Die Zweifaktor-Authentifizierung ist im Testbetrieb und bietet aktuell für den VPN-Zugang zum Hochschulnetz ("Forticlient") eine Zweifaktor-Authentifizierung mit dem Standard-Passwort und einem Einmalpasswort an.
Verfügbar für:
Mitarbeitende, Studenten
Hauptmerkmale:
Nachdem man sich über ein Self-Service-Portal einen sogenannten Token generiert und in eine Smartphone-App übernommen hat, wird die Anmeldung am VPN-Zugang mit einem zusätzlichen Einmalpasswort gesichert, das sich jede Minute ändert.
Vorteile:
Ein Phishing des Passwortes ist für einen potenziellen Angreifenden nicht mehr ausreichend und bietet damit zusätzlichen Schutz für jeden Einzelnen und die Hochschule.
Voraussetzung:
Ein Smartphone ist aktuell Voraussetzung für die Generierung des Einmalpasswortes.
Nachdem Sie eine App zur Zwei-Faktor-Authentifizierung (2FA) installiert haben, können sie alle möglichen Dienste im Internet (auch private) mit einem zweiten Faktor sichern.
So geht's:
Die Anmeldung mit zweitem Faktor wird erst dann möglich, wenn man sich auf dem 2FA-System einen sogenannten Token generiert hat.
Hat man sich einen Token generiert, muss man ab sofort bei der Anmeldung am VPN-Zugang dem üblichen Passwort das Einmalpasswort anhängen.
1. Auf dem Smartphone eine App zur Zwei-Faktor-Authentifizierung (2FA) wie z.B. freeOTP installieren.
2. Auf einem Rechner im LAN/WLAN der HS (nicht aus dem Internet) die Seite https://mfa.hs-harz.de aufrufen und sich mit dem üblichen User/Passwort anmelden.
3. Beim ersten Login werden Sie direkt aufgefordert, Ihren ersten Token zu generieren.
Vergeben Sie im Beschreibungsfeld einen kurzen Namen wie z.b. "HSH 1".
Nach Klicken auf "Token ausrollen" erscheint im nächsten Schritt ein QR-Code.
4. Auf dem Smartphone mit der App durch Abfotografieren des QR-Codes den Token übernehmen.
In der App freeOTP dazu auf das "+" und dann das QR-Code-Icon tippen - bei anderen Apps analog vorgehen.
5. Sie können den QR-Code nun noch mit weiteren Geräten übernehmen oder auch für jedes Gerät einen eigenen Token erstellen.
Sie können maximal 3 Token generieren.
6. Zukünftig wird bei der VPN-Anmeldung dem Passwort noch das Einmalpasswort angehängt.
Hierzu das Einmalpasswort durch Antippen des Tokens in der App generieren - es erscheint eine 6-stellige Zahl, die Sie an Ihr Passwort anhängen.
Beispiel: Ihr Nutzername sei "m5678". Ihr Passwort sei "ggeheimm". Ihre Smartphone-App gibt nach Antippen des Tokens "314159" als Einmalpasswort aus. Dann gibt man im Forticlient als Nutzername wie gewohnt "m5678" und als Passwort "ggeheimm314159" an.
0. Ich habe gar kein Smartphone oder kann damit nicht umgehen - was soll ich tun?
Wenn Sie Mitarbeiter der Hochschule sind, können wir Ihnen ein Hardware-Token aushändigen, daß allerdings ausschliesslich für den Dienst an der Hochschule verwendbar ist.
Die komfortablere Lösung, die auch für Ihre privat genutzten Dienste tauglich wäre, ist die Verwendung eines Smartphones - ist wie immer gar nicht so schwer, wie es sich liest :)
1. Ich komme mit diesen technischen Dingen nicht kar, was kann ich tun?
Sie können sich immer gerne beim Helpdesk melden, der Sie mit Rat und Tat unterstützt.
2. Ich habe mein Smartphone gerade nicht dabei, was nun?
Den Helpdesk anrufen, der Ihnen einen temporären Token erzeugen kann.
3. Ich habe mein Smartphone verloren oder es wurde gestohlen, was nun?
Löschen Sie sicherheitshalber alle Ihre Token unter https://mfa.hs-harz.de. Sie können dann einen neuen Token anlegen und in Ihr Ersatzgerät übernehmen. Wichtig ist, komplett mit neuen Token zu starten, auch wenn Sie noch weitere Token auf anderen Geräten haben.
4. Ich habe ein paar Mal das Einmalpasswort falsch eingegeben, nun kommt eine komische Fehlermeldung. Warum klappt die Anmeldung nicht?
Sie haben 3 Login-Versuche pro Minute. Beim vierten Mal erscheint die Fehlermeldung "Unable to establish the VPN connection. The VPN server may be unreachable.". Warten Sie kurz, nach einer Minute wird ein Login wieder möglich sein.
5. Ich möchte mit mehreren Geräten ein Einmalpasswort generieren, geht das?
Ja. Man generiere einfach mehrere Token. Maximal sind 3 Token erlaubt. Man kann auch einen Token mit verschiedenen Geräten abfotografieren, falls dies nicht reichen sollte.
6. Ich möchte den Token nachträglich nochmal scannen, geht das?
Nein, dies ist aus Sicherheitsgründen nicht möglich. Erzeugen Sie einfach einen neuen Token (und löschen den Alten).
7. Ich habe mir einen Token generiert, nutze aber das SSL-VPN ("Forticlient") nicht, was nützt mir das jetzt?
Wenn Sie schon eine App installiert haben, können Sie diese auch für alle Ihre privat genutzten Dienste im Internet verwenden, die einen zweiten Faktor anbieten, um die Sicherheit zu erhöhen. Jeder Dienst wird Ihnen einen eigenen geheimen Token zum abfotografieren anbieten.
8. Ich möchte lieber den Google-Authenticator statt freeOTP nutzen, warum klappt das nicht?
Der Google-Authenticator wird nicht mehr gepflegt und unterstützt nur den SHA-1, der als unsicher eingestuft ist. Unsere Einmalpasswörter nutzen sichere Hash-Algorithmen.
Die Nutzung anderer aktueller 2FA-Apps ist an unserem System natürlich problemlos möglich.