Zweifaktor-Authentifizierung / 2FA

Die Zweifaktor-Authentifizierung realisiert für den VPN-Zugang zum Hochschulnetz ("Forticlient") die Anmeldung mit dem Standard-Passwort und einem wechselnden Einmalpasswort.


Verfügbar für:

Mitarbeitende, Studenten

 

Hauptmerkmale:

Erst nachdem man sich über ein Self-Service-Portal einen sogenannten Token generiert und in eine Smartphone-App übernommen hat, ist die Anmeldung am VPN-Zugang möglich und mit einem zusätzlichen Einmalpasswort gesichert, das sich jede Minute ändert.

 

Vorteile:

Ein Phishing des Passwortes ist für einen potenziellen Angreifenden nicht mehr ausreichend und bietet damit zusätzlichen Schutz für jeden Einzelnen und die Hochschule.

 

Voraussetzung:

Ein Smartphone ist aktuell Voraussetzung für die Generierung des Einmalpasswortes.

Nachdem Sie eine App zur Zwei-Faktor-Authentifizierung (2FA) installiert haben, können sie alle möglichen Dienste im Internet (auch private) mit einem zweiten Faktor sichern.

 

So geht's:

Die Anmeldung am VPN wird erst dann möglich, wenn man sich auf dem 2FA-System einen sogenannten Token generiert hat.

Dies ist aus Sicherheitsgründen nur auf dem Campus der HS oder in Ausnahmefällen über unser Helpdesk möglich.

 

Bei der Anmeldung am VPN-Zugang ist dem üblichen Passwort das Einmalpasswort anzuhängen. 

Anleitung

1. Auf dem Smartphone eine App zur Zwei-Faktor-Authentifizierung (2FA) wie z.B. freeOTP installieren.

 

2. Auf einem Rechner im LAN/WLAN der HS die Seite https://mfa.hs-harz.de aufrufen und sich mit dem üblichen User/Passwort anmelden.

 

Wenn Sie nicht an die Hochschule kommen können, ist das System aus dem Internet nur über VPN und einen virtuellen PC in VMware erreichbar. Wenden Sie sich in diesem Fall bitte an unser Helpdesk, der Ihnen einen temporären 2.Faktor für das VPN einrichten kann.

 

3. Beim ersten Login werden Sie direkt aufgefordert, Ihren ersten Token zu generieren.

Vergeben Sie im Beschreibungsfeld einen kurzen Namen wie z.b. "HSH 1".

Nach Klicken auf "Token ausrollen" erscheint im nächsten Schritt ein QR-Code.

 

4. Auf dem Smartphone mit der App durch Abfotografieren des QR-Codes den Token übernehmen.

In der App freeOTP dazu auf das "+" und dann das QR-Code-Icon tippen - bei anderen Apps analog vorgehen.

 

5. Sie können den QR-Code nun noch mit weiteren Geräten übernehmen oder auch für jedes Gerät einen eigenen Token erstellen.

Sie können maximal 3 Token generieren.

 

6. Zukünftig wird bei der VPN-Anmeldung dem Passwort noch das Einmalpasswort angehängt.

 

Hierzu das Einmalpasswort durch Antippen des Tokens in der App generieren - es erscheint eine 6-stellige Zahl, die Sie an Ihr Passwort anhängen.

 

Beispiel: Ihr Nutzername sei "m5678". Ihr Passwort sei "ggeheimm". Ihre Smartphone-App gibt nach Antippen des Tokens "314159" als Einmalpasswort aus. Dann gibt man im Forticlient als Nutzername wie gewohnt "m5678" und als Passwort "ggeheimm314159" an.

 

FAQ

 

0. Ich habe gar kein Smartphone oder kann damit nicht umgehen - was soll ich tun?

 

   Wenn Sie Mitarbeiter der Hochschule sind, können wir Ihnen ein Hardware-Token aushändigen, daß allerdings ausschliesslich für den Dienst an der Hochschule verwendbar ist.

   Die komfortablere Lösung, die auch für Ihre privat genutzten Dienste tauglich wäre, ist die Verwendung eines Smartphones - ist wie immer gar nicht so schwer, wie es sich liest :)

 

1. Ich komme mit diesen technischen Dingen nicht klar, was kann ich tun? 

 

    Bei Fragen können Sie sich als Studierende gerne an den CH!P und als Mitarbeitende an den Helpdesk wenden.

 

2. Ich habe mein Smartphone gerade nicht dabei, was nun?

 

    Den Helpdesk anrufen, der Ihnen einen temporären Token erzeugen kann.

 

3. Ich habe mein Smartphone verloren oder es wurde gestohlen, was nun?

 

   Löschen Sie sicherheitshalber alle Ihre Token unter https://mfa.hs-harz.de. Sie können dann einen neuen Token anlegen und in Ihr Ersatzgerät übernehmen. Wichtig ist, komplett mit neuen Token zu starten, auch wenn Sie noch weitere Token auf anderen Geräten haben.

 

   Sind Sie nicht vor Ort, wenden Sie sich bitte an unser HelpDesk.


4. Ich habe ein paar Mal das Einmalpasswort falsch eingegeben, nun kommt eine komische Fehlermeldung. Warum klappt die Anmeldung nicht?

 

   Nach 5 fehlgeschlagenen Login-Versuchen wird ihr Account für einen halbe Stunde gesperrt. Danach ist ein Login wieder möglich.

 

   Wenn Sie sich im Netz der Hochschule befinden, können Sie auch direkt auf https://mfa.hs-harz.de gehen und den Fehlerzähler an Ihrem Token selbst zurücksetzen.

 

5. Ich möchte mit mehreren Geräten ein Einmalpasswort generieren, geht das?

 

    Ja. Man generiere einfach mehrere Token. Maximal sind 3 Token erlaubt. Man kann auch einen Token mit verschiedenen Geräten abfotografieren, falls dies nicht reichen sollte.

 

6. Ich möchte den Token nachträglich nochmal scannen, geht das?

 

    Nein, dies ist aus Sicherheitsgründen nicht möglich. Erzeugen Sie einfach einen neuen Token (und löschen den Alten).

 

7. Ich habe mir einen Token generiert, nutze aber das SSL-VPN  ("Forticlient") nicht, was nützt mir das jetzt?

 

   Wenn Sie schon eine App installiert haben, können Sie diese auch für alle Ihre privat genutzten Dienste im Internet verwenden, die einen zweiten Faktor anbieten, um die Sicherheit zu erhöhen. Jeder Dienst wird Ihnen einen eigenen geheimen Token zum abfotografieren anbieten.

 

8. Ich möchte lieber den Google-Authenticator statt freeOTP nutzen,  warum klappt das nicht?

 

   Der Google-Authenticator wird nicht mehr gepflegt und unterstützt nur den SHA-1-Algorithmus, der als unsicher eingestuft ist. Unsere Einmalpasswörter nutzen sichere Hash-Algorithmen.

   Die Nutzung anderer aktueller 2FA-Apps ist an unserem System natürlich problemlos möglich.

 

9. Welche 2FA-Apps sind empfehlenswert?

 

   Grundsätzlich erfüllen alle aktuellen Anwendungen die Erfordernisse.

   Aus Datenschutzsicht empfehlenswert sind freeOTP, freeOTP+, Aegis Authenticator, 2FAS.

   Abgeraten wird von Microsoft Authenticator, Authy.  Authy scheint unter Apple zudem das Problem zu haben, die Gültigkeitsdauer unserer Token zu ignorieren.