Zwei-Faktor-Authentifizierung (2FA)

Die Zwei-Faktor-Authentifizierung (2FA) bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere unabhängiger Komponenten (Faktoren). Die Zwei-Faktor-Authentisierung ist nur dann erfolgreich, wenn zwei festgelegte Komponenten oder Faktoren zusammen eingesetzt werden und beide korrekt sind.

Der Zugriff von außerhalb der Universität über VPN auf besonders schützenswerte Dienste (zunächst Laufwerksfreigaben) für Mitarbeiter kann nur noch nach erfolgreicher 2FA erfolgen. Dazu werden in Zukunft neben dem Passwort zusätzlich Einmalkennwörter als zweite Faktoren abgefragt.

Um diese Dienste weiter nutzen zu können, sollten Sie die 2FA für Ihren persönlichen Mitarbeiteraccount ab sofort einrichten und verwenden.

Sie benötigen also in Zukunft für diese besonders schützenswerten Dienste Ihren persönlichen Login-Namen, Ihr Kennwort und die 6-stellige Ziffernfolge mit der zeitlich begrenzte Gültigkeit (sg. Time-based One-time Password kurz TOTP).

Diese 6-stellige Ziffernfolge wird im besten Fall auf Ihrem persönlichen Handy in einer App erzeugt, die vorab mit einem "geheimen QR-Code" bespielt werden muss. Sie müssen also diese App immer öffnen, wenn Sie sich einloggen möchten. 

Mögliche Apps sind z.B. FreeOTP+ (Link nachfolgend) oder auch google Authenticator und andere.

Dieser geheime QR-Code ist einmal einzuscannen und ist Grundlage für die 6-stellige-Ziffernkombination, die jede halbe Minute neu berechnet wird und dann im Login-Prozess zusätzlich abgefragt wird.

Einrichtung in fünf Schritten

Um eine Zuordnung Ihres bestehenden ZIM-Accounts zu dem geheimen QR-Code herzustellen und den QR-Code zu erzeugen ist ein mehrstufiger Prozess notwendig:

  1. Rufen Sie zuerst https://otprc.uni-wuppertal.de auf und melden sich mit dort mit Ihrer ZIM-PIN an (nicht mit dem Passwort Ihres ZIM-Accounts).
  2. Generieren Sie ein neuen Registrierungscode und übernehmen Sie diesen Registrierungscode dann als Einmalpasswort von dort. (6-stellige Ziffer)
  3. Rufen Sie die Seite https://otpm.uni-wuppertal.de auf und loggen sich mit dem Einmalpasswort ein.
  4. Erzeugen Sie sich dort den geheimen QR-Code und scannen ihn mit Ihrer App. Die App erzeugt daraufhin auf dieser Grundlage die zeitabhängige 6-stellige Ziffernfolge.
  5. Richten Sie bei Ihrem Ivanti-Secure-Access-Client (VPN-Client) ein neues Profil ein. Als Server-URL tragen Sie hier webvpn.uni-wuppertal.de/2fa ein. Wichtig ist der Zusatz am Ende "/2fa".

Nachdem Sie sich erfolgreich mit Benutzername und Passwort authentifiziert haben, werden Sie zusätzlich nach der 6-stelligen Ziffernfolge gefragt. Diese Einrichtung muss nur einmalig ausgeführt werden, sobald dies erfolgt ist, können sie sich ganz einfach über die App 2-Faktor-Authentifizieren.

War das zu schnell?

Vorbereitung

  • Sie müssen die ZIM-PIN vorliegen haben
  • Webbrowser auf dem Desktop-Rechner
  • Smartphone mit der installierten App
  • Ivanti-Secure-Access-Client ist auf dem Desktoprechner installiert
  • Falls sich Ihr Endgerät nicht in einem Netz der BUW befindet, bauen Sie einen VPN-Tunnel wie bisher auf

HINWEIS: Sie benötigen den VPN Zugang nur für die Generierung des Registrierungscodes (Schritte 1 - 4). Rufen Sie das 2FA-Portal in Schritt 5 nicht über eine VPN-Browser-Verbindung auf. Schritt 5 kann auch von außerhalb des Netzes der BUW oder über eine VPN-Verbindung mit einem bereits installierten Ivanti-Secure-Access-Client erfolgen.

1. Anmelden am Registrierungsportal

  1. Registrierungsseite https://otprc.uni-wuppertal.de aufrufen
  2.  Felder ausfüllen
    • Benutzername: Ihr Accountname
    • ZIM-PIN: Zum Account zugehöriger ZIM-PIN
  3. Auf Anmelden klicken

2. Registrierungscode generieren

  1. Klicken Sie auf Registrierungscode generieren

3. Registrierungscode anzeigen

Der Registrierungscode wurde nun generiert. Dieser ist für eine Stunde gültig und wird anschließen automatisch deaktivert.

  1. Klicken Sie auf Registrierungscode anzeigen

4. Registrierungscode kopieren

Es öffnet sich ein neues Fenster mit dem Titel Anleitung zur Registrierung

  1. Kopieren Sie das Einmalpasswort in Ihre Zwischenablage (Markieren & Strg-C)
  2. Öffnen Sie die unter Punkt 1 angezeigte URL

HINWEIS: Wenn Sie die Seiten für die Generierung des Registrierungscode über eine VPN-Browserverbindung aufgerufen haben öffnen Sie nun ein weiteres Fenster ohne VPN-Verbindung um sich am 2FA-Portal anzumelden. Verwenden Sie nicht dieses Fenster für den Aufruf des 2FA-Portals.

5. Anmelden am 2FA-Portal

  1. Ausfüllen:
    • Username: Ihr Accountname
    • Passwort: das in Schritt 4 generierte Einmalpasswort
  2. Anmelden

6. OTP-Schlüssel generieren

Nach der erstem Anmeldung erhalten Sie direkt die Möglichkeit einen OTP-Schlüssel (One-Time-Password-Schlüssel (das geteilte Geheimnis)) zu erzeugen.

  1. Hashalgorithmus: Belassen Sie die Vorauswahl sha1
  2. Beschreibung: Kurze Beschreibung zur Unterscheidung, falls mehrere OTP-Schlüssel generiert werden (z.B. Name des Endgerätes)
  3. Auf Token ausrollen klicken

Achtung: Die meisten TOTP-Apps unterstützen nur dem im Standard festgelegten SHA-1 Algorithmus. Verwenden Sie andere Algorithmen nur wenn ihre 2FA Anwendung diese explizit unterstützt! Wird ein nicht kompatibler Algorithmus verwendet, funktioniert die 2-Faktor-Authentifizierung nicht! Die von uns empfohlenen Apps unterstützen alle aktuell angebotenen Algorithmen.

7. QR-Code einscannen

Scannen Sie den nun angezeigten QR-Code mit Ihrer 2FA-Anwendung ein

Achtung: Dieser geheime QR-Code sollte nur zum erst- und einmaligen einrichten verwendet werden! Speichern, drucken oder vervielfältigen Sie den Code NICHT und geben Sie den Code NIEMALS weiter!

Einrichten der 2FA-App

1. Installation der 2FA-App

  1. Laden Sie sich die App (FreeOPT+ bei Android / OTP Auth bei iOS) im Appstore ihres Smartphones herunter
  2. Öffnen Sie die FreeOTP+ App auf Ihrem Smartphone

2. Token zur App hinzufügen

  1. Drücken Sie auf den in der Hauptansicht befindlichen blauen Kamerabutton
  2. Halten Sie das Smartphone vor den Bildschirm, der QR-Code sollte mittig im angezeigten Fenster liegen.

3. Token einblenden

Standardmäßig blendet die App die generierten Token aus.

  1. Zum Einblenden der Token, tippen Sie auf den entsprechenden Listeneintrag

4. Token verwenden

  1. Der nun angezeigte Token ist für 30 Sekunden gültig und kann als zweiter Faktor im Loginprozess des Ivanti-Secure-Access-Client verwendet werden.

Einrichten des Ivanti-Secure-Access Client

Software herunterladen

Wenn Sie den "Ivanti Secure Access Client" schon installiert haben, können Sie diese Schritte überspringen und es geht weiter bei "Client installieren".

Browser öffnen und die URL https://webvpn.uni-wuppertal.de öffnen.

Den Menupunk Download VPN-Client auswählen.

Die Software passend zum eigenen Betriebssystem herunterladen.

Client installieren

Nach der Installation meldet sich der Ivanti Secure Access Client mit einem leeren Fenster. Man muss nun ein Profil anlegen indem man auf + drückt.

Man benennt das Profil für die 2FA-Verbindung und fügt als Server-URL webvpn.uni-wuppertal.de/2fa ein; der Zusatz /2fa ist wichtig. Danach drückt man "Hinzufügen". Danach drückt man "Verbindung herstellen".

Man gibt seinen Usernamen und sein Passwort ein. Der Client fragt dann nach dem zweiten Faktor. Den bekommt man aus der App im Mobiltelefon.

Der Client fragt dann nach dem zweiten Faktor. Den bekommt man aus der App im Mobiltelefon.

Das neue Profil erscheint im Hauptmenu.

Kontakt: zimber[at]uni-wuppertal.de 

Weitere Infos über #ZimUniWuppertal