Campus-Support

Apps für die 2FA

Um die 2FA nutzen zu können, muss auf Ihrem Smartphone eine App installiert sein, die mit der BIS 2FA zusammenarbeitet ("Authenticator App").

Wir empfehlen die Nutzung der Google Authenticator App, die unter Android, iOS oder Windows genutzt werden kann:

• im Google Play Store für Android
• bei iTunes für iOS-Geräte

In der App finden Sie oben rechts ein Menü, welches die Einrichtung eines neuen Kontos ermöglicht.

Für Expert*innen:

Die Zwei-Faktor-Authentifizierung im BIS implementiert das ''Time-based One-time Password (TOTP)''- Verfahren nach RFC 6238. Im Prinzip kann daher jedes Gerät bzw. jede App verwendet werden, die diesen Standard unterstützt.

BesitzerInnen eines OTP-fähigen YubiKeys - wie dem NEO - können diesen ebenfalls mit der Zwei-Faktor-Authentifizierung im BIS nutzen und zwar sowohl mit der Yubico Authenticator-App (Android) wie auch mit der ''Authenticator'' Anwendung für Windows und andere Betriebssysteme. Sollten Sie eine Verwendung dieses Gerätes planen und bei der Konfiguration Probleme haben wenden Sie sich an den BIS-Support.

2FA für den eigenen BIS-Zugang einrichten

Auf dieser Seite im PEVZ können Sie sich (nach erfolgreicher Anmeldung) Ihre 2FA selbst einrichten:

• Zwei-Faktor-Authentifizierung für Mitarbeiter*innen

So lange Sie die Zwei-Faktor-Authentifizierung noch nicht aktiviert haben finden Sie dort einen Schalter, der die Aktivierung startet. Die Seite zeigt Ihnen dann einen QR-Code an, den Sie mit einer geeigneten ''Authenticator App'' auf Ihrem Smartphone einscannen.

In der ''Google Authenticator App'' tippen Sie dazu oben rechts auf die drei Punkte und im dann folgenden Menü auf 'Konto einrichten' und "Barcode scannen".

Die App wird Ihnen nach erfolgreichem Einscannen eine 6-stellige Zahl zeigen, die von da an alle 30 Sekunden wechselt. Dies ist Ihr '''Sicherheitscode'''. Damit ist die Einrichtung auf dem Smartphone abgeschlossen. Diesen Code brauchen Sie jetzt zum ersten Mal um die Einrichtung der Zwei-Faktor-Authentifizierung abzuschließen: Tragen Sie den aktuell angezeigten Wert in Ihrer App in das Eingabefeld unterhalb des QR-Codes im PEVZ ein und schicken Sie das Formular ab.

Falls Sie Probleme beim Einscannen des QR-Codes haben, oder falls Sie ein Gerät verwenden, welches nicht über eine Kamera verfügt, können Sie den grundlegenden Schlüssel für die Einrichtung der App auch manuell eingeben. Dazu wird Ihnen der Schlüssel unterhalb des QR-Codes angezeigt. Die Eingabe dieses langen Textes ist fehlerträchtig und wird daher nur im Ausnahmefall empfohlen.

Die meisten Apps bieten eine entsprechende Option zur manuellen Eingabe zusätzlich zum Scannen des QR-Codes an. Dabei müssen Sie selbst einen Namen für das Konto vergeben ("BIS Login" bietet sich hier an) und meist auch einstellen welches Generierungsverfahren ('zeitbasiert') verwendet wird.

Danach funktioniert Ihre App aber genauso, also ob Sie den QR-Code eingescannt hätten.

Wenn Sie die App verwenden

Wenn Sie die Aktivierung der Zwei-Faktor-Authentifizierung erfolgreich abgeschlossen haben, werden Ihnen Ihre '''Ersatzcodes''' angezeigt. Diese kurze Liste von 8-stelligen Codes sollten sie sofort ausdrucken und dann sicher verwahren. Mit den Ersatzcodes können Sie sich auch ohne Smartphone anmelden, was eine sinnvolle Alternative sein kann, wenn der Akku leer ist, Sie Ihr Smartpthone nicht zur Hand haben oder auf ein neues Gerät gewechselt haben.

Die Ersatzcodes können an Stelle der von der Authenticator App erzeugten Sicherheitscodes verwendet werden. Sie '''verbrauchen''' sich dabei, sind also nur ein einziges Mal einsetzbar. Sie sollten unbedingt darauf achten, dass Sie rechtzeitig Codes nachgenerieren - im Zweifelsfall brauchen Sie den letzten Ersatzcode, um sich neue Codes zu generieren, oder die 2FA wieder abzuschalten.

In der Seite mit den Einstellungen zur Zwei-Faktor-Authentifizierung finden Sie am rechten Rand einen Link, der Sie in die Seite zur Verwaltung der Ersatzcodes bringt. Dort wird Ihnen die Liste Ihrer noch gültigen Ersatzcodes angezeigt. Sobald Sie einen Code verwenden verschwindet er von der Liste. Sobald Sie alle Codes verbraucht haben ist die Liste leer.

Wenn Sie ein Token verwenden

Um sich Ersatzcodes zu generieren, gehen Sie wir folgt vor;

• rufen Sie die Seite mit den Einstellungen der Zwei-Faktor Authentifiziereung auf: Zwei Faktor Authentifizierung
• klicken Sie im Seitenmenü den Link "Ersatzcodes für die Zwei-Faktor Authentifizierung"
• geben Sie Anmeldenamen, Passwort und den aktuellen ZWeiten Faktor ein
• Drucken Sie die angezeigten Ersatzcodes aus und verwahren Sie diese sicher!

Mit den Ersatzcodes können Sie sich auch ohne Token anmelden. Sie '''verbrauchen''' sich dabei, sind also nur ein einziges Mal einsetzbar. Sie sollten unbedingt darauf achten, dass Sie rechtzeitig Codes nachgenerieren - im Zweifelsfall brauchen Sie den letzten Ersatzcode, um sich neue Codes zu generieren, oder die 2FA wieder abzuschalten.

 

Wenn Sie bei der Anmeldung mit einem Esatzcode vom System abgewiesen werden, so kann dies abgesehen von einem Tippfehler nur den Grund haben, dass der Code bereits verbraucht wurde. Sie sollten dann einen anderen Code auf Ihrer Liste verwenden. Stellen Sie dabei sicher, dass Sie eine aktuelle Liste von Ersatzcodes verwenden.

Wenn Sie sich sicher sind, dass Sie einen Ersatzcode nicht selbst verwendet haben, dann sollten Sie unbedingt diese Schritte ausführen:

• Generieren Sie sich neue Ersatzcodes
• Entfernen Sie alle eingerichteten Vertrauensstellungen von anderen Rechnern
• Überprüfen Sie in der Seite Meine Aktivitäten ob dort unerklärliche Logins zu sehen sind
• Nehmen Sie Kontakt zum BIS-Support auf!

Sie können Rechner, die Sie täglich verwenden und die Sie für vertrauenswürdig halten, von der 2FA ausnehmen. Dazu dient eine Option, die Ihnen bei der Eingabe des Sicherheitscodes angeboten wird und die per Voreinstellung nicht ausgewählt ist. Wählen Sie diese Option, so werden Sie erst nach 30 Tagen auf diesem Rechner wieder nach Ihrem Sicherheitscode gefragt. Ihr Passwort müssen Sie natürlich bei jedem Login weiterhin eingeben.

Auf Rechnern, die man sich mit anderen Benutzern teilt, sollte die Option nicht verwendet werden. Dies gilt erst recht für öffentlich nutzbare Rechner. Auf Rechnern, die man nur selten verwendet, lohnt die Nutzung der Option meist nicht und ein potentielles Sicherheitsrisiko wird vermieden.

Der typische Anwendungsfall ist daher der eigene Arbeitsplatzrechner, den man täglich verwendet, bei dem der Zugang durch ein persönliches Passwort geschützt ist und der professionell betreut wird.

Ihre vertrausnwürdigen Rechner können Sie auf dieser Seite verwalten:

• Seite zur Aktivierung der Zwei-Faktor-Authentifizierung

 

In der Seite zur Verwaltung der 2FA finden Sie auch einen Weg um diese wieder abzuschalten. Dazu müssen Sie allerdings Ihren zweiten Faktor im Zugriff haben, eine Abschaltung allein mit ihrem BIS Passwort ist nicht möglich, selbst wenn es sich um einen vertrauenswürdigen Rechner handelt.

Wenn Sie eine der Personen sind, die von uns ein ''Security Token'' - also ein spezielles Gerät für die Generierung der Sicherheitscodes - erhalten haben, dann können Sie die Zwei-Faktor-Authentifizierung nicht selbst wieder deaktivieren, da hier noch spezielle Konfigurationen auf Systemseite notwendig sind und das Token wieder zurückgegeben werden muss. Bitte wenden Sie sich in diesem Fall an den BIS-Support.

 

Schalten Sie einmal mit Ihrem alten Smartphone die 2FA ab und richten Sie sie auf dem neuen Gerät erneut ein.

Da bei einer Abschaltung der Zwei-Faktor-Authentifizierung auch alle Vertrauensstellungen von Rechnern aufgehoben werden müssen Sie sich nach der Umstellung zunächst wieder an allen Rechnern mit dem zweiten Faktor anmelden. Dabei können Sie die gewünschten Vertrauensstellungen wieder aufbauen. Auch Ihre Ersatzcodes werden neu erstellt.

Das Smartphone ging verloren, der letzte Ersatzcodeist verbraucht oder auch wenn Sie Ihr Handy gerade nicht dabei haben, aber dringend auf die BIS Anwendungen zugreifen müssen und keine Ersatzcodes zur Verfügung haben - wenden Sie sich bitte an den BIS-Support