifizierungsmethode komplett zurückgesetzt werden. Beachten Sie dabei bitte die Öffnungszeiten unserer Service-Points. Ein komplettes Zurücksetzen der Authentifizierungsmethode per E-Mail oder Telefonanruf ist aus Datenschutzgründen nicht möglich.
Unser Tipp: Konfigurieren Sie die Telefonmethode (OTP) als Back-Up für die App-Methode (TOTP). Nutzen Sie dabei aber nicht die Telefonnummer des Smartphones, auf dem Sie die App betreiben, sondern die Nummer eines weiteren immer verfügbaren Telefons. Auch ohne Vorlage eines Lichtbildausweises können wir eine Authentifizierungsmethode aus Ihrem Account entfernen. Sollten Sie nun das Endgerät verlieren, auf dem Sie die App für die TOTP-Methode installiert hatten, bleibt Ihnen für den Zugriff auf das Portal zur Verwaltung der Authentifizierung noch die Telefon-Methode (OTP).
Wichtiger Hinweis für Angehörige der TH mit zwei Nutzeraccounts
Angehörige der TH, die zwei Accounts besitzen - zum Beispiel einen Studierendenaccount und einen Mitarbeitendenaccount - müssen zunächst für jeden Account die Zwei-Faktor-Authentifizierung in der Benutzerverwaltung aktivieren.
Gut zu wissen:
Eine Anmeldung mit beiden Accounts gleichzeitig ist nicht möglich. Es kann dabei entweder zu Fehlermeldungen kommen oder aber die eigentlich gewünschten Rechte der jeweiligen Rolle werden nicht zur Verfügung gestellt.
Dabei ist zu beachten, dass eine Anmeldung mit der Zwei-Faktor-Authentifizierung für 10 Stunden in Kraft ist und die zweite Anmeldung während dieses gesamten Zeitraums nicht erfolgreich ist.
Es gibt zwei Lösungsmöglichkeiten für das Problem:
- Sie verwenden für die beiden Accounts zwei unterschiedliche Browser (z.B. Firefox und Chrome)
- Sie melden sich, bevor Sie die zweite Anmeldung starten, einmal komplett beim zunächst gestarteten Browser ab.
Weitere Infos
Informationen zur der Gültigkeit der Zwei-Faktor-Authentifizierung:
- Die Anmeldung per Zwei-Faktor-Authentifizierung hat eine Laufzeit von 60 Minuten. Wenn Sie innerhalb dieser Zeit in einer Anwendung nicht aktiv werden, müssen Sie sich erneut mit der Zwei-Faktor-Authentifizierung anmelden. Bitte beachten Sie, dass das Time-Out vieler Anwendungen deutlich kürzer ist und vorher zum Tragen kommt.
- Die Anmeldung per Zwei-Faktor-Authentifizierung erlischt, sobald Sie sich aktiv aus einer Anwendung abmelden.
- Die Anmeldung per Zwei-Faktor-Authentifizierung erlischt bei Löschen der Cookies.
Gut zu wissen: Ganz neu ist die Zwei-Faktor-Authentifizierung in der TH OWL nicht. Schon vorher haben wir an vielen Stellen auf das Benutzerzertifikat als zweiten Faktor gesetzt. Da dies aber nicht in allen Szenarien möglich ist, ergänzt die Authentifizierung auf Basis des Sicherheitscodes den ohnehin hohen Standard an der Hochschule.
Kontakt
Telefon: +49 5261 702 2222
E-Mail: support(at)th-owl.de