Passkeys sind eine Phishing-resistente Alternative zu herkömmlichen Passwörtern. Hierbei authentisieren Sie sich durch Nutzung eines Hardwaretokens (z. B. YubiKey der Firma Yubico), auf dem ihr Passkey gespeichert und mit PIN gesichert ist.
Alternativ ist auch das Speichern ihres Passkeys auch auf ihrem Smartphone, Tablet oder privaten Windows-PC mit „Windows Hello“ (dies wird auf Dienstrechnern der TH nicht unterstützt!) möglich. Hier schützt dann ebenso eine PIN oder biometrische Daten (Fingerabdruck, Gesichtserkennung etc.) den Zugriff.
Diese Geräte sind dann ihre lokalen „Passkey-Provider“ und prüfen auf Anfrage, ob ein "Token" für das System existiert, bei dem Sie sich per Passkey anmelden wollen. Als Passkey-Provider funktionieren ebenso einige Passwortmanager.
Die nächsten Schritte demonstrieren, wie Sie ein Passkey als Authentisierung-Token für die TH AB einrichten können.
1) Rufen sie mfa.th-ab.de auf
Nach der bekannten Shibboleth-Anmeldung mit Login und Passwort können Sie sich mit Ihrer Hochschulkennung bei eduMFA anmelden:
2) Erstellen sie einen Passkey
Wählen Sie in dem Menü (1) »Token ausrollen« und in dem Drop-down-Menü (2) den Tokentyp „WebAuthn“. Dies ist die technische Bezeichnung für die Methode mittels Passkeys.
In dem Feld Beschreibung können Sie für sich selbst eine kurze Information für diese Authentisierungsvariante („Token“) hinterlegen, um in der Zukunft nachvollziehen zu können, von welchem Gerät der Token stammt.
Mit einem Klick auf den Button (3) „Token Ausrollen“ werden sie zum nächsten Schritt weitergeleitet.
3. Folgen sie den Anweisungen ihres Betriebssystems oder Webbrowsers:
Je nach verwendetem Browser und exaktem Betriebssystem (Windows 10 oder 11) werden Sie eine vergleichbare Meldung erhalten. Falls Sie im verwendeten Browser bereits Ihr Smartphone für Passkeys genutzt haben, wird dieses direkt angegeben. Wählen Sie alternativ „Anderes Smartphone, Tablet oder anderen ...“, wenn Sie weitere Geräte als lokalen Passkey-Provider nutzen möchten.
Für die Einrichtung eines YubiKey wählen Sie „Windows Hello oder externer Sicherheitsschlüssel“ (Windows 11) bzw. „Sicherheitsschlüssel“ (Windows 10):
Bestätigen Sie die nachfolgenden Sicherheitsmeldungen mit OK:
Und folgen Sie den Anweisungen, um den YubiKey in einen USB-Port Ihres Rechners zu stecken:
Falls Sie den YubiKey erstmalig verwenden, ist es erforderlich eine PIN festzulegen. Diese PIN werden Sie immer dann benötigen, wenn Sie sich mit dem YubiKey und gespeichertem Passkey statt mit Login und Passwort anmelden. Die PIN kann alphanumerische Zeichen enthalten. Wir empfehlen eine Länge von mindestens 8 Zeichen.
Danach müssen Sie zur Speicherung dieser PIN physikalisch auf den YubiKey tippen (das y-Symbol leuchtet beim Antippen).
Danach sollte diese Authentisierungsmethode als Token angelegt sein und als solcher erscheinen.
HINWEIS: wenn dieser Prozess zu lange dauert oder etwas schiefgelaufen sein sollte, dann wird beim Rollout-Status „client_wait“ angezeigt. Löschen Sie in diesem Fall den Token und starten Sie den Vorgang erneut!
4. Passkeys verwenden
Um den YubiKey mit dem gespeicherten Passkey zu verwenden, klicken Sie im Anmeldebildschirm auf die Schaltfläche „Passkeys“ und befolgen Sie alle weiteren Anweisungen.
HINWEIS:
Der YubiKey wird nach 8 nacheinander falsch eingegebenen PIN Eingaben gesperrt!