zum Hauptinhalt wechseln zum Hauptmenü wechseln zum Fußbereich wechseln Universität Bielefeld Play Search
zum Hauptinhalt wechseln

Bielefelder IT-Servicezentrum

Logo vom BITS mit dem Schriftzug: BITS
Glasfaserkabel in einem Rechenzentrum
© Universität Bielefeld | BITS

Zwei-Faktor-Authentifizierung (2FA)

Zum Hauptinhalt der Sektion wechseln

2FA-Kontenverwaltung

-> FIDO (Hardwaretoken)
-> TOTP (Authenticator App)
-> Ersatzcodes

Die Zwei-Faktor-Authentifizierung (2FA) nutzt bei der Anmeldung auf der Logindomäne login.uni-bielefeld.de neben dem persönlichen Passwort noch einen weiteren Faktor zur Absicherung. Wir setzen als zweiten Faktor einen Hardware-Token (FIDO) oder alternativ Einmal-Codes (TOTP) ein. Etwaige Angreifer müssten also das persönliche Passwort UND den zweiten Faktor stehlen.

2FA aktivieren und einrichten

Sicherheitsschlüssel / Hardware-Token (FIDO)

Wichtig: Für Beschäftigte der Universität ist dies das Standardverfahren.

Zur Nutzung der 2FA werden physikalische Sicherheitsschlüssel (Hardware-Token) über das FIDO-Verfahren genutzt. Die Aktivierung und Einrichtung dafür müssen über die Kontenverwaltung vorgenommen werden.

Beschäftigte der Uni Bielefeld erhalten einen YubiKey-Hardware-Token in der BITS-Beratung im Raum UHG A0-301.

Anleitungen:

1.

Die Seite https://login.uni-bielefeld.de/kv/fido öffnen (Login notwendig) und dort auf Registrierung eines neuen Sicherheitsschlüssels gehen.

2.

Auf dieser Seite auf Registrieren gehen, einen Sicherheitsschlüssel (Token) für den Account zu verknüpfen.

3.

Es öffnet sich eine Windows-Meldung mit der Frage, wo der Hauptschlüssel gespeichert werden soll. Hier Sicherheitsschlüssel auswählen.

4.

Auf OK klicken.

5.

Nun spätestens den YubiKey am Gerät einstecken.

6.

Bei erstmaliger Nutzung des YubiKeys muss eine selbstgewählte PIN vergeben werden.

Wichtig: Diese muss gut gemerkt und/oder sicher gespeichert werden, da sie für die spätere Anmeldung gebraucht wird!

7.

Nun auf den leuchtenden Button des YubiKey tippen.

8.

Diese Meldung mit OK bestätigen.

9.

Die Meldung des Webseite ebenfalls mit OK bestätigen.

Da nun die 2-Faktor-Authentifizierung per Token aktiv ist.

10.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

11. Anmeldung nach registriertem YubiKey

Bei der nächsten Anmeldung sieht die Anmeldeseite so aus. Es bietet nun den Login per Sicherheitsschlüssel.

1.

Die Seite https://login.uni-bielefeld.de/kv/fido öffnen (Login notwendig) und dort auf Neuen Sicherheitsschlüssel einrichten gehen.

2.

Auf dieser Seite auf Registrieren gehen, einen Sicherheitsschlüssel (Token) für den Account zu verknüpfen.

3.

Es öffnet sich eine Meldung zum Sicherheitsschlüssel.

Nun spätestens den YubiKey am Gerät einstecken.

4.

Auf den leuchtenden Button des YubiKey tippen und die Verbindung zum Yubikey mit Erlauben bestätigen.

5.

Die Meldung des Webseite ebenfalls mit OK bestätigen.

Da nun die 2-Faktor-Authentifizierung per Token aktiv ist.

6.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

7. Anmeldung nach registriertem YubiKey

Bei der nächsten Anmeldung sieht die Anmeldeseite so aus. Es bietet nun den Login per Sicherheitsschlüssel.

Generierung von Sicherheitscodes per App (TOTP)

Als Alternative zum Hardware-Token, kann 2FA auch mit Sicherheitscodes per App ("Authenticator App") auf dem Smartphone mit dem TOTP-Verfahren genutzt werden. Diese "Time-based One-time Password"-Apps generieren alle 30 Sekunden eine 6-stellige Zahl (Sicherheitscode), der als zweiter Faktor genutzt wird.

Wir empfehlen die Nutzung der App "2FAS", die unter Android und iOS verfügbar ist:


Für Expert*innen:
Unsere 2FA implementiert das TOTP'- Verfahren nach RFC 6238. Im Prinzip kann daher jedes Gerät bzw. jede App verwendet werden, die diesen Standard unterstützt.

2FA per TOTP für den eigenen Zugang einrichten

Auf dieser Seite der Kontenverwaltung kann sich die 2FA selbst eingerichtet werden:

So lange die 2FA per TOTP noch nicht aktiviert ist, gibt es dort einen Schalter, der die Aktivierung startet. Die Seite zeigt dann einen QR-Code an, der mit einer geeigneten ''Authenticator App'' auf dem Smartphone eingescannt wird.

Anleitung:

1.

Voraussetzung:
Installierte 2FAS-App (Download-Link oben)

Die Kontenverwaltung öffnen (Login notwendig) und dort auf Einrichtung starten gehen.

2.

Es wird nun ein QR-Code angezeigt. Um diesen zu Scannen, muss die 2FAS-App auf dem Smartphone geöffnet werden.

3.

Hier auf Neuen Dienst koppeln tippen und danach den QR-Code vom Bildschirm "aufnehmen".

Hinweis Geräten ohen Kamera und anderen Apps:

Falls Sie Probleme beim Einscannen des QR-Codes haben oder falls Sie ein Gerät verwenden, welches nicht über eine Kamera verfügt, können Sie den grundlegenden Schlüssel für die Einrichtung der App auch manuell eingeben. Dazu wird Ihnen der Schlüssel unterhalb des QR-Codes angezeigt. Die Eingabe dieses langen Textes ist fehlerträchtig und wird daher nur im Ausnahmefall empfohlen.

Die meisten Apps bieten eine entsprechende Option zur manuellen Eingabe zusätzlich zum Scannen des QR-Codes an. Dabei müssen Sie selbst einen Namen für das Konto vergeben ("Uni Login" bietet sich hier an) und meist auch einstellen welches Generierungsverfahren ('zeitbasiert') verwendet wird.

Danach funktioniert Ihre App aber genauso, also ob Sie den QR-Code eingescannt hätten.

4.

Es wird ein TOTP-Code angezeigt.

5.

Den TOTP-Code auf der Webseite eingeben.

Dabei den Countdown beachten. Alle 30 Sekunden wird ein neuer Code generiert.

Innherhalb dieser Zeit muss auf Einrichtung abschließen geklickt werden.

6.

Abschließend werden die Ersatzcodes angezeigt. Diese bitte speichern/ausdrucken und an einem sicheren Ort aufbewahren.

Nutzung der 2FA

Ist 2FA über das FIDO- oder TOTP-Verfahren aktiviert, wird nach Eingabe der primären, persönlichen Zugangsdaten eine weitere Seite für den zweiten Faktor angezeigt.

Nutzung Sicherheitsschlüssel / Hardware-Token (FIDO)

Ist ein Sicherheitsschlüssel/Hardware-Token registriert, wird nach Klick auf "Login per Sicherheitsschlüssel" der Token benötigt und muss am Gerät angeschlossen sein.

Diese Anmeldung lässt sich über Aktivieren der Option "Für 30 Tage merken" auf dem Gerät bzw. im genutzten Browser speichern. D. h. 30 Tage lang wird nicht mehr nach dem zweiten Faktor gefragt.

Nutzung Authenticator App (TOTP)

Wird eine Authenticator App per TOTP genutzt, muss der aktuelle 6-stellige Code aus der App eingegeben werden.

Diese Anmeldung lässt sich über Aktivieren der Option "Für 30 Tage merken" auf dem Gerät bzw. im genutzten Browser speichern. D. h. 30 Tage lang wird nicht mehr nach dem zweiten Faktor gefragt.

Ersatzcodes

Auf die Schnelle: Neue Ersatzcodes

Ihre Ersatzcodes sind fast aufgebraucht und Sie müssen sich neue generieren?

Hier gehts direkt zur Verwaltung Ihrer Ersatzcodes für die Zwei-Faktor-Authentifizierung

Wenn FIDO oder TOTP aktiviert werden

Wenn die Aktivierung der Zwei-Faktor-Authentifizierung erfolgreich abgeschlossen wird, werden die '''Ersatzcodes''' angezeigt. Diese kurze Liste von 8-stelligen Codes sollte sofort ausgedruckt oder in einem Passwortmanager abgelegt und sicher verwahren werden. Mit den Ersatzcodes kann sich auch ohne Hard-ware-Token oder Smartphone angemeldet werden, was eine sinnvolle Alternative sein kann, wenn der Akku leer ist oder Token nicht zur Hand haben oder auf ein neues Gerät gewechselt wurde.

Die Ersatzcodes können an Stelle von FIDO oder TOTP verwendet werden. Sie '''verbrauchen''' sich dabei, sind also nur ein einziges Mal einsetzbar. Bitte unbedingt darauf achten, rechtzeitig Codes nachzugenerieren - im Zweifelsfall wird der letzte Ersatzcode gebraucht, um sich neue Codes zu generieren oder die 2FA wieder abzuschalten.

-> Verwaltung der Ersatzcodes

Auf dieser Seite wird die Liste der noch gültigen Ersatzcodes angezeigt. Sobald einen Code verwendet wurde, verschwindet er von der Liste. Sobald alle Codes verbraucht wurden, ist die Liste leer.

Wenn Ersatzcodes nicht akzeptiert werden

Wenn Sie bei der Anmeldung mit einem Ersatzcode vom System abgewiesen werden, so kann dies abgesehen von einem Tippfehler nur den Grund haben, dass der Code bereits verbraucht wurde. Sie sollten dann einen anderen Code auf Ihrer Liste verwenden. Stellen Sie dabei sicher, dass Sie eine aktuelle Liste von Ersatzcodes verwenden.

Wenn Sie sich sicher sind, dass Sie einen Ersatzcode nicht selbst verwendet haben, dann sollten Sie unbedingt diese Schritte ausführen:

Vertrauenswürdige Rechner

Sie können Rechner, die Sie täglich verwenden und die Sie für vertrauenswürdig halten, von der 2FA ausnehmen. Dazu dient eine Option, die Ihnen bei der Eingabe des Sicherheitscodes angeboten wird und die per Voreinstellung nicht ausgewählt ist. Wählen Sie diese Option, so werden Sie erst nach 30 Tagen auf diesem Rechner wieder nach Ihrem Sicherheitscode gefragt. Ihr Passwort müssen Sie natürlich bei jedem Login weiterhin eingeben.

Auf Rechnern, die man sich mit anderen Benutzern teilt, sollte die Option nicht verwendet werden. Dies gilt erst recht für öffentlich nutzbare Rechner. Auf Rechnern, die man nur selten verwendet, lohnt die Nutzung der Option meist nicht und ein potentielles Sicherheitsrisiko wird vermieden.

Der typische Anwendungsfall ist daher der eigene Arbeitsplatzrechner, den man täglich verwendet, bei dem der Zugang durch ein persönliches Passwort geschützt ist und der professionell betreut wird.

Ihre vertrauenswürdigen Rechner können Sie auf dieser Seite verwalten:

 

2FA wieder abschalten

In der Seite zur Verwaltung der 2FA finden Sie auch einen Weg um diese wieder abzuschalten. Dazu müssen Sie allerdings Ihren zweiten Faktor im Zugriff haben, eine Abschaltung allein mit ihrem Passwort ist nicht möglich, selbst wenn es sich um einen vertrauenswürdigen Rechner handelt.

Wenn Sie eine der Personen sind, die von uns ein ''Security Token'' - also ein spezielles Gerät für die Generierung der Sicherheitscodes - erhalten haben, dann können Sie die Zwei-Faktor-Authentifizierung nicht selbst wieder deaktivieren, da hier noch spezielle Konfigurationen auf Systemseite notwendig sind und das Token wieder zurückgegeben werden muss. Bitte wenden Sie sich in diesem Fall an den BIS-Support.

 

2FA per TOTP auf ein neues Smartphone umziehen

Einige 'Authenticator Apps' bieten Möglichkeiten an um einen TOTP Code zu exportieren und so auf ein neues Smartphone zu bringen. Wenn Sie keine derartige App verwenden, oder das alte Smartphone bereits nicht mehr verwendet werden kann, so können Sie diesen Weg wählen:

Schalten Sie mit einem Ersatzcode die 2FA ab und richten Sie sie auf dem neuen Gerät erneut ein.

Da bei einer Abschaltung der 2FA auch alle Vertrauensstellungen von Rechnern aufgehoben werden müssen Sie sich nach der Umstellung zunächst wieder an allen Rechnern mit dem zweiten Faktor anmelden. Dabei können Sie die gewünschten Vertrauensstellungen wieder aufbauen. Auch Ihre Ersatzcodes werden neu erstellt.

Wenn man sich ausgesperrt hat

Der Hardware-Token oder Smartphone sind gerade nicht zur Hand bzw. gingen verloren?
Der letzte Ersatzcode ist verbraucht oder sind nicht Verfügbar?

Studierende wenden sich bitte an bits@uni-bielefeld.de.

Beschäftigte wenden sich bitte an den servicedesk@uni-bielefeld.de.

Zum Seitenanfang
Live chat