FAQ - MFA
Was ist MFA?
MFA ist die Abkürzung für eine "Multi-Faktor-Authentisierung", hierbei wird die Benutzeranmeldung zusätzlich zum Passwort um einen oder mehrere weitere Teile (Faktoren) ergänzt. Durch die Verwendung unterschiedlicher Faktoren bleibt die Anmeldung auch im Falle eines gestohlenen Passwortes sicher.
An der HTWG wird MFA in der Form von 2FA (2-Faktor-Anmeldung, 2-Faktor-Authentisierung) eingesetzt, bei der zum Passwort ein zweiter Faktor verwendet wird. Der erste Teil ist das bereits vorhandene persönliche Passwort, der zweite Teil ist ein sogenannter Schlüssel (oder auch "Token"). Diese Schlüssel gibt es als Hardware für den Schlüsselbund oder in digitaler Form für die Nutzung mit z.B. einer Smartphone App.
Welche Token stehen zur Verfügung?
Mitarbeitende der Hochschule erhalten auf Wunsch einen Hardwareschlüssel vom Typ "YubiKey". Der YubiKey sieht wie ein USB-Stick aus und wird wie ein solcher mit dem Gerät verbunden, auf dem die Anmeldung erfolgen soll. Wenn kein passender Anschluss vorhanden ist, kann ein Adapter verwendet werden (u.a. USB-C, OTG bei Android, Lightning bei iOS). Die YubiKeys haben einen mit "y" beschrifteten Knopf, der den zweiten Teil des Passwortes automatisch erzeugt und eingibt, wenn er gedrückt wird.
Alle Nutzer können digitale Tokens in Form von Einmalkennwörtern verwenden (OTP / One-Time-Password). Die OTPs sind sechsstellige Zahlen, die mit einer App auf dem Smartphone erzeugt werden und immer nur für eine einzige Anmeldung kurz nach der Erzeugung gelten. Ist kein Smartphone vorhanden, gibt es auch spezielle Hardwaregeräte mit der gleichen Funktion (z.B. "Authenticator" von "REINERSCT").
Auch für Mitarbeitende empfehlen wir die zusätzliche Einrichtung eines digitalen OTP Token als Backup, falls der Hardwareschlüssel einmal nicht greifbar sein sollte.
Welche Dienste unterstützen MFA?
An der Hochschule wird MFA für die Einwahl über VPN unterstützt. Derzeit erfolgt die schrittweise Umstellung der bisherigen Zugänge auf die verpflichtende Nutzung von MFA.
Was passiert, wenn ich meinen YubiKey verliere?
Melden Sie den Verlust bitte umgehend via Mail an rechenzentrum@htwg-konstanz.de
Einen neuen Key erhalten Sie nach vorheriger Absprache im Helpdesk des RZ, die Freischaltung für die Verwendung kann nach der Ausgabe bis zu zwei Arbeitstage in Anspruch nehmen. Nutzen Sie während dieser Zeit Ihr OTP Token. Falls Sie kein OTP Token als Backup angelegt haben, können Sie VPN bis zur Freischaltung nicht verwenden.
Mein Smartphone ist kaputt, was kann ich machen?
Während der Erstellung des OTP haben Sie den dort angezeigten QR Code ausgedruckt. Installieren Sie auf Ihrem Ersatzgerät die "FreeOTP Authenticator" App und scannen Sie den QR Code vom Ausdruck, damit ist der Token erfolgreich übertragen.
Wie mache ich ein Backup für meinen Zugang?
Wenn Sie Ihren zweiten Faktor nicht zur Hand haben, können Sie keine VPN Verbindung herstellen.
Sorgen Sie deshalb bitte im Vorfeld für Alternativen. Wenn Sie üblicherweise einen YubiKey nutzen, legen Sie sich bitte ein OTP Token als Sicherheit an. Wenn Sie ausschließlich OTP nutzen, erzeugen Sie bitte einen weiteren Token auf einem Ersatzgerät. Vergessen Sie in beiden Fällen bitte nicht, den angezeigten QR Code auszudrucken und den Ausdruck sicher zu verwahren.
Eine Neuerstellung durch das RZ kann bis zu zwei Arbeitstage dauern. Die anschließende Übergabe ist nicht telefonisch möglich sondern erfolgt persönlich am Helpdesk des RZ.
Wie funktioniert die Anmeldung mit MFA?
Bei der 2FA Anmeldung an den Diensten der HTWG geben Sie im Eingabefeld für das Passwort beide Faktoren ein. Dazu geben Sie Ihr Kennwort ein, ohne die Eingabe mit RETURN zu bestätigen, der Cursor muss im Eingabefeld bleiben.
Falls Sie einen YubiKey verwenden, drücken Sie jetzt die leuchtende "y" Taste. Der Key erzeugt ein Kennwort, gibt es automatisch ein und meldet Sie an.
Falls Sie OTPs verwenden, lesen Sie die aktuell gültige 6-stellige Zahl aus der App aus, geben Sie diese direkt anschließend an das Passwort ein und bestätigen Sie die Eingabe mit RETURN.
Welche Apps kann ich für die Erzeugung von OTPs verwenden?
Grundsätzlich sollten alle verfügbaren Apps geeignet sein, empfohlen wird der "FreeOTP Authenticator" von "Red Hat". Bitte achten Sie darauf, die korrekte App in den Stores zu wählen, oft gibt es mehrere ähnlich klingende Alternativen wie beispielsweise "FreeOTP+", deren Qualität das Rechenzentrum nicht beurteilen kann.
Welche VPN Software kann ich installieren?
Die "OpenVPN Connect" Software kann von der offiziellen Webseite (https://openvpn.net -> Products -> Connect Client) für die Betriebssysteme MS Windows, Apple macOS sowie für einige moderne Linux Distributionen bezogen werden. Für die mobilen Betriebssysteme Android und iOS steht die Software in den Appstores ebenfalls zur Verfügung.
Bei Problemen mit der offiziellen Software können auch andere Clients verwendet werden, unter Windows beispielsweise der "Community Client" (https://openvpn.net -> Community -> Downloads), unter macOS "Tunnelblick" (https://tunnelblick.net) oder unter Linux die in der verwendeten Distribution enthaltenen Möglichkeiten. Wenden Sie sich für weitere Unterstützung in diesen Fällen bitte an die jeweiligen Hersteller.
Warum kann die Verbindung nach einer Störung nicht automatisch wieder aufgebaut werden?
Das Einmalpasswort verliert mit der Anmeldung seine Gültigkeit, deshalb muss für den erneuten Aufbau der Verbindung ein neues Passwort eingegeben werden.
Warum kann das Passwort nicht gespeichert werden?
Das Einmalpasswort verliert mit der Anmeldung seine Gültigkeit, deshalb muss für den erneuten Aufbau der Verbindung ein neues Passwort eingegeben werden.