Alles gefunden?
Hauptinhalt

Zwei-Faktor-Authentisierung (2FA) für Studierende mit Blindheit und Sehbehinderung

Hinweise zur Nutzung von Einmalpasswörtern (OTP) und geeigneten Apps

Einleitung: Warum wird 2FA eingeführt?

Digitale Dienste an Hochschulen sind heute ein zentrales Arbeitsmittel für Studium und Lehre. Gleichzeitig nehmen IT-Angriffe weltweit kontinuierlich zu. Diese Angriffe sind für Nutzer*innen oft nicht unmittelbar sichtbar, können jedoch erhebliche Folgen haben – etwa durch den Zugriff Unbefugter auf persönliche Daten, E-Mails oder Studienleistungen.

Auch an der Philipps-Universität Marburg wird daher schrittweise die Zwei-Faktor-Authentisierung (2FA) eingeführt. Ziel ist es, den Schutz der persönlichen Konten deutlich zu erhöhen. Diese Anleitung soll aufzeigen, wie die Einrichtung und Nutzung für Studierende mit Blindheit und Sehbehinderung gut bewältigt werden kann.

Das Grundprinzip ist einfach:

  • Erster Faktor: etwas, das Sie wissen (in der Regel Ihr Passwort).
  • Zweiter Faktor: etwas, das Sie besitzen (z. B. Ihr Smartphone oder ein darauf gespeichertes Einmalpasswort).

Dieses Verfahren ist vielen bereits aus dem Online-Banking bekannt: Neben der PIN wird dort häufig eine TAN oder eine zusätzliche Freigabe benötigt, die auf einem separaten Gerät erzeugt oder angezeigt wird. 2FA überträgt dieses bewährte Sicherheitsprinzip auf universitäre IT-Dienste.

Der zweitte Faktor als Einmalpasswort (OTP)

In Marburg wird der zweite Faktor in der Regel als Einmalpasswort (One-Time Password, OTP) umgesetzt. Dabei handelt es sich um einen achtstelligen Code, der sich alle 30 Sekunden automatisch ändert. Dieser Code wird von einer sogenannten Authenticator-App erzeugt.

Technisch basiert dies auf einem geheimen Schlüssel (Secret), der einmalig mit Ihrer App verknüpft wird. Aus diesem Secret berechnet die App fortlaufend neue Einmalpasswörter.

Wichtig ist:

  • Das Secret wird nur bei der Einrichtung benötigt.
  • Danach genügt die Eingabe des jeweils aktuellen OTP beim Login.

Für Studierende mit Blindheit oder Sehbehinderung ist entscheidend, dass dieser Einrichtungsprozess auch nutzbar ist, ohne visuelle QR-Codes zu scannen.

Erstellen des OTP über das 2FA-Portal

Haben Sie noch keinen zweiten Faktor mit Ihrem Account verknüpft, müssen Sie diesen zunächst über ein Formular beantragen:

Nutzen Sie bereits TANs für die Prüfungsanmeldung in Marvin, dann verwenden Sie bereits einen zweiten Faktor in Form einer TAN-Liste.

In diesem Fall gehen Sie direkt über das 2FA-Portal, um Ihr OTP einzurichten:

Das Portal ist nur mit aktiver VPN-Verbindung oder direkt aus dem Universitätsnetz erreichbar. Für den Login benötigen Sie einen aktiven zweiten Faktor, ebenfalls für den Aufbau einer VPN-Verbindung, soweit Sie sich außerhalb des Universitätsnetz befinden.

Für die Erstellung des OTP verweisen wir auf die allgemeine Hilfe zum 2FA-Portal.

Im Portal wurde auf barrierefreie Zugänglichkeit geachtet.

Einrichtung des OTP: Alternativen zum QR-Code

Standardmäßig wird die Kopplung zwischen Portal und App über einen QR-Code angeboten. Dieser ist für blinde Nutzer*innen nicht zugänglich und auch für viele sehbehinderte Personen nur eingeschränkt nutzbar.

Im 2FA-Portal der Philipps-Universität Marburg stehen daher barriereärmere Alternativen zur Verfügung.

Technischer Hintergrund (wichtig für die manuelle Einrichtung)

Die Einmalpasswörter basieren auf dem TOTP-Verfahren (Time-based One-Time Password). Dabei wird aus

  • dem Secret (geheimer Schlüssel),
  • der aktuellen Zeit und
  • einer kryptografischen Hashfunktion

alle 30 Sekunden ein neuer Code berechnet.

An der Universität Marburg werden dabei folgende Parameter verwendet:

  • Typ: TOTP (zeitbasiert)
  • Algorithmus: SHA-512 (Hashfunktion mit höherer kryptografischer Stärke als ältere Verfahren)
  • Stellenzahl: acht Ziffern (statt der oft üblichen 6 Ziffern, was die Anzahl möglicher Kombinationen deutlich erhöht)
  • Periode: 30 Sekunden

In vielen Authenticator-Apps müssen insbesondere Algorithmus (SHA-512) und Stellenzahl (acht) manuell angepasst werden.

Nutzung eines otpauth-Links

Im 2FA-Portal wird zusätzlich ein sogenannter otpauth-Link angeboten. Dabei handelt es sich um einen speziellen Link (beginnend mit otpauth://), der alle benötigten Einstellungen bereits enthält.

Wenn Sie diesen Link auf dem Smartphone öffnen oder in Ihrer bevorzugten App einfügen, kann die Authenticator-App den neuen OTP-Eintrag automatisch übernehmen. Für viele Nutzer*innen ist dies der komfortabelste Weg, da kein manuelles Kopieren langer Zeichenketten erforderlich ist.

In der Uni-Marburg-App lautet die entsprechende Option „URL eingeben“.

 Die dargestellten Methoden sind mit assistiven Technologien in der Regel gut nutzbar, da ausschließlich mit Text gearbeitet wird.

Auswahl geeigneter Apps

Uni-Marburg-App

Die offizielle Uni-Marburg-App unterstützt OTP grundsätzlich iOS und Android

Das Hinzufügen über den otpauth-Link wird aktuell empfohlen.

In der Praxis bestehen ansonsten derzeit Barrieren:

  • Die zusätzlichen Einstellungen nach Einfügen des Secrets sind mit VoiceOver am iPhone nicht vollständig zugänglich (TalkBack unter Android wurde bislang nicht getestet).
  • Die Darstellung des OTP ist nicht unmittelbar aussagekräftig:
    Beispiel:
    „Philipps-Universität Marburg accountname@domaene | TOTPZahlen/Buchstabenkombination 8-stelliger Code kopiert!“
    Der tatsächlich benötigte achtstellige Code steht nach dem Leerzeichen hinter der Zahlen-Buchstabenkombination und vor dem Wort „kopiert“.
  • Mit einem Doppeltipp auf die OTP-Zeile wird der Code in die Zwischenablage kopiert (VoiceOver).
  • Soll ein weiteres OTP hinzugefügt werden (in der Regel nicht nötig) ist der Dialog zum Hinzufügen und treffen einer Auswahl nicht mehr navigierbar (VoiceOver) 

Aus diesen Gründen kann es sinnvoll sein, auf andere OTP-Lösungen auszuweichen.

Weitere Authenticator-App auf dem Smartphone

Viele gängige Authenticator-Apps für iOS und Android unterstützen sowohl die manuelle Eingabe eines Secrets als auch otpauth-Links. Achten Sie insbesondere auf:

  • gute Screenreader-Unterstützung (VoiceOver bzw. TalkBack),
  • klar beschriftete Eingabefelder,
  • einfache Backup- oder Exportfunktionen.
  • nach Möglichkeit Open-Source-Lösungen, da deren Quellcode öffentlich einsehbar ist und Sicherheitsmechanismen somit transparent überprüft werden können. 

Neben der Uni-Marburg-App empfiehlt die Universität Marburg die App 2FAS

Aus Sicht assistiver Technologien bietet diese App eine übersichtlichere Darstellung, außerdem wird die verbleibende Zeit bis zum nächsten Tokenwechsel angezeigt. Aktuell unterstützt sie jedoch kein Hinzufügen per otpauth-Link, sondern nur QR-Code-Scan, manuelles Hinzufügen oder den Import einer QR-Code-Bilddatei. Eine Exportfunktion des QR-Codes als Bild aus dem 2FA-Portal könnte, falls dies gewünscht wird, bereitgestellt werden.

Bisher wurde die App nur mit VoiceOver am iPhone getestet.

Nutzung unter Windows: KeePassXC

Wenn Sie OTPs am Desktop erzeugen möchten, können Sie unter Windows auch KeePassXC verwenden. Dabei handelt es sich um einen Passwortmanager, der zusätzlich TOTP-Einmalpasswörter erzeugen kann.

Das Vorgehen ist ähnlich:

  • Das Secret wird in KeePass hinterlegt.
  • KeePassXC generiert daraus fortlaufend die benötigten Einmalpasswörter.

Für manche Nutzer*innen ist dies praktisch, da Passwort und zweiter Faktor an einem Ort verwaltet werden können. Aus Sicherheitsgründen sollte der KeePass-Tresor stets mit einem starken Master-Passwort geschützt werden.

Hinweis: Da von den Standard-Einstellungen abgewichen werden muss (SHA-512, 8 Stellen), ist die Einrichtung derzeit noch nicht vollständig barrierefrei.

Warum kann ich meine bestehende TAN-Liste nicht einfach weiter nutzen?

Die derzeit noch im Umlauf befindlichen TAN-Tokens (früher bekannt als TAN-Listen) können nur noch für eine begrenzte Übergangszeit verwendet werden und werden anschließend schrittweise abgeschafft. Perspektivisch stehen sie nur noch als Backup-Lösung zur Verfügung.

Mit „Backup“ ist gemeint:

Über eine TAN kann künftig lediglich ein neuer zweiter Faktor (OTP) eingerichtet bzw. reaktiviert werden, zum Beispiel nach Geräteverlust. Für die reguläre Anmeldung an den Diensten wird hingegen ein App-basiertes OTP erwartet.

Diese Umstellung dient der Vereinheitlichung des Authentisierungsverfahrens und der Erhöhung des Sicherheitsniveaus an der Philipps-Universität Marburg.

Ich habe kein Smartphone – welche Möglichkeiten habe ich?

Alle Personengruppen, die kein Smartphone besitzen oder nutzen können, haben weiterhin die Möglichkeit, am IT-Servicedesk sogenannte lange TAN-Tokens (mit bis zu 250 TANs) zu erhalten.

Diese TAN-Listen können als alternativer zweiter Faktor verwendet werden. Bitte beachten Sie, dass jede TAN nur einmal gültig ist und die Liste entsprechend rechtzeitig erneuert werden muss.

Praktische Hinweise für den Alltag

  • Bewahren Sie Ihr Smartphone bzw. Ihr OTP-Gerät sicher auf – es ist Ihr „zweiter Schlüssel“.
  • Richten Sie nach Möglichkeit eine Backup-Option ein (z. B. Zweitgerät oder gesicherter Export).
  • Wenn bei der Einrichtung Barrieren auftreten, wenden Sie sich frühzeitig an den IT-Support oder die Beratungsstellen für Studierende mit Behinderung.