MFA – Multi-Faktor-Authentifizierung

Für: Studierende Mitarbeiter*innen

Um die IT-Sicherheit an der Universität Wien zu erhöhen, stellt der ZID für einige Services eine Multi-Faktor-Authentifizierung (MFA) zur Verfügung.

VPN: Zweiten Faktor einrichten

VPN: Formular Zweiten Faktor ändern

Grundlagen verstehen

Multi-Faktor-Authentifizierung ist ein effektives Verfahren, um sich davor zu schützen, dass Unbefugte durch Phishing bzw. anderweitig entwendete oder verlorene Zugangsdaten (Nutzer*innenname und Passwort) Zugriff auf Services erlangen.

Melden Sie sich ohne Multi-Faktor-Authentifizierung an einem Service an, benötigen Sie dazu ausschließlich das Wissen über den Nutzer*innenname und das Passwort. Unbefugte können jedoch beispielsweise über Phishing-E-Mails Zugangsdaten erlangen: In diesen E-Mails werden Nutzer*innen dazu aufgefordert, sich auf verlinkten Webseiten oder Online-Formularen anzumelden. Diese täuschen vor, eine legitime Webseite bzw. ein legitimes Formular zu sein.

Die Multi-Faktor-Authentifizierung wirkt dem entgegen, indem zusätzliche Anmelde-Komponenten (Faktoren) für eine erfolgreiche Anmeldung nötig sind. Diese Faktoren müssen Nutzer*innen, die sich anmelden, physisch zugänglich sein. Dadurch können sie nicht auf elektronischem Weg verloren gehen.

Multi-Faktor-Authentifizierung bedeutet daher, dass mindestens zwei Faktoren bei der Anmeldung an einem Service nötig sind:

Wissen, etwa ein Passwort
Besitz, etwa ein Smartphone
Biometrik, etwa ein Fingerabdruck

Beispiel: Wenn Sie die Multi-Faktor-Authentifizierung für das VPN-Service aktiviert haben, müssen Sie folgende Daten eingeben, um sich anzumelden:

Erster Faktor: u:account-Zugangsdaten
Zweiter Faktor: Einmalpasswort, erzeugt durch eine App auf Ihrem Smartphone oder durch einen Sicherheitsschlüssel (YubiKey)

Unterstützte Methoden

Der ZID unterstützt folgende Methoden für den zweiten Faktor:

Authentifizierungs-App

Die Authentifizierungs-App wird am Smartphone installiert und erzeugt Einmalpasswörter. Unterstützt werden Apps, die zeitlich limitierte Einmalpasswörter über das TOTP-Verfahren (Time-based One-time Password) erzeugen.

Der ZID empfiehlt folgende Apps:

FreeOTP: verfügbar für Android: Google Play, für iOS: App Store; Open-Source-App, kann unter Android via alternativem App-Store auch ohne Google-Konto genutzt werden
Google Authenticator: verfügbar für Android: Google Play, für iOS: App Store
Microsoft Authenticator: verfügbar für Android: Google Play, für iOS: App Store

Hinweise

Das TOTP-Verfahren

ist nach Prüfung des Datenschutzbeauftragten der Universität Wien DSGVO-konform, sofern eine Synchronisierung mit Cloud-Diensten, etwa im Google Authenticator, deaktiviert ist. Um im Microsoft Authenticator das DSGVO-konforme TOTP-Verfahren zu nutzen, wählen Sie beim Hinzufügen des Kontos die Option Anderes bzw. QR-Code scannen.
funktioniert unabhängig von der Handynummer. Der ZID erfasst diese daher nicht.

Alternativen

Es stehen kostenlose Authentifizierungs-Apps zur Verfügung. Neben Produkten von Google und Microsoft gibt es mit FreeOTP auch eine vom ZID empfohlene Open-Source-Lösung.

Sollten Personen insbesondere mangels vorhandenem Smartphone nicht in der Lage sein, eine dieser Apps zu nutzen, so kann nach Rücksprache mit der Führungskraft und auf Rechnung der entsprechenden Organisationseinheit ein YubiKey der Serie 5 als Alternative über das Service Hardware für Mitarbeiter*innen zur Verfügung gestellt werden.

Sicherheitsschlüssel (YubiKey): Verbinden Sie den YubiKey der Serie 5 via USB (oder NFC) mit Ihrem Computer, Smartphone oder Tablet.
Nur für Microsoft 365: Sie erhalten einen Telefonanruf oder ein SMS von Microsoft an eine vorab von Ihnen registrierte Nummer.

Zweiten Faktor sicher handhaben

Authentifizierungs-App

Richtiges Gerät wählen

Vermeiden Sie es, Authentifizierungs-Apps auf demselben Gerät zu nutzen, auf dem Sie sich am Service anmelden. Sollte das Gerät, auf dem Sie sich am Service anmelden, entwendet oder verloren werden und sich die Authentifzierungs-App ebenfalls auf diesem Gerät befinden, ist die zusätzliche Sicherheit des zweiten Faktors nicht gegeben.

Nutzen Sie stattdessen ein separates Gerät jeweils für das Erstellen des Einmalpasswortes via Authentifizierungs-App (etwa Smartphone) und das Anmelden am Service (etwa Computer).

QR-Code sichern

Sie können beim Einrichten des zweiten Faktors den QR-Code beispielsweise via Screenshot speichern und anschließend an einem sicheren Ort ablegen. Auf diese Weise können Sie den zweiten Faktor auf mehreren Smartphones gleichzeitig einrichten oder auf ein neues Smartphone übertragen. Die zusätzliche Sicherheit durch MFA ist nur gegeben, wenn der QR-Code nicht durch andere Personen eingesehen werden kann.

Smartphone verloren

Melden Sie den Verlust über das Formular Gerät verloren beim IT-Security-Team des ZID.
Nutzen Sie das Formular Zweiten Faktor ändern (Anleitung), um den zweiten Faktor auf einem anderen Smartphone einzurichten.

Zweiten Faktor auf neues Smartphone übertragen

Sie können die zweiten Faktoren in den meisten Authentifizierungs-Apps am alten Gerät exportieren und auf dem neuen Gerät importieren. Beachten Sie dazu die jeweiligen Hinweise in den Apps bzw. wenden Sie sich an Ihre*n EDV-Beauftragte*n.

Sicherheitsschlüssel (YubiKey)

Nutzer*innen müssen den YubiKey selbst einrichten. Dies darf nicht in Vertretung durch einen Kollegen*eine Kollegin oder Organisationseinheit geschehen, da es für das Einrichten eines YubiKeys als zweiten Faktor notwendig ist, die u:account-Zugangsdaten einzugeben.

Der ZID empfiehlt, bereits verwendete YubiKeys nicht an andere Nutzer*innen weiterzugeben.

Multi-Faktor-Authentifizierung nutzen

Die Multi-Faktor-Authentifizierung ist für folgende Services verfügbar. Zukünftig werden weitere zentrale IT-Services der Universität Wien mittels MFA abgesichert.