MFA ist nötig, weil zunehmend die klassischen Passwörter kompromittiert und damit alleine nicht mehr ausreichend sicher sind. Typische Problemfelder sind dabei:

• schwache Passwörter, die leicht zu erraten sind

• auf nicht authentischen Seiten verratene und damit gephishte Passwörter

• an mehreren Stellen wiederverwendete Passwörter

Bei einer Multi-Faktor-Authentifizierung (MFA) werden für ein erfolgreiches Login mehrere Faktoren aus den Bereichen Wissen, Besitz oder Eigenschaft benötigt. Den Bereich Wissen deckt dabei meist die klassische Kombination aus Kennung und Passwort ab. Ergänzt wird dies etwa durch den Besitz einer TAN-Liste oder eines Authentifikationsgeräts oder einer Eigenschaft wie dem Fingerabdruck oder der eigenen Stimme. Werden Faktoren aus mehreren Bereichen benötigt, ist die Rede von MFA.

Wenn sich z. B. eine Fachschaftsvertretung einen Account teilt, müssen sich alle Mitglieder dieses Accounts ein eigenes Token anlegen.
Das heißt, initial holen Sie sich zuerst(!) aus dem Profil des Funktionsaccounts den sogenannten MFA-Code. Mit der Kennung des Funktionsaccounts und diesem Code können Sie sich nun in mfa.uni-koblenz.de einloggen. Anschließend können Sie ein eigenes Token ausrollen.
Beachten Sie, dass der MFA-Code nur eine zeitlich beschränkte Gültigkeit hat.

Wenn Sie Ihren eigenen Account und einen Funktionsaccount nutzen, haben Sie zwei Möglichkeiten beide Accounts gleichzeitig nutzen zu können:

1. Für kurzzeitige Nutzung (z. B. neue Veranstaltung in Klips eintragen) öffnen Sie in Ihrem Browser ein privates Fenster und loggen Sich auf dem gewünschten Dienst mit dem benötigten Account ein.
2. Für Nutzung beider Accounts über längere Zeit hinweg empfiehlt es sich zwei Browser (z. B. Chrome für den persönlichen Account und Firefox für den Funktionsaccount) zu nutzen.

Denken Sie daran, wenn Sie den Browser schließen, wird auch Ihre Sitzung geschlossen und Sie müssen sich erneut einloggen!

Das neu eingeführte Verfahren kann vorläufig aus technischen Gründen bei Sogo nicht eingesetzt werden. Sogo bietet in seinen Einstellungen allerdings schon immer eine Zwei-Faktor-Authentifizierung mittels TOTP an. Wir empfehlen - gerade bei Nutzern, die Sogo selten verwenden - dringend, auch hier dieses Verfahren anzuschalten.

Sollten Sie keine Kontakt-Emailadresse hinterlegt haben, so können Sie für begrenzte Zeit im Profilmanagement bei Ihren Stammdaten einen 'MFA-Code' finden, den Sie für eine einmalige Anmeldung nutzen können. Dieser wird stets neu generiert und ist 15 Minuten lang gültig. Bitte beachten Sie jedoch, dass auch das Profilmanagement in Zukunft eine Anmeldung per Shibboleth verlangen wird und diese Methode dann nicht mehr zur Verfügung stehen wird. Das bedeutet, dass Sie sich ab diesem Zeitpunkt ohne zweiten Faktor nicht mehr ins Profilmanagement einloggen können - der Weg ist verbaut!

Ihr Einmalpasswort kommt nicht an:
Überprüfen Sie, ob Sie Ihre Mailadresse im Profil richtig hinterlegt haben.

Es kommen zu viele Mails mit einem Einmalpasswort an:
Sollten Sie eine web.de Adresse haben, könnte es sein, dass die Zustellung verzögert ist.

"Kein gültiger Token"
Vermutlich hatten Sie mehr als 10 Fehlversuche bei der Anmeldung per MFA. Dadurch sind nun alle eingerichteten Token gesperrt. Auslöser dessen könnte sein, dass Mail an web.de-Adressen recht langsam zugestellt wird und dadurch Verwirrung auslöst.

"Keiner der ausgewählten Token ist verfügbar."
Vermutlich sind Ihre angelegten Token entfernt oder nicht angelegt, sowie auch Ihre Kontakt-Emailadresse entfernt oder nicht angelegt worden.

In beiden Fällen gehen Sie nun folgendermaßen vor:

1. Loggen Sie sich im Profilmanagement ein. Dort wird ein MFA-Code angezeigt.
2. Loggen sie sich auf mfa.uni-koblenz.de ein und verwenden den MFA-Code zur Anmeldung. Dadurch wird der Fehlerzähler wieder zurückgesetzt.
3. Lesen Sie nun die Hinweise auf unserer MFA Seite gründlich durch und gehen exakt nach der beschriebenen Reihenfolge vor, um weitere Token zu hinterlegen.

Wir haben für dieses Verhalten bisher zwei mögliche Ursache finden können:

1. Sie nutzen die Studo-App? Die versucht immer mal wieder, such mit den hinterlegten Login-Daten in KLIPS einzuloggen. Das funktioniert im Grunde schon seit Anfang 2024 nicht mehr, fällt nun aber auf, weil der Login-Versuch zur Folge hat, dass nach einem zweiten Faktor gefragt wird.
2. Ihr Account wurde gephisht. Wir empfehlen Ihnen dringend Ihr Passwort zu ändern!

Vermutlich haben Sie beim Ausrollen des Token nach dem Scannen des QR-Codes den Knopf QR-Code neu erzeugen gedrückt und dadurch Ihren bereits gescannten Code ungültig gemacht.

In dem Fall können Sie einfach auf mfa.uni-koblenz.de einen neuen TOTP Token einem neuen QR-Code ausrollen und auf Ihrem Endgerät einscannen.

Die von Ihnen hinterlegte Kontakt-Mailadresse ist Ihr erster Token und zugleich die Voraussetzung für MFA. Sie können diesen nicht entfernen, da ansonsten kein Zugriff mehr auf Ihre Konten bzw. Daten gewährleistet werden kann.

Sie können sich selbst weitere Faktoren auf der MFA-Plattform der Universität Koblenz erstellen. Loggen Sie sich dazu auf mfa.uni-koblenz.de ein. Dabei bekommen Sie direkt eine Idee zum neuen Login-Verfahren. Denn die MFA-Plattform wird bereits jetzt durch das zukünftige MFA-basierte Verfahren abgesichert. Das heißt, im ersten Schritt melden Sie sich über Shibboleth inkl. eines zweiten Faktors beim MFA Server der Universität Koblenz an.
Sobald Sie auf der Plattform eingeloggt sind, können Sie weitere Faktoren - sogenannte Token - ausrollen und/oder bestehende Token (de-)aktivieren oder löschen. Bitte beachten Sie, dass, sollte Ihre Tokenliste leer sein, automatisch ein Email-Token für Sie erstellt und in die Liste eingefügt wird. Dieses funktioniert natürlich nur, falls Sie Zugriff auf Ihre hinterlegte Kontakt-Emailadresse haben.
Für ein Login können später alle aktiven Token alternativ genutzt werden.

Als mögliche Token können Sie derzeit folgende Verfahren einsetzen:

• Zeitbasierte Einmalpasswörter (TOTP) über ein zweites Gerät (z.B. Ihr Handy)
• WebAuthn mit YubiKey oder mittels Face-ID/Touch-ID an Apple-Geräten
• Ausgedruckte TAN-Liste mit Einmalpasswörtern