Multi-Faktor-Authentisierung/Authentifizierung (MFA) ist eine wichtige Funktion, um den Fremdzugriff auf Ihr Konto (Account) zu unterbinden, falls Cyberkriminelle z. B. über Phishing oder Malware (Keylogger, Infostealer, etc.) Nutzername und Passwort abgegriffen haben.
Mit eduMFA existiert ein System, mit dem Sie ihren Login an verschiedenen Systemen mit einem zweiten Faktor absichern können.
Aktuell wird dieser Authentisierungs-Token nur in unserem zentralen Login System Shibboleth (idpc.th-ab.de) abgefragt. Somit bieten die nachfolgenden Webdienste einen zusätzlichen Schutz:
Moodle, FAUbox, Opencast, UCware Telefon-Softclient, Zoom, Helpdesk Ticketsystem,
HISinOne - CampusPortal, etc.
Die Einrichtung von MFA umfasst drei unterschiedliche Optionen, die je nach Benutzergruppe und Anforderungen empfohlen bzw. eingerichtet werden müssen.
Weitere Informationen hierzu entnehmen Sie bitte dem PDF im Anhang zu diesem Artikel!
Option 1: Passkey auf Sicherheitsschlüssel („Hardware-Token“) - z. B. YubiKey
Bei der bevorzugten Variante mit Sicherheitsschlüssel ersetzt MFA mittels Passkey die bisherige Eingabe von Nutzername und Passwort.
- Ihr Passkey ist dann auf einem externen Sicherheitsschlüssel gespeichert und mit eigener PIN abgesichert (z. B. YubiKey mit USB-Anschluss). Zusätzlich erfordert die Nutzung des YubiKeys eine physische Interaktion - d. h. ein Antippen des YubiKeys
- Diese Variante ist für angestellte Mitarbeitende, sowie Professorinnen und Professoren empfohlen, da sie eine erhöhte Sicherheit bietet! Bitte holen Sie sich Ihren hierfür benötigten persönlichen YubiKey bei Ihrem zuständigen Dekanat, bzw. dem Rechenzentrum ab.
- ACHTUNG: Zusätzlich zu dieser Option ist noch eine Einrichtung der Option 2 oder 3 als Backup/Alternative zwingend erforderlich!
Option 2: Passkey auf Smartphone
Bei dieser Option wird der Passkey auf Ihrem (privaten) Smartphone gespeichert und in ihrem integrierten Passwort Manager synchronisiert. Auch diese (komfortablere) Option nutzt MFA mit Passkey und ersetzt somit komplett die bisherige Eingabe von Nutzername und Passwort
- Der Passkey auf Ihrem Smartphone ist durch biometrische Verfahren abgesichert (Fingerabdruck, Face ID etc.)
- Diese Variante ist für die Studierenden und externen Lehrbeauftragten die primäre Anmeldemethode. Für die angestellten Mitarbeitenden und Professorinnen und Professoren die sekundäre
- WICHTIG: Benötigt eine Bluetooth-Verbindung zwischen Anmelde-PC und Smartphone!
- ACHTUNG: Keine Unterstützung für Mozilla Firefox unter Windows 10! Nutzen Sie alternativ z. B. Microsoft Edge auf dem Windows-PC. Erst mit dem aktuellsten Windows 11 wird auch Mozilla Firefox unterstützt.
Option 3: MFA mit zeitbasiertem Einmalkennwort
Nur für Situationen, in denen eine Verbindung des Smartphones mit dem Anmelde-PC per Bluetooth nicht möglich ist (Option 2), bzw. kein Sicherheitsschlüssel zur Verfügung steht oder aufgrund fehlender USB-Ports (z. B. virtualisiertes System) nicht genutzt werden kann.
- Zusätzlicher Faktor: ein zeitbasiertes Einmalkennwort mit 30s Gültigkeit (TOTP - time-based one time password), welches Sie aus einer Authenticator App an ihrem Smartphone beziehen. Diese Variante sollte mindestens als Backup-Lösung zum Einloggen eingerichtet sein, um sich auch in Hörsälen, Rechnerräumen oder Labor-Rechnern anmelden zu können.
Die Nutzung von MFA im Allgemeinen erhöht die IT-Sicherheit und schützt vor Missbrauch, falls z. B. Logins und Passwörter per Phishing oder Spyware abgegriffen wurden oder gar Passwörter via Brute-Force-Attacken "erraten" werden bzw. zu schwach sind.
Hands-On Videos zur Einrichtung finden Sie außerdem in den Kursen zur IT-Sicherheit auf Moodle: https://moodle.th-ab.de/course/view.php?id=6159#section-4
Authentisierungsmethoden/Token Registrieren
Option 1: Einrichtung Sicherheitsschlüssel (YubiKey): Passkey registrieren
Option 2: Einrichtung Passkey auf Smartphone: Passkey auf einem Smartphone einrichten