Multi-Faktor-Authentifizierung (MFA): Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
K
(→‎Authenticator: Authenticator für Windows ergänzt)
 
(38 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
 
{{article
 
{{article
 
|type=Anleitung
 
|type=Anleitung
|service=Service:GitLab, Service:Informationssicherheit
+
|service=Service:GitLab, Service:Informationssicherheit, Service:Microsoft 365
 
|targetgroup=Gäste, Angestellte, Studierende
 
|targetgroup=Gäste, Angestellte, Studierende
 
|hasdisambig=Nein
 
|hasdisambig=Nein
 
}}
 
}}
Die Multi-Faktor-Authentifizierung (MFA) ist ein Verfahren um Ihren Account vor ungewollten Zugriffen zu schützen. Neben Benutzername und Passwort ist zur Anmeldung noch ein weiterer Faktor nötig.  
+
{{Search engine parameters‏‎
 +
|keywords=MFA, 2FA, Zwei-Faktor-Authentifizierung, TOTP, Authenticator, Authentifikator
 +
}}
 +
Die Multi-Faktor-Authentifizierung (MFA) ist ein Verfahren um Ihren Account vor ungewollten Zugriffen zu schützen. Neben Benutzername und Passwort ist zur Anmeldung noch ein weiterer Faktor nötig. Oft ist dafür auch die Bezeichnung Zwei-Faktor-Authentifizierung oder 2FA zu finden.
 
<br>
 
<br>
  
Zeile 13: Zeile 16:
 
<br>
 
<br>
  
MFA ist bisher nur für ausgewählte Dienste verfügbar. Dazu gehören aktuell:
+
MFA ist bisher nur für ausgewählte Dienste verfügbar. Dazu gehören beispielsweise:
 
* [[GitLab]]
 
* [[GitLab]]
* Datensicherung mit Commvault über die RWTH Aachen
 
 
* [[Microsoft 365]]
 
* [[Microsoft 365]]
 +
* [[Datensicherung mit Commvault]]
 +
* [[sciebo]]
  
 
==Authenticator==
 
==Authenticator==
 
Installieren Sie eine Authenticator-App auf Ihrem Handy und registrieren Sie diese in Ihrem Account. Der Zugriff auf Ihren Account setzt nun voraus, dass Sie im Besitz des Authenticators sind. Sie müssen also Zugriff auf Ihr Handy haben.
 
Installieren Sie eine Authenticator-App auf Ihrem Handy und registrieren Sie diese in Ihrem Account. Der Zugriff auf Ihren Account setzt nun voraus, dass Sie im Besitz des Authenticators sind. Sie müssen also Zugriff auf Ihr Handy haben.
 +
 +
<bootstrap_alert color=warning>
 +
<span style='font-size:30px;'>&#9888;</span>
 +
<br>
 +
Achten Sie darauf eine seriöse und vertrauenswürdige Authenticator App zu installieren. Nutzen Sie die unten stehenden Links, um Verwechslungen auszuschließen.
 +
</bootstrap_alert>
 +
 +
[[Datei:MFA-07.png|rechts|mini|ohne|250px|Beispiel: Einmalpasswort für GitLab in der App 2FAS]]
 +
<br>
 +
 +
Sobald die Authenticator-App eingerichtet ist, generiert sie Einmalpasswörter, die zur Anmeldung genutzt werden können.
 +
<br>
  
 
Wir empfehlen folgende Apps:
 
Wir empfehlen folgende Apps:
* Aegis Authenticator für Android (Zu finden bei [https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis&hl=de Google Play] oder [https://f-droid.org/de/packages/com.beemdevelopment.aegis/ F-Droid])
+
<br>
* 2FAS für iOS (Zu finden im [https://apps.apple.com/de/app/2fa-authenticator-2fas/id1217793794 App Store])
+
 
 +
'''Android'''
 +
* Aegis Authenticator - 2FA App von Beem Development (Zu finden bei [https://play.google.com/store/apps/details?id=com.beemdevelopment.aegis&hl=de Google Play] oder [https://f-droid.org/de/packages/com.beemdevelopment.aegis/ F-Droid])
 +
* 2FA Authenticator (2FAS) (Zu finden bei [https://play.google.com/store/apps/details?id=com.twofasapp&hl=de Google Play])
 +
 
 +
'''iOS und iPadOS'''
 +
* 2FA Authenticator (2FAS) (Zu finden im [https://apps.apple.com/de/app/2fa-authenticator-2fas/id1217793794 App Store])
 +
* Die Aegis Authentificator App aus dem App Store ist nicht von Beem Development und wird von uns '''nicht''' empfohlen.
  
Sie können in einem Authenticator beliebig viele Dienste hinterlegen.
+
'''Windows'''
 +
* [https://apps.microsoft.com/detail/9p9d81glh89q?hl=de-DE&gl=DE 2fast – Two Factor Authenticator]
 +
 
 +
Sie können in einer Authenticator App beliebig viele Dienste hinterlegen.
 
<br>
 
<br>
 +
 +
<br clear=all>
  
 
==Hardware-Token==
 
==Hardware-Token==
Ein Hardware-Token ist ein physisches Gerät, beispielsweise ein USB-Stick. Sie können einen Hardware-Token als Faktor für Ihren Account registrieren. Anschließend können Sie nur auf Ihren Account zugreifen, wenn Sie Zugriff auf den Hardware-Token haben. Wenn sowohl der Hardware-Token als auch die Anwendung den WebAuthn-Standard unterstützen, ist es in der Regel ausreichend, wenn der Hardware-Token in Ihrem Endgerät eingesteckt ist.
+
Ein Hardware-Token ist ein physisches Gerät, beispielsweise ein USB-Stick. Sie können einen Hardware-Token als Faktor für Ihren Account registrieren. Anschließend können Sie nur auf Ihren Account zugreifen, wenn Sie Zugriff auf den Hardware-Token haben. Die Vewendung von Hardware Token ist nur für Fortgeschrittene zu empfehlen.
 +
[[Datei:Yubico-security-key-c.png|rechts|mini|ohne|350px|Beispiel: Security Key C NFC von Yubico]]
 
<br>
 
<br>
  
Ein Beispiel für einen Hardware-Token ist der YubiKey von [https://www.yubico.com yubico].
+
Ein Beispiel für einen Hardware-Token ist der Security Key von [https://www.yubico.com yubico].
 +
<br clear=all>
  
==Risiken==
+
==Recovery==
Die Nutzung eines Weiteren Faktor erhöht die Sicherheit Ihres Accounts. Wenn Sie den zusätzlichen Faktor verlieren, verlieren jedoch den Zugriff auf Ihren Account. Stellen Sie daher sicher, dass Sie auch für diesen Fall vorgesorgt haben. Dafür gibt es unterschiedliche Möglichkeiten.
+
Die Nutzung eines zusätzlichen Faktors erhöht die Sicherheit Ihres Accounts. Wenn Sie den zusätzlichen Faktor verlieren, verlieren jedoch den Zugriff auf Ihren Account. Stellen Sie daher sicher, dass Sie für diesen Fall vorgesorgt haben. Dafür gibt es unterschiedliche Möglichkeiten.
  
 
===Recovery Codes===
 
===Recovery Codes===
Bei der Einrichtung eines Authenticators werden Recovery Codes generiert. Falls Sie den Authenticator verlieren, können Sie sich mit dem Recovery Code anmelden. Verwahren Sie diese an einem sicheren Ort. Der Zugriff auf die Recovery Codes darf nicht durch den Authenticator geschützt sein.  
+
Bei der Einrichtung eines Authenticators werden Recovery Codes generiert. Diese können auch als Backup-Codes oder Wiederherstellungscodes bezeichnet werden. Falls Sie den Authenticator verlieren, können Sie sich mit einem Recovery Code anmelden. Sie können die Codes digital speichern oder ausdrucken. Bewahren Sie diese an einem sicheren Ort auf. Der Zugriff auf die Recovery Codes darf nicht durch den Authenticator geschützt sein.
  
 
===Dritter Faktor===
 
===Dritter Faktor===
Richten Sie einen weiteren Faktor ein. Zusätzlich zu einer Authenticator App können Sie noch einen Hardware-Token verwenden.
+
Richten Sie einen weiteren Faktor ein. Sie können eine Authenticator App auf mehreren Geräten installieren oder zusätzlich einen Hardware-Token verwenden. Dafür müssen Sie in der Regel direkt bei der Einrichtung der Multi-Faktor-Authentifizierung alle gewünschten Apps bzw. Geräte registrieren.
 +
 
 +
===Authenticator Backup===
 +
Einige Authenticator Apps bieten die Möglichkeit, ein Backup aller Tokens zu erstellen. Das Vorgehen kann sich von App zu App unterscheiden.
  
 
===Reset durch den Support===
 
===Reset durch den Support===
Falls es sich um einen Dienst der Universität Paderborn handelt, kann das ZIM gegebenenfalls Ihren zusätzlichen Faktor deaktivieren. Bedenken Sie bitte, dass dies nur zu den Servicezeiten des Supports möglich ist. Da es sich um einen sicherheitsrelevanten Vorgang handelt, müssen Sie dafür vor Ort erscheinen und sich mit einem Lichtbildausweis ausweisen.
+
Falls es sich um einen Dienst der Universität Paderborn handelt, kann das ZIM gegebenenfalls Ihren zusätzlichen Faktor deaktivieren. Bedenken Sie bitte, dass dies nicht für jeden Dienst möglich ist und nur zu den Öffnungszeiten des Helpdesk durchgeführt werden kann. Da es sich um einen sicherheitsrelevanten Vorgang handelt, müssen Sie dafür vor Ort erscheinen und sich mit einem Lichtbildausweis ausweisen.
 +
 
 +
==Cloud Sync==
 +
Einzelne Authenticator Apps bieten die Möglichkeit, die Token über mehrere Geräte hinweg in die Cloud zu Synchronisieren.
 +
<br>
 +
 
 +
''' Vorteil:'''
 +
* Ihre Tokens sind ohne manuellen Aufwand direkt auf mehreren Geräten verfügbar.
 +
 
 +
'''Nachteil:'''
 +
* Die Tokens liegen nicht nur lokal auf dem Gerät sondern ebenfalls in der Cloud.
 +
* Sie müssen dem Cloudanbieter vertrauen können.
 +
 
 +
Beispiele dafür sind der Google Authenticator und der Microsoft Authenticator.
  
 
== Siehe auch ==
 
== Siehe auch ==
 
* [[Informationssicherheit]]
 
* [[Informationssicherheit]]

Aktuelle Version vom 2. Juli 2026, 11:45 Uhr

Allgemeine Informationen
Anleitung
Informationen
BetriebssystemAlle
ServiceGitLab, Informationssicherheit und Microsoft 365
Interessant fürGäste, Angestellte und Studierende
HilfeWiki des ZIM der Uni Paderborn

no displaytitle found: Multi-Faktor-Authentifizierung (MFA)

Die Multi-Faktor-Authentifizierung (MFA) ist ein Verfahren um Ihren Account vor ungewollten Zugriffen zu schützen. Neben Benutzername und Passwort ist zur Anmeldung noch ein weiterer Faktor nötig. Oft ist dafür auch die Bezeichnung Zwei-Faktor-Authentifizierung oder 2FA zu finden.

Ein Passwort ist ein Faktor aus der Kategorie Wissen. Um die Sicherheit des Accounts zu erhöhen, sollte ein weiterer Faktor aus der Kategorie Besitz gewählt werden. Dafür kommen beispielsweise folgende Lösungen in Frage:

  • Einmal-Passwort-Authentifikator-App (OTP Authenticator App)
  • Hardware-Token


MFA ist bisher nur für ausgewählte Dienste verfügbar. Dazu gehören beispielsweise:

Authenticator[Bearbeiten | Quelltext bearbeiten]

Installieren Sie eine Authenticator-App auf Ihrem Handy und registrieren Sie diese in Ihrem Account. Der Zugriff auf Ihren Account setzt nun voraus, dass Sie im Besitz des Authenticators sind. Sie müssen also Zugriff auf Ihr Handy haben.

Beispiel: Einmalpasswort für GitLab in der App 2FAS


Sobald die Authenticator-App eingerichtet ist, generiert sie Einmalpasswörter, die zur Anmeldung genutzt werden können.

Wir empfehlen folgende Apps:

Android

iOS und iPadOS

  • 2FA Authenticator (2FAS) (Zu finden im App Store)
  • Die Aegis Authentificator App aus dem App Store ist nicht von Beem Development und wird von uns nicht empfohlen.

Windows

Sie können in einer Authenticator App beliebig viele Dienste hinterlegen.


Hardware-Token[Bearbeiten | Quelltext bearbeiten]

Ein Hardware-Token ist ein physisches Gerät, beispielsweise ein USB-Stick. Sie können einen Hardware-Token als Faktor für Ihren Account registrieren. Anschließend können Sie nur auf Ihren Account zugreifen, wenn Sie Zugriff auf den Hardware-Token haben. Die Vewendung von Hardware Token ist nur für Fortgeschrittene zu empfehlen.

Beispiel: Security Key C NFC von Yubico


Ein Beispiel für einen Hardware-Token ist der Security Key von yubico.

Recovery[Bearbeiten | Quelltext bearbeiten]

Die Nutzung eines zusätzlichen Faktors erhöht die Sicherheit Ihres Accounts. Wenn Sie den zusätzlichen Faktor verlieren, verlieren jedoch den Zugriff auf Ihren Account. Stellen Sie daher sicher, dass Sie für diesen Fall vorgesorgt haben. Dafür gibt es unterschiedliche Möglichkeiten.

Recovery Codes[Bearbeiten | Quelltext bearbeiten]

Bei der Einrichtung eines Authenticators werden Recovery Codes generiert. Diese können auch als Backup-Codes oder Wiederherstellungscodes bezeichnet werden. Falls Sie den Authenticator verlieren, können Sie sich mit einem Recovery Code anmelden. Sie können die Codes digital speichern oder ausdrucken. Bewahren Sie diese an einem sicheren Ort auf. Der Zugriff auf die Recovery Codes darf nicht durch den Authenticator geschützt sein.

Dritter Faktor[Bearbeiten | Quelltext bearbeiten]

Richten Sie einen weiteren Faktor ein. Sie können eine Authenticator App auf mehreren Geräten installieren oder zusätzlich einen Hardware-Token verwenden. Dafür müssen Sie in der Regel direkt bei der Einrichtung der Multi-Faktor-Authentifizierung alle gewünschten Apps bzw. Geräte registrieren.

Authenticator Backup[Bearbeiten | Quelltext bearbeiten]

Einige Authenticator Apps bieten die Möglichkeit, ein Backup aller Tokens zu erstellen. Das Vorgehen kann sich von App zu App unterscheiden.

Reset durch den Support[Bearbeiten | Quelltext bearbeiten]

Falls es sich um einen Dienst der Universität Paderborn handelt, kann das ZIM gegebenenfalls Ihren zusätzlichen Faktor deaktivieren. Bedenken Sie bitte, dass dies nicht für jeden Dienst möglich ist und nur zu den Öffnungszeiten des Helpdesk durchgeführt werden kann. Da es sich um einen sicherheitsrelevanten Vorgang handelt, müssen Sie dafür vor Ort erscheinen und sich mit einem Lichtbildausweis ausweisen.

Cloud Sync[Bearbeiten | Quelltext bearbeiten]

Einzelne Authenticator Apps bieten die Möglichkeit, die Token über mehrere Geräte hinweg in die Cloud zu Synchronisieren.

Vorteil:

  • Ihre Tokens sind ohne manuellen Aufwand direkt auf mehreren Geräten verfügbar.

Nachteil:

  • Die Tokens liegen nicht nur lokal auf dem Gerät sondern ebenfalls in der Cloud.
  • Sie müssen dem Cloudanbieter vertrauen können.

Beispiele dafür sind der Google Authenticator und der Microsoft Authenticator.

Siehe auch[Bearbeiten | Quelltext bearbeiten]


Bei Fragen oder Problemen können Sie uns zu unseren Servicezeiten telefonisch oder per E-Mail erreichen:


☎ Helpdesk: +49 5251 60-5544 ☎ Medien: +49 5251 60-2821 E-Mail: zim@uni-paderborn.de

Oder Sie besuchen uns vor Ort: Sie finden das Notebook-Café gemeinsam mit dem Servicecenter Medien in H1.201.

Servicezeiten

Mo. – Do. Fr.
Vor-Ort-Support 08:30 – 16:00 Uhr 08:30 – 14:00 Uhr
Telefonsupport 08:30 – 16:00 Uhr 08:30 – 14:00 Uhr
Servicecenter Medien 08:30 – 16:00 Uhr 08:30 – 14:00 Uhr
Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.