zum Hauptinhalt wechseln zum Hauptmenü wechseln zum Fußbereich wechseln Universität Bielefeld Play Search
zum Hauptinhalt wechseln

Bielefelder IT-Servicezentrum

Logo vom BITS mit dem Schriftzug: BITS
Glasfaserkabel in einem Rechenzentrum
© Universität Bielefeld | BITS

Zwei-Faktor-Authentifizierung (2FA)

Zum Hauptinhalt der Sektion wechseln

2FA-Kontenverwaltung

Direktlinks:
-> Sicherheitsschlüssel
-> Sicherheitscodes per App
-> Ersatzcodes

Die Zwei-Faktor-Authentifizierung (2FA) nutzt bei der Anmeldung auf der Logindomäne login.uni-bielefeld.de neben dem persönlichen Passwort noch einen weiteren Faktor zur Absicherung. Wir setzen als zweiten Faktor einen physikalischen Sicherheitsschlüssel oder alternativ Einmal-Sicherheitscodes per App ein. Etwaige Angreifer müssten also das persönliche Passwort UND den zweiten Faktor stehlen.

2FA aktivieren und einrichten

Sicherheitsschlüssel / Hardware-Token 🔑

Wichtig: Für Beschäftigte der Universität ist dies das Standardverfahren.

Zur Nutzung der 2FA werden physikalische Sicherheitsschlüssel (Hardware-Token) über das FIDO-Verfahren genutzt. Die Aktivierung und Einrichtung dafür müssen über die Kontenverwaltung vorgenommen werden.

Beschäftigte der Uni Bielefeld erhalten einen YubiKey-Hardware-Token in der BITS-Beratung im Raum UHG A0-301.

Anleitungen:

1.

Die Seite https://login.uni-bielefeld.de/kv/fido öffnen (Login notwendig) und dort auf Registrierung eines neuen Sicherheitsschlüssels gehen.

2.

Auf dieser Seite auf Registrieren gehen, einen Sicherheitsschlüssel (Token) für den Account zu verknüpfen.

3.

Es öffnet sich eine Windows-Meldung mit der Frage, wo der Hauptschlüssel gespeichert werden soll. Hier Sicherheitsschlüssel auswählen.

4.

Auf OK klicken.

5.

Nun spätestens den YubiKey am Gerät einstecken.

6.

Nun auf den leuchtenden Button des YubiKey tippen.

7.

Diese Meldung mit OK bestätigen.

8.

Die Meldung des Webseite ebenfalls mit OK bestätigen.

Die 2-Faktor-Authentifizierung per Token ist nun aktiv.

9.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

10. Anmeldung nach registriertem YubiKey

Bei der nächsten Anmeldung sieht die Anmeldeseite so aus. Es bietet nun den Login per Sicherheitsschlüssel.

1.

Die Seite https://login.uni-bielefeld.de/kv/fido öffnen (Login notwendig) und dort auf Neuen Sicherheitsschlüssel einrichten gehen.

2.

Auf dieser Seite auf Registrieren gehen, einen Sicherheitsschlüssel (Token) für den Account zu verknüpfen.

3.

Es öffnet sich eine Meldung zum Sicherheitsschlüssel.

Nun spätestens den YubiKey am Gerät einstecken.

4.

Auf den leuchtenden Button des YubiKey tippen und die Verbindung zum Yubikey mit Erlauben bestätigen.

5.

Die Meldung des Webseite ebenfalls mit OK bestätigen.

Die 2-Faktor-Authentifizierung per Token ist nun aktiv.

6.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

7. Anmeldung nach registriertem YubiKey

Bei der nächsten Anmeldung sieht die Anmeldeseite so aus. Es bietet nun den Login per Sicherheitsschlüssel.

1.

Die Seite https://login.uni-bielefeld.de/kv/fido öffnen (Login notwendig) und dort auf Registrierung eines neuen Sicherheitsschlüssels gehen.

2.

Auf dieser Seite auf Registrieren gehen, einen Sicherheitsschlüssel (Token) für den Account zu verknüpfen.

3.

Es öffnet sich eine Linux-Meldung zum Sicherheitsschlüssel. 

4.

Nun spätestens den YubiKey am Gerät einstecken und auf den leuchtenden Button des YubiKey tippen.

5.

Die Meldung des Webseite mit OK bestätigen.

Die 2-Faktor-Authentifizierung per Token ist nun aktiv.

6.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

7. Anmeldung nach registriertem YubiKey

Bei der nächsten Anmeldung sieht die Anmeldeseite so aus. Es bietet nun den Login per Sicherheitsschlüssel.

Generierung von Sicherheitscodes per App 📱

Als Alternative zum Hardware-Token, kann 2FA auch mit Sicherheitscodes per App ("Authenticator App") auf dem Smartphone mit dem Verfahren TOTP genutzt werden. Diese "Time-based One-time Password"-Apps generieren alle 30 Sekunden eine 6-stellige Zahl (Sicherheitscode), der als zweiter Faktor genutzt wird.

Wir empfehlen die Nutzung der App "2FAS", die unter Android und iOS verfügbar ist:


Für Expert*innen:
Unsere 2FA implementiert das TOTP'- Verfahren nach RFC 6238. Im Prinzip kann daher jedes Gerät bzw. jede App verwendet werden, die diesen Standard unterstützt.

2FA per App für den eigenen Zugang einrichten

-> Zwei-Faktor-Authentifizierung in Kontenverwaltung einrichten

So lange die 2FA per App noch nicht aktiviert ist, gibt es dort einen Schalter, der die Aktivierung startet. Die Seite zeigt dann einen QR-Code an, der mit einer geeigneten ''Authenticator App'' auf dem Smartphone eingescannt wird.

Anleitung:

1.

Voraussetzung:
Installierte 2FAS-App (Download-Link oben)

Die Kontenverwaltung öffnen (Login notwendig) und dort auf Einrichtung starten gehen.

2.

Es wird nun ein QR-Code angezeigt. Um diesen zu Scannen, muss die 2FAS-App auf dem Smartphone geöffnet werden.

3.

Hier auf Neuen Dienst koppeln tippen und danach den QR-Code vom Bildschirm "aufnehmen".

Hinweis Geräten ohen Kamera und anderen Apps:

Falls Sie Probleme beim Einscannen des QR-Codes haben oder falls Sie ein Gerät verwenden, welches nicht über eine Kamera verfügt, können Sie den grundlegenden Schlüssel für die Einrichtung der App auch manuell eingeben. Dazu wird Ihnen der Schlüssel unterhalb des QR-Codes angezeigt. Die Eingabe dieses langen Textes ist fehlerträchtig und wird daher nur im Ausnahmefall empfohlen.

Die meisten Apps bieten eine entsprechende Option zur manuellen Eingabe zusätzlich zum Scannen des QR-Codes an. Dabei müssen Sie selbst einen Namen für das Konto vergeben ("Uni Login" bietet sich hier an) und meist auch einstellen welches Generierungsverfahren ('zeitbasiert') verwendet wird.

Danach funktioniert Ihre App aber genauso, also ob Sie den QR-Code eingescannt hätten.

4.

Es wird ein TOTP-Code angezeigt.

5.

Den TOTP-Code auf der Webseite eingeben.

Dabei den Countdown beachten. Alle 30 Sekunden wird ein neuer Code generiert.

Innherhalb dieser Zeit muss auf Einrichtung abschließen geklickt werden.

6.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

Nutzung der 2FA

Ist 2FA per Sicherheistschlüssel und/oder per App aktiviert, wird nach Eingabe der primären, persönlichen Zugangsdaten eine weitere Seite für den zweiten Faktor angezeigt.

Sicherheitsschlüssel (Hardware-Token)

Ist ein Sicherheitsschlüssel/Hardware-Token registriert, wird nach Klick auf "Login per Sicherheitsschlüssel" der Token benötigt und muss am Gerät angeschlossen sein.

Diese Anmeldung lässt sich über Aktivieren der Option "Für 30 Tage merken" auf dem Gerät bzw. im genutzten Browser speichern. D. h. 30 Tage lang wird nicht mehr nach dem zweiten Faktor gefragt.

Sicherheitscodes per App

Wird eine Authenticator App per TOTP genutzt, muss der aktuelle 6-stellige Code aus der App eingegeben werden.

Diese Anmeldung lässt sich über Aktivieren der Option "Für 30 Tage merken" auf dem Gerät bzw. im genutzten Browser speichern. D. h. 30 Tage lang wird nicht mehr nach dem zweiten Faktor gefragt.

Ersatzcodes

Auf die Schnelle: Neue Ersatzcodes📝

Die Ersatzcodes sind fast aufgebraucht und es müssen neue generiert werden?

Hier gehts direkt zur Verwaltung Ihrer Ersatzcodes für die Zwei-Faktor-Authentifizierung

Wenn Sicherheitsschlüssel oder Sicherheitscodes per App aktiviert werden

Wenn die Aktivierung der Zwei-Faktor-Authentifizierung erfolgreich abgeschlossen wird, werden die ''Ersatzcodes'' angezeigt. Diese kurze Liste von 8-stelligen Codes sollte sofort ausgedruckt oder in einem Passwortmanager abgelegt und sicher verwahren werden. Mit den Ersatzcodes kann sich auch ohne Hardware-Token oder Smartphone angemeldet werden, was eine sinnvolle Alternative sein kann, wenn der Akku leer ist oder Token nicht zur Hand haben oder auf ein neues Gerät gewechselt wurde.

Die Ersatzcodes ''verbrauchen'' sich dabei, sind also nur ein einziges Mal einsetzbar. Bitte unbedingt darauf achten, rechtzeitig Codes nachzugenerieren - im Zweifelsfall wird der letzte Ersatzcode gebraucht, um sich neue Codes zu generieren oder die 2FA wieder abzuschalten.

-> Verwaltung der Ersatzcodes

Auf dieser Seite wird die Liste der noch gültigen Ersatzcodes angezeigt. Sobald ein Code verwendet wurde, verschwindet er von der Liste. Sobald alle Codes verbraucht wurden, ist die Liste leer.

Wenn Ersatzcodes nicht akzeptiert werden

Wenn Sie bei der Anmeldung mit einem Ersatzcode vom System abgewiesen werden, so kann dies abgesehen von einem Tippfehler nur den Grund haben, dass der Code bereits verbraucht wurde. Sie sollten dann einen anderen Code auf Ihrer Liste verwenden. Stellen Sie dabei sicher, dass Sie eine aktuelle Liste von Ersatzcodes verwenden.

Wenn Sie sich sicher sind, dass Sie einen Ersatzcode nicht selbst verwendet haben, dann sollten Sie unbedingt diese Schritte ausführen:

Vertrauenswürdige Geräte

Bei der ersten Anmeldung auf einem Gerät oder Browser per 2FA, kann mit der Option "Für 30 Tage merken" das Gerät/Borwser als vertrauenswürdig eingestuft werden.
Wählen Sie diese Option, so werden Sie erst nach 30 Tagen auf diesem Rechner wieder nach Ihrem Sicherheitscode gefragt. Ihr Passwort müssen Sie natürlich bei jedem Login weiterhin eingeben.

Auf Rechnern, die man sich mit anderen Benutzern teilt, sollte die Option nicht verwendet werden. Dies gilt erst recht für öffentlich nutzbare Rechner. Auf Rechnern, die man nur selten verwendet, lohnt die Nutzung der Option meist nicht und ein potentielles Sicherheitsrisiko wird vermieden.

Der typische Anwendungsfall ist daher der eigene Arbeitsplatzrechner, den man täglich verwendet, bei dem der Zugang durch ein persönliches Passwort geschützt ist und der professionell betreut wird.

Ihre vertrauenswürdigen Geräte können auf dieser Seite verwaltet werden:

-> Meine Geräte

 

2FA wieder abschalten

In der Seite zur Verwaltung der 2FA gibt es auch den Weg um diese wieder zu deaktivieren. Dazu mussen allerdings der zweite Faktor im Zugriff sein, eine Abschaltung allein mit ihrem Passwort ist nicht möglich, selbst wenn es sich um einen vertrauenswürdiges Gerät handelt.

Personen die von uns ein ''Security Token'' - also ein spezielles Gerät für die Generierung der Sicherheitscodes - erhalten haben, können die Zwei-Faktor-Authentifizierung nicht selbst wieder deaktivieren, da hier noch spezielle Konfigurationen auf Systemseite notwendig sind und das Token wieder zurückgegeben werden muss. Bitte in diesem Fall an den BIS-Support wenden.

 

2FA per TOTP auf ein neues Smartphone umziehen

Einige "Authenticator Apps" bieten Möglichkeiten an um einen TOTP Code zu exportieren und so auf ein neues Smartphone zu bringen. Wenn diese Möglichkeit nicht (mehr) besteht, bitte Folgendes tun:

-> Mit einem Ersatzcode die 2FA abschalten und dann mit dem neuen Gerät wieder einrichten.

Da bei einer Abschaltung der 2FA auch alle Vertrauensstellungen von Rechnern aufgehoben werden,  ist eine erneute Anmeldung an allen Geräten mit dem zweiten Faktor notwendig. Dabei können die gewünschten Vertrauensstellungen ("Für 30 Tage merken") wieder aufbauen. Auch neue Ersatzcodes werden dabei erstellt.

Wenn man sich ausgesperrt hat

Der Hardware-Token oder Smartphone sind gerade nicht zur Hand bzw. gingen verloren?
Der letzte Ersatzcode ist verbraucht oder sind nicht Verfügbar?

Studierende wenden sich bitte an bits@uni-bielefeld.de.

Beschäftigte wenden sich bitte an den servicedesk@uni-bielefeld.de.

Zum Seitenanfang
Live chat