Bei einer Multi-Faktor-Authentifizierung (MFA) werden für ein erfolgreiches Login mehrere Faktoren aus den Bereichen Wissen, Besitz oder Eigenschaft benötigt. Den Bereich Wissen deckt dabei meist die klassische Kombination aus Kennung und Passwort ab. Ergänzt wird dies etwa durch den Besitz einer TAN-Liste oder eines Authentifikationsgeräts oder einer Eigenschaft wie dem Fingerabdruck oder der eigenen Stimme. Werden Faktoren aus mehreren Bereichen benötigt, ist die Rede von MFA.
MFA ist nötig, weil zunehmend die klassischen Passwörter kompromittiert und damit alleine nicht mehr ausreichend sicher sind. Typische Problemfelder sind dabei:
schwache Passwörter, die leicht zu erraten sind
auf nicht authentischen Seiten verratene und damit gephishte Passwörter
an mehreren Stellen wiederverwendete Passwörter
Die Nutzung von MFA wird in Zukunft an die Nutzung von Shibboleth als Authentifikationsdienst angebunden, d. h. alle Dienste, die eine Authentifikation über Shibboleth durchführen, werden in Zukunft einen weiteren Faktor benötigen. Sie kennen Sibboleth z. B. bereits vom Login bei OLAT.
In einem ersten Schritt wird ein weitere Faktor - eine sechsstellige, einmalig und zeitlich begrenzt verwendbare PIN - an Ihre im Profilmanagement der Universität hinterlegten Kontakt-Emailadresse versendet. Nachdem Sie sich wie bisher mit Ihrer Kennung und Ihrem Passwort angemeldet haben, erfolgt nun ein zweiter Schritt - die Abfrage dieses weiteren Faktors. Erst nach gültiger Eingabe dieses Faktors ist Ihre Anmeldung vollständig.
Ihr Vorteil: Solange Ihr Browser geöffnet bleibt, müssen Sie sich nur genau einmal (pro Tag) mittels Ihres 2. Faktors authentifizieren. Daher heißt das Verfahren single-sign-on (SSO).
Sollten Sie keine Kontakt-Emailadresse hinterlegt haben, so können Sie für begrenzte Zeit im Profilmanagement bei Ihren Stammdaten einen 'MFA-Code' finden, den Sie für eine einmalige Anmeldung nutzen können. Dieser wird stets neu generiert und ist 15 Minuten lang gültig. Bitte beachten Sie jedoch, dass auch das Profilmanagement in Zukunft eine Anmeldung per Shibboleth verlangen wird und diese Methode dann nicht mehr zur Verfügung stehen wird. Das bedeutet, dass Sie sich ab diesem Zeitpunkt ohne zweiten Faktor nicht mehr ins Profilmanagement einloggen können - der Weg ist verbaut!
Sie können sich selbst weitere Faktoren auf der MFA-Plattform der Universität Koblenz erstellen. Loggen Sie sich dazu auf https://mfa.uni-koblenz.de ein. Dabei bekommen Sie direkt eine Idee zum neuen Login-Verfahren. Denn die MFA-Plattform wird bereits jetzt durch das zukünftige MFA-basierte Verfahren abgesichert. Das heißt, im ersten Schritt melden Sie sich über Shibboleth inkl. eines zweiten Faktors beim MFA Server der Universität Koblenz an.
Sobald Sie auf der Plattform eingeloggt sind, können Sie weitere Faktoren - sogenannte Token - ausrollen und/oder bestehende Token (de-)aktivieren oder löschen. Bitte beachten Sie, dass, sollte Ihre Tokenliste leer sein, automatisch ein Email-Token für Sie erstellt und in die Liste eingefügt wird. Dieses funktioniert natürlich nur, falls Sie Zugriff auf Ihre hinterlegte Kontakt-Emailadresse haben.
Für ein Login können später alle aktiven Token alternativ genutzt werden.
Als mögliche Token können Sie derzeit folgende Verfahren einsetzen:
SOGo unterstützt die MFA mittels TOTP (Time-based One Time Password). Im ersten Schritt müssen Sie eine TOTP-App auf Ihrem Mobilgerät installieren, dann die initiale Verbindung zwischen App und SOGo herstellen. Ab diesem Zeitpunkt ist die Anmeldung an SOGo nur noch möglich, wenn Sie das Mobilgerät und die installierte TOTP-App bereit halten.
Vorsicht: Wenn Sie die Zwei-Faktor-Authentifizierung für SOGo einschalten und abspeichern ohne die Verifikation per QR-Code durchgeführt zu haben, ist ein Login in SOGo nicht mehr möglich!
Loggen Sie sich auf SOGo ein, öffnen Sie die Einstellungen. Dort setzen Sie den Haken bei Zwei-Faktor-Authentifizierung mit einer TOTP Anwendung aktivieren. Nun wird ein QR-Code angezeigt, den Sie mit einer TOTP-App auf Ihrem Mobilgerät scannen. Die App zeigt einen Code an, den Sie wiederum als TOTP Verifikationscode eingeben.
Wenn sich z. B. eine Fachschaftsvertretung einen Account teilt, müssen sich alle Mitglieder dieses Accounts ein eigenes Token anlegen.
Das heißt, initial holen Sie sich aus dem Profil des Funktionsaccounts den sogenannten MFA-Code. Mit der Kennung des Funktionsaccounts und diesem Code können Sie sich nun in mfa.uni-koblenz.de einloggen. Anschließend können Sie ein eigenes Token ausrollen.
Beachten Sie, dass der MFA-Code nur eine zeitlich beschränkte Gültigkeit hat.
© Universität Koblenz
