Zweifaktor-Authentifizierung / 2FA

Die Zweifaktor-Authentifizierung realisiert für den Zugang von außen zum Hochschulnetz über VPN ("Forticlient") oder StudIP und Ilias die Anmeldung mit dem Standard-Passwort und einem wechselnden Einmalpasswort.


Verfügbar für:

Mitarbeitende, Studenten

 

Hauptmerkmale:

Der Zugriff von außerhalb der Hochschule auf einige interne Dienste ist zusätlich mit einem Einmalpasswort gesichert.

Ein Login über VPN ist nur noch mit einem 2FA-Token möglich.

Zukünftig wird der zweite Faktor auch auf verschiedene weitere Dienste, die aus dem Internet zugänglich sind, ausgedehnt werden.

 

Vorteile:

Ein Phishing des Passwortes ist für einen potenziellen Angreifenden nicht mehr ausreichend und bietet damit zusätzlichen Schutz für jeden Einzelnen und die Hochschule.

 

Voraussetzung:

Ein Smartphone ist aktuell Voraussetzung für die Generierung des Einmalpasswortes. In einigen speziellen Fällen kann ein Hardware Token ausgegeben werden.

 

So geht's:

 

Anleitung zum Generieren eines 2FA Tokens vor Ort finden Sie hier.

 

Anleitung zum Generieren eines 2FA Tokens aus der Ferne finden Sie hier.

 

Die 2FA Website der Hochschule Harz: https://mfa.hs-harz.de

This way to the english version

read more

FAQ

 

0. Ich habe gar kein Smartphone oder kann damit nicht umgehen - was soll ich tun?

 

   Wenn Sie Mitarbeiter der Hochschule sind, können wir Ihnen ein Hardware-Token aushändigen, daß allerdings ausschliesslich für den Dienst an der Hochschule verwendbar ist.

   Die komfortablere Lösung, die auch für Ihre privat genutzten Dienste tauglich wäre, ist die Verwendung eines Smartphones - ist wie immer gar nicht so schwer, wie es sich liest :)

 

1. Ich habe schwierigkeiten bie der Einrichtung, was kann ich tun? 

 

    Bei Fragen können Sie sich als Studierende gerne an den CH!P und als Mitarbeitende an den Helpdesk wenden.

 

2. Ich habe mein Smartphone verloren oder es wurde gestohlen, was nun?

 

   Löschen Sie sicherheitshalber alle Ihre Token unter https://mfa.hs-harz.de. Sie können dann einen neuen Token anlegen und in Ihr Ersatzgerät übernehmen. Wichtig ist, komplett mit neuen Token zu starten, auch wenn Sie noch weitere Token auf anderen Geräten haben.

 

   Sind Sie nicht vor Ort, wenden Sie sich bitte an unser HelpDesk.


3. Ich habe ein paar Mal das Einmalpasswort falsch eingegeben, nun kommt eine komische Fehlermeldung. Warum klappt die Anmeldung nicht?

 

   Nach 5 fehlgeschlagenen Login-Versuchen wird ihr Account für eine halbe Stunde gesperrt. Danach ist ein Login wieder möglich.

 

   Wenn Sie sich im Netz der Hochschule befinden, können Sie auch direkt auf https://mfa.hs-harz.de gehen und den Fehlerzähler an Ihrem Token selbst zurücksetzen.

 

4. Ich möchte mit mehreren Geräten ein Einmalpasswort generieren, geht das?

 

    Ja. Man generiere einfach mehrere Token. Maximal sind 3 Token erlaubt. Man kann auch einen Token mit verschiedenen Geräten abfotografieren, falls dies nicht reichen sollte.

 

5. Ich möchte den Token nachträglich nochmal scannen, geht das?

 

    Nein, dies ist aus Sicherheitsgründen nicht möglich. Erzeugen Sie einfach einen neuen Token (und löschen den Alten).

 

6. Ich habe mir einen Token generiert, nutze aber das SSL-VPN  ("Forticlient") nicht, was nützt mir das jetzt?

 

   Wenn Sie schon eine App installiert haben, können Sie diese auch für alle Ihre privat genutzten Dienste im Internet verwenden, die einen zweiten Faktor anbieten, um die Sicherheit zu erhöhen. Jeder Dienst wird Ihnen einen eigenen geheimen Token zum abfotografieren anbieten.

 

7. Ich möchte lieber den Google-Authenticator statt freeOTP nutzen,  warum klappt das nicht?

 

   Der Google-Authenticator unterstützt nur 30 Sekunden lang gültige Token und ist daher nicht mit unseren 60 Sekunden-Token kompatibel.

   Die Nutzung anderer aktueller 2FA-Apps ist an unserem System natürlich problemlos möglich.

 

8. Welche 2FA-Apps sind empfehlenswert?

 

   Grundsätzlich erfüllen alle aktuellen Anwendungen die Erfordernisse; durch das Rechenzentrum wird lediglich freeOTP supportet.

   Aus Datenschutzsicht empfehlenswert sind freeOTP, freeOTP+, Aegis Authenticator, 2FAS.

   Abgeraten wird von Microsoft Authenticator und Authy.  Authy scheint unter Apple zudem das Problem zu haben, die Gültigkeitsdauer unserer Token zu ignorieren.