Zweifaktor-Authentifizierung

Die Zweifaktor-Authentifizierung ist im Testbetrieb und bietet aktuell für den VPN-Zugang zum Hochschulnetz ("Forticlient") eine Zweifaktor-Authentifizierung mit dem Standard-Passwort und einem Einmalpasswort an.


Verfügbar für:

Mitarbeitende

 

Hauptmerkmale:

Nachdem man sich über ein Self-Serviceportal einen sogenannten Token generiert hat, wird die Anmeldung mit einem in einer Smartphone-App generierten Einmalpasswort für den VPN-Zugang möglich und  zwingend.

 

Vorteile:

Ein Phishing des Passwortes ist für einen potenziellen Angreifenden nicht mehr ausreichend und bietet damit zusätzlichen Schutz für jeden Einzelnen und die Hochschule.

 

Voraussetzung:

Ein Smartphone ist aktuell Voraussetzung für die Generierung des Einmalpasswortes.

 

So geht's:

Die Anmeldung mit zweitem Faktor wird erst dann aktiv/notwendig, wenn man sich auf dem 2FA-System einen sogenannten Token generiert hat.

 

Hat man sich einen Token generiert, muss man ab sofort bei der Anmeldung am SSL-VPN - statt dem üblichen Passwort - dem Passwort das Einmalpasswort anhängen. 

Anleitung

In Kurzform:

1. Auf dem Smartphone freeOTP installieren.

2. Auf dem Notebook im LAN/WLAN die Seite https://mfa.hs-harz.de aufrufen und einen Token generieren.

3. Auf dem Smartphone mit der App freeOTP den Token durch Einscannen übernehmen.

4. Bei der VPN-Anmeldung statt User/Passwort zukünftig User/Passwort+Einmalpasswort eingeben, das Einmalpasswort durch Antippen des Tokens im freeOTP generieren. 

 

Ausführlich:

1. Man installiere auf seinem Smartphone die App "freeOTP" 

2. Auf seinem PC/Notebook melde man sich aus dem LAN/WLAN (nicht

 aus dem Internet) heraus auf mfa.hs-harz.de mit dem üblichen User/Passwort an.

3. Man drücke anschliessend den Button "Token ausrollen". Ein QR-Code erscheint.

4. Nun bitte freeOTP starten und in der App das OR-Code-Icon antippern  und den im Browser dargestellten QR-Code scannen. Browser/Tab schliessen. 

5. Fertig! 

6. Ab sofort muss man sich bei der VPN-Anmeldung mit Passwort+Einmalpasswort anmelden. Einmalpasswort erhält man durch antippern des Tokens im freeOTP.

6. Beispiel: mein User ist "m5678", mein Passwort ist "ggeheimm", als Einmalpasswort habe ich aus der Smartphone-App "314159" erhalten. Dann gibt man im Forticlient als User wie gewohnt "m5678" und als Passwort "ggeheimm314159" an.

FAQ

 

0. Mir reichts mit der 2FA, wie kann ich mich wieder mit User/Passwort anmelden? 

 

    Einfach alle Token in mfa.hs-harz.de löschen.

 

1. Ich hab den Token im Smartphone gelöscht, was nun?

 

    Unter mfa.hs-harz.de den Token ebenfalls löschen und einen Neuen anlegen.

 

2. Ich hab mein Smartphone gerade nicht dabei, was nun?

 

    Den Helpdesk anrufen, der z.B. einen temporären Token  erzeugt. Spätestens nach Ablauf des temporären Tokens muss man sich einen  neuen Token anlegen.

 

3. Ich hab 4 mal den falschen Token eingegeben, den 5. aber  korrekt. Warum klappt die Anmeldung nicht?

 

    Nach mehr als 4 Fehleingaben wird der Token für 30 min gesperrt.

 

4. Ich möchte mit mehreren Geräte ein Einmalpasswort generieren, geht das?

 

    Ja. Man generiere einfach mehrere Token. Maximal sind 3 Token erlaubt.

 

5. Ich möchte den Token nachträglich nochmal scannen, geht das?

 

    Nein, dies ist aus Sicherheitsgründen nicht möglich. Erzeugen Sie  einfach einen neuen Token (und löschen den Alten).

 

6. Ich habe mir einen Token generiert, nutze aber das SSL-VPN  ("Forticlient") nicht, was nützt mir das jetzt?

 

    Aktuell nichts. Schadet aber auch nicht.

 

7. Ich möchte lieber den Google-Authenticator statt freeOTP nutzen,  warum klappt das nicht?

 

    Der Google-Authenticator wird nicht mehr gepflegt und unterstützt nur den SHA-1, der als unsicher eingestuft ist. Unsere Einmalpasswörter nutzen sichere Hash-Algorithmen.