Hauptinhalt
So funktioniert der Zwei-Faktor-Authentisierung-Dienst (2FA)
Passwörter können unter verschiedenen Umständen durch Angreifer ausgespäht werden. Zusätzlichen Schutz bietet die Zwei-Faktor-Authentisierung, bei der das Passwort um eine weitere Komponente (zweiter Faktor) erweitert wird. Das Hochschulrechenzentrum (HRZ) der Philipps-Universität Marburg (UMR) sichert daher verschiedene sensitive IT-Dienste durch 2FA ab. Auf dieser Seite lesen Sie, warum 2FA wichtig ist und wie das Ganze an der UMR funktioniert.
2FA funktioniert wie Bankkarte plus PIN
Banken nutzen die Zwei-Faktor-Authentisierung seit Jahrzehnten: Wer an Geldautomaten Geld abheben möchte, benötigt neben seiner persönlichen Bankkarte zusätzlich noch die dazugehörige PIN (Persönliche Identifikationsnummer). Diese Kombination zweier voneinander unabhängiger Faktoren – Wissen (PIN) plus Besitz (Karte) – bietet einen deutlich erhöhten Schutz vor Missbrauch. An der UMR setzen wir zur Absicherung wichtiger IT-Dienste schon seit 2018 2FA ein. Viele von Ihnen haben mit der 2FA-Absicherung des VPN, im Mai 2022, diesen Dienst erstmalig kennengelernt.
Es werden immer mehr IT-Dienste des HRZ auf 2FA umgestellt. Eine Liste der Dienste, die bereits 2FA verwenden, finden Sie auf unserer Webseite.
2FA-Verfahren der UMR im Überblick
Der zweite Faktor wird auch als Token bezeichnet und kann auf verschiedene Weise realisiert sein.
Pro Uni-Account können maximal zehn Tokens erstellt und wahlweise genutzt werden. Daher ist es ratsam, sich neben dem ersten Token (der initial vergeben wird) gegebenenfalls weitere Tokens auszustellen. Dies ist über das 2FA-Portal des HRZ möglich. Nicht genutzte Tokens können im 2FA-Portal gelöscht werden.
Hinweis: Beachten Sie an dieser Stelle bitte, dass der IT-Support des HRZ Tokens nur sperren, sie aber nicht löschen kann. Um Verzögerungen beim Support zu vermeiden, ist es ratsam, dass Sie deaktivierte Tokens löschen, sobald Sie diese nicht mehr benötigen.
2FA per Transaktionsnummer (TAN-Token)
Ein einfaches und weit verbreitetes Verfahren ist die Verwendung von sogenannten TAN-Tokens, also Papierlisten mit einer Anzahl von Einmal-Kennwörtern. Die vom HRZ ausgegebenen TAN-Tokens können über das 2FA-Portal als PDF heruntergeladen und von Ihnen selbst ausgedruckt werden. Jede dieser Listen enthält 280 sechsstellige Nummern.
Sobald die Eingabe des zweiten Faktors bei einem IT-Dienst notwendig ist, geben Sie eine Nummer aus der Liste ein. Da jede Nummer nur einmal gültig ist, sollte diese nach Nutzung durchgestrichen werden, um eine versehentliche erneute Verwendung zu vermeiden.
2FA per Smartphone (APP-Token)
Ebenso gängig ist die Verwendung von sogenannten One-Time-Passwords (OTPs) bzw. Time-based One-Time-Passwords (TOTPs), also Einmal-Kennwörtern. Bei deren Generierung wird ein QR-Code erzeugt, den Sie über die Kamera des Smartphones mit einer speziellen „Authenticator“-App einscannen und dann verwenden können. In bestimmten Zeitabständen generiert die App dann einen sechsstelligen Code, der wie die zuvor beschriebene TAN verwendet wird. Das Verfahren ist standardisiert und kann daher mit unterschiedlichen TOTP-Apps, beispielsweise von Microsoft (Microsoft Authenticator) oder Google (Google Authenticator), verwendet werden. Das HRZ empfiehlt die Open Source App 2FAS.
2FA per USB-Stick (nur Beschäftigte)
Besonders sicher ist die Verwendung von persönlichen USB-Tokens. Dies sind spezielle USB-Sticks mit einem Crypto-Chip. Als Beschäftigte der Universität kennen Sie diese als „YubiKeys“, derzeit in der Version 5 mit USB-A-Anschluss.
Die YubiKeys werden bei Vertragsbeginn an die Dienstadresse gesendet. Für die Initialisierung stecken Sie den Stick in die USB-Schnittstelle des Rechners und drücken nach Eingabe von Nutzername und Passwort auf die Taste des Sticks – in der Regel ist diese mit einem Y markiert. Damit wird der Sicherheitsschlüssel automatisch eingegeben. Wie mit den TANs oder OTPs muss auch der YubiKey bei jeder weiteren Verwendung erneut in den Rechner gesteckt und betätigt werden. Alternativ kann er über die Nahfunk-Technik NFC mit einem Smartphone gekoppelt werden.
Beachten Sie bitte: Beim YubiKey handelt es sich um ein Arbeitsmittel, wie ein Schlüssel oder Schließ-Transponder, im Wert von 50 €. Denken Sie daher unbedingt daran, ihn bei Vertragsende ebenfalls zurückzugeben.
Ein Wort zum Abschluss: Doppelt hält besser
Sichere Passwörter in Verbindung mit einem zusätzlichen, zweiten Sicherheitsmerkmal schützen sehr wirksam vor Missbrauch durch Kriminelle. Selbst wenn Sie auf einen Phishing-Angriff hereinfallen und ihr Passwort offenbaren, können Fremde nicht auf den geschützten Onlinedienst zugreifen, weil ihnen der notwendige zweite Faktor für einen erfolgreichen Login fehlt.