Multi-Faktor-Authentisierung

Hinweis: Eine Videoanleitung zum Einrichten dieses Token-Typs finden Sie im FAQ-Bereich der URZ-Webseite unter 12. Multi-Faktor-Authentisierung.

Hierbei handelt es sich um ein Software-Token, durch das alle 30 Sekunden ein neuer 6-stelliger Zahlencode erzeugt wird. Um diesen verwenden zu können, wird zunächst eine Smartphone-App benötigt. Hier gibt es eine große Auswahl verschiedener Apps im Google Playstore und im Apple Appstore. Da als MFA-Lösung PrivacyIDEA zum Einsatz kommt, empfehlen wir die Verwendung der zugehörigen Authenticator App:

• PrivacyIDEA Authenticator im Google Playstore
• PrivacyIDEA Authenticator im Apple Appstore

Nachdem Sie die App erfolgreich auf Ihrem Smartphone installiert haben, können Sie ein neues Token im IdM-Portal mit einem Klick auf Neuen Software-Token hinzufügen (TOTP) anlegen. Geben Sie im Eingabefeld für die Beschreibung einen passenden Text ein, z. B. die Bezeichnung des Smartphones, auf dem das Token verwendet wird. Insbesondere bei der Verwendung mehrerer Token hilft Ihnen dies, den Überblick zu behalten:

Mit einem Klick auf den Button Absenden wird Ihnen ein QR-Code angezeigt, den Sie im Anschluss mit der zuvor installierten Smartphone-App scannen. Sollten Sie die Einrichtung des Token am Smartphone vornehmen, dann können Sie die Konfiguration des Token mit einem Klick auf den Button unter dem QR-Code direkt zu Ihrer Smartphone-App hinzufügen:

Nun generiert die App alle 30 Sekunden einen neuen 6-stelligen Code, den Sie innerhalb dieses Gültigkeitszeitraums bei der Anmeldung am Web-Trust-Center zusätzlich eingeben müssen. Gern können Sie das soeben eingerichtete Token über den Button Token testen direkt prüfen, um somit eine korrekte Konfiguration Ihres Smartphones sicherzustellen.

Hinweis: Sie können nun zur Übersichtsseite zurück gehen oder das Fenster schließen. Der QR-Code wird nach dem Scannen nicht mehr benötigt und sollte nicht separat gespeichert werden, da unberechtigte Personen über den QR-Code ebenfalls gültige Einmalpassworte generieren könnten.

Ein YubiKey ist ein spezieller USB-Stick mit Sicherheitsfunktionen. Mitarbeitende können den YubiKey über den Servicestützpunkt des URZ (per ME-Schein) beschaffen.

Um einen YubiKey als zweiten Faktor nutzen zu können, muss dieser entsprechend initialisiert werden. Das geschieht über den YubiKey Manager. Eventuell muss dieser noch installiert werden (auf allen URZ-administrierten Systemen ist der YubiKey Manager bereits installiert):

• Windows: Download-Seite der Firma yubico
• Linux (z. B. Debian ab Version 12): $ sudo apt-get install yubikey-manager-qt

Nach der erfolgreichen Installation des Tools kann der YubiKey an einen freien USB-Port angesteckt und das Tool gestartet werden. Wählen Sie anschließend im Tool Applications und dort OTP:

Auf dem YubiKey gibt es zwei Slots (Speichermöglichkeiten), die für unterschiedliche Funktionen konfiguriert werden können. Im nachfolgenden Schritt muss daher der Slot, der programmiert werden soll, gewählt werden. Dies hat Auswirkungen auf die spätere Verwendung, da für den jeweils gewünschten Slot der physische Knopf des YubiKeys unterschiedlich lange gedrückt werden muss:

• Slot 1: 0,3 bis 1,5 Sekunden
• Slot 2: 2,0 bis 5,0 Sekunden

Im folgenden Beispiel wird Slot 1 konfiguriert.

Im nächsten Schritt muss Yubico OTP gewählt werden.

Anschließend erstellen Sie eine zufällige Konfiguration, indem Sie Use serial aktivieren und auf die zwei Generate-Buttons klicken:

Bevor Sie nun die Konfiguration mit einem Klick auf Finish auf den YubiKey schreiben, wechseln Sie zunächst zum IdM-Portal und wählen dort Neuen Hardware-Token hinzufügen (Yubikey). In das Feld Secret Key tragen Sie nun den Wert des Secret Key aus dem YubiKey Manager ein. Im Feld darunter geben Sie eine passende Beschreibung ein:

Um die Konfiguration abzuschließen, klicken Sie auf Absenden sowie im YubiKey Manager auf den Button Finish. Werden Sie nun nach einem Einmalpasswort gefragt, kann dieses über einen Knopfdruck am YubiKey in das entsprechende Eingabefeld geschrieben werden. Gern können Sie den soeben eingerichteten YubiKey über den Button Token testen direkt prüfen, um somit eine korrekte Konfiguration Ihres YubiKeys sicherzustellen.

Hinweis: Der YubiKey simuliert eine angeschlossene Tastatur. Nach der Eingabe der Zeichenkette wird diese „automatisch“ bestätigt, d. h. der YubiKey simuliert am Ende auch das Drücken der ENTER-Taste.

Ein YubiKey ist ein spezieller USB-Stick mit Sicherheitsfunktionen. Mitarbeitende können den YubiKey über den Servicestützpunkt des URZ (per ME-Schein) beschaffen.

Um einen YubiKey als zweiten Faktor nutzen zu können, muss dieser entsprechend initialisiert werden. Neben der oben genannten Möglichkeit mit dem Tool YubiKey Manager, steht noch das YubiKey Personalization Tool zur Verfügung. Da dieses nicht mehr aktiv weiterentwickelt wird, empfehlen wir die Verwendung des oben genannten YubiKey Manager. Auf Systemen, wo dieser noch nicht zur Verfügung steht, kann aber auch das YubiKey Personalization Tool verwendet werden. Eventuell muss dieses noch installiert werden (auf allen URZ-administrierten Systemen, auf denen der YubiKey Manager noch nicht zur Verfügung steht, ist das YubiKey Personalization Tool bereits installiert):

• Windows: Download-Seite der Firma yubico
• Linux (z. B. Debian bis Version 11): $ sudo apt-get install yubikey-personalization-gui

Nach der erfolgreichen Installation des Tools kann der YubiKey an einen freien USB-Port angesteckt und das Tool gestartet werden. Wählen Sie anschließend im Tool den Tab Yubico OTP und dort Advanced:

Auf dem YubiKey gibt es zwei Slots (Speichermöglichkeiten), die für unterschiedliche Funktionen konfiguriert werden können. Im nachfolgenden Schritt muss daher der Slot, der programmiert werden soll, gewählt werden. Dies hat Auswirkungen auf die spätere Verwendung, da für den jeweils gewünschten Slot der physische Knopf des YubiKeys unterschiedlich lange gedrückt werden muss:

• Slot 1: 0,3 bis 1,5 Sekunden
• Slot 2: 2,0 bis 5,0 Sekunden

Im folgenden Beispiel wird Slot 1 konfiguriert. Dazu wird dieser im YubiKey Personalization Tool gewählt und anschließend eine zufällige Konfiguration erzeugt, indem auf die drei Generate-Buttons geklickt wird:

Mit einem Klick auf Write Configuration wird der YubiKey konfiguriert. Dabei wird man zum Speichern einer Logdatei aufgefordert, die die Konfiguration enthält.

Hinweis: Wir empfehlen, diesen Speichervorgang abzubrechen und diese Informationen nicht zu speichern. Wie beim QR-Code des TOTP-Token könnte diese Konfiguration von einem Angreifer genutzt werden, um einen eigenen YubiKey zu konfigurieren, der ebenfalls gültige Einmalpassworte generieren kann.

Nun wechseln Sie zum IdM-Portal und wählen dort Neuen Hardware-Token hinzufügen (Yubikey). In das Feld Secret Key tragen Sie nun den Wert des Secret Key aus dem YubiKey Personalization Tool ein. Im Feld darunter geben Sie eine passende Beschreibung ein:

Mit einem Klick auf den Button Absenden wird der Token angelegt. Werden Sie nun nach einem Einmalpasswort gefragt, kann dieses über einen Knopfdruck am YubiKey in das entsprechende Eingabefeld geschrieben werden. Gern können Sie den soeben eingerichteten YubiKey über den Button Token testen direkt prüfen, um somit eine korrekte Konfiguration Ihres YubiKeys sicherzustellen.

Hinweis: Der YubiKey simuliert eine angeschlossene Tastatur. Nach der Eingabe der Zeichenkette wird diese „automatisch“ bestätigt, d. h. der YubiKey simuliert am Ende auch das Drücken der ENTER-Taste.

Hierbei handelt es sich um eine Liste mit 100 gültigen Einmalpassworten. Im Allgemeinen ist diese Liste als Backup gedacht. Für den Fall, dass Ihr Smartphone mit registrierter Authenticator App bzw. der YubiKey defekt oder abhanden gekommen ist, können Sie ein Einmalpasswort der TAN-Liste nutzen, um sich anzumelden und ein neues Token einzurichten. Die Liste eignet sich aber auch für Nutzerinnen und Nutzer, die weder Smartphone noch YubiKey besitzen oder diese nicht als Token verwenden wollen.

Um eine neue TAN-Liste zu erzeugen, wechseln Sie zum IdM-Portal und wählen dort Neue TAN Liste hinzufügen. Geben Sie im Anschluss eine passende Beschreibung ein, z. B. den Namen des Ortes, an dem die Liste aufbewahrt wird:

Mit einem Klick auf Absenden wird eine Liste mit 100 Einmalpassworten generiert und Ihnen direkt angezeigt. Über den Button Drucken können Sie die Liste gleich ausdrucken:

Werden Sie beim Login nun nach einem Einmalpasswort gefragt, kann ein beliebiges aus dieser Liste verwendet werden. Um die noch nicht verwendeten Einmalpassworte im Überblick zu behalten, empfiehlt es sich, diese der Reihe nach zu verwenden und sie nach Verwendung auf der Liste zu streichen. Gern können Sie die soeben eingerichtete TAN-Liste über den Button Token testen direkt prüfen. Bitte beachten Sie, dass die dabei verwendete TAN danach nicht mehr gültig ist und Sie diese auf der Liste streichen müssen.

Sofern Sie bereits ein oder mehrere Token angelegt haben, werden Ihnen diese im IdM-Portal angezeigt. Sollte z. B. ihr Smartphone defekt sein oder Sie haben Ihren Yubikey verloren, dann können Sie hier das entsprechende Token aus Ihrer Liste löschen. Danach kann das Token nicht mehr als zweiter Faktor für die Anmeldung am Web-Trust-Center oder zum Aufbau einer VPN-Verbindung genutzt werden. Die Seriennummer und die Beschreibung sollten Ihnen helfen die verschiedenen Token zu unterscheiden. Sollten Sie sich dennoch unsicher sein, dann können Sie die verschiedenen Token auch über "Verifizieren" testen: