FAQ zur Zwei-Faktor-Authentifizierung
FAQ zum Thema...
Allgemeine Fragen
Wie richte ich die 2-Faktor-Authentifizierung ein?
Wie genau die Einrichtung der 2-Faktor Authentifizierung funktioniert, entnehmen Sie bitte den eigens hierfür veröffentlichten Anleitungen.
Welche Dienste kann ich nicht mehr nutzen, wenn 2FA aktiviert wird?
Nach der Aktivierung werden alle Dienste, die von der sogenannten „Shibboleth-Anmeldung“ geschützt werden, durch einen weiteren Faktor bei der Authentifizierung geschützt. Hierzu gehören u.a.
- KUS-Portal
- RRZ-Serviceportal
- Fiona
- UHHCloud
- VPN
Um diese Dienste weiter nutzen zu können, ist es zwingend erforderlich, dass Sie sich an den eigens hierfür veröffentlichten Anleitungen orientieren und entsprechend tätig werden.
Der Schutz weiterer Dienste ist in Planung und wird kontinuierlich erweitert.
Wieso erkennt die App nicht, dass ich mein Gerät schon registriert habe?
Wenn Sie in Ihrem Browser regelmäßig Cookies (bzw. das local storage) löschen oder Ihren Browser im Privatmodus verwenden, kann die Information, dass Ihr Gerät bereits registriert ist, nicht gespeichert werden.
Wie funktioniert 2FA bei öffentlichen PCs an der Uni (in Bibliotheken oder PC-Pools/Computerräumen)?
Öffentliche PCs können und sollten nicht als zweiter Faktor eingerichtet werden. Wenn Sie an einem solchen PC arbeiten, haben Sie folgende Möglichkeiten zur Anmeldung:
- Sie können Ihr Smartphone als zweiten Faktor verwenden, sofern Sie es im Vorfeld registriert haben. Zur Anleitung
- Sie können einen FIDO-Stick als zweiten Faktor nutzen, sofern Sie einen besitzen. Zur Anleitung
- Sie können Ihre 2FA-Code Liste als zweiten Faktor nutzen.
Können auch private Endgeräte für 2FA genutzt werden?
Aus technischer Sicht spricht nichts gegen den freiwilligen Einsatz von privaten Endgräten, um diese als zweiten Faktor zu registrieren und zu verwenden. Die Mindestanforderungen an die jeweiligen Systemspezifikationen müssen hierbei erfüllt werden. Diese sind in den jeweiligen Anleitungen zur Vorbereitung der jeweiligen Geräteklasse benannt. Bitte haben Sie Verständnis dafür, dass wir für private Geräte keinen erweiterten Support leisten können.
Wie funktioniert 2FA an PCs, die regelmäßig von verschiedenen Mitarbeitenden genutzt werden (geteilte Arbeitsplätze/Geräte)?
An vom RRZ betriebenen Endgeräten ist es theoretisch möglich, dass sich mehrere Nutzende eine individuelle Windows Hello-Pin an einem (geteilten) Gerät vergeben.
Aus Sicherheitsgründen raten wir aber dringend von der Nutzung der Hello-Pin an solchen Geräten ab.
- Sie können Ihr Smartphone als zweiten Faktor verwenden, sofern Sie es im Vorfeld registriert haben. Zur Anleitung
- Sie können einen FIDO-Stick als zweiten Faktor nutzen, sofern Sie einen besitzen. Zur Anleitung
- Sie können Ihre 2FA-Code Liste als zweiten Faktor nutzen.
Zu wann betrifft mich die Implementierung der 2FA?
Die Implementierung des 2FA Systems an der UHH wird schrittweise erfolgen. Bis Ende 2023 werden alle festen Mitarbeitenden der UHH in den Rollout aufgenommen. Hierzu gehören auch studierende Angestellte. Neu eingestellte KollegInnen ab ~12/2023 werden ca. ab Mitte 01/24 und dann immer monatlich direkt angeschrieben und in den Rollout aufgenommen. Geplant ist, dass neue KollegInnen die 2FA Code Liste zukünftig zusammen mit dem Kennungsbrief für die Benutzerkennung im Rahmen des Einstellungsprozesses bekommen.
In 2024 geht es dann mit den unten benannten Personengruppen weiter. Alle Mitglieder werden frühzeitig (mindestens 4 Wochen vor Start) persönlich per E-Mail mit weiterführenden Informationen versorgt.
Hierzu zählen:
- Studierende
- externe Mitarbeitende
- Lehrbeauftragte
2FA-Code-Liste
Was ist eine 2FA-Code-Liste?
Die personalisierte 2FA-Code-Liste beinhaltet 240 Codes und kann als zweiter Faktor im Kontext der Zwei-Faktor-Authentifizierung verwendet werden. Mit Hilfe der Liste können Sie auch weitere Geräte als zweiten Faktor registrieren.
Wichtig: Die 2FA-Code-Liste ist nicht übertragbar.
Die 2FA-Code-Liste ist unbegrenzt gültig.
Wie erhalten neue Studierende oder Mitarbeitende eine 2FA-Code-Liste?
Die Liste wird per Post an Ihre bei der UHH hinterlegte Postadresse gesendet. Bei Studierenden stammen die Adressdaten aus STiNE, bei Mitarbeitenden der UHH aus dem Digitalen Personalmanagement (Kopers).
Ich habe die Code-Liste nicht (mehr), was kann ich tun?
Um Problemen wie einer vergessenen 2FA-Code-Liste entgegenzuwirken, wird dazu geraten, mehrere Geräte als zweiten Faktor zu registrieren. Bitte folgen Sie hierzu den entsprechenden Anleitungen.
Wenn Sie keine 2FA-Code-Liste erhalten haben, suchen Sie bitte einen RRZ-ServiceDesk auf (gültigen Lichtbildausweis mitbringen).
Für den Fall, dass Sie Ihre 2FA-Code-Liste verloren haben, und Sie sich selbst keine neue Liste ausstellen können, da Sie noch kein Endgerät für die Zwei-Faktor-Authentifizierung registriert haben, suchen Sie bitte ebenfalls einen RRZ-ServiceDesk auf (gültigen Lichtbildausweis mitbringen).
Sollten Sie nicht in der Lage sein, einen RRZ-ServiceDesk aufzusuchen, wenden Sie sich bitte an die RRZ-ServiceLine.
Kann ich mir selbst eine neue 2FA-Code-Liste erstellen?
Falls Sie vermuten, dass eine andere Person Ihre 2FA-Code-Liste ausgespäht hat oder Sie Ihre Liste verloren haben, können Sie sich selbst eine neue Liste erstellen. Dies ist aber nur möglich, wenn Sie Ihre eigene Liste haben, bzw. wenn Sie mindestens ein weiteres Gerät als zweiten Faktor registriert haben.
Wenn die genannten Voraussetzungen erfüllt sind, erstellen Sie eine neue Liste nach Anmeldung auf dieser Seite mithilfe des Punktes "Neue 2FA-Code-Liste anfordern" unten.
Warum sollte ich nicht dauerhaft die Codeliste zur Authentifizierung nutzen?
Während 2FA-Codezettel potenziell von Dritten ausgespäht oder abfotografiert werden können, ohne dass Sie es bemerken, sind 2FA-Geräte sicherer, da sie physisch gestohlen werden müssten, was Sie in der Regel sofort feststellen würden. Bitte nutzen Sie daher bevorzugt 2FA-Geräte für eine erhöhte Sicherheit Ihrer Konten. Machen Sie auch von der Möglichkeit Gebrauch, Ihren 2FA-Codezettel in der 2FA-Geräteregistrierung zu deaktivieren, wenn Sie ihn nicht benötigen.
Windows-Geräte
Was ist Windows Hello?
Windows Hello ist eine sicherere Möglichkeit, um mithilfe einer PIN, der Gesichtserkennung oder eines Fingerabdrucks sofort auf Ihre Windows 10-Geräte zugreifen zu können. Eine PIN müssen Sie auch einrichten, wenn Sie einen Fingerabdruck oder die Gesichtserkennung einrichten wollen. Ob Fingerabdruck und Gesichtserkennung möglich sind, hängt von der von Ihnen eingesetzten Hardware ab.
Wie kann ich Windows Hello einrichten?
Anleitungen zur Einrichtung von Windows Hello finden Sie unter www.rrz.uni-hamburg.de/kennung-authentifizierung/2fa/anleitungen.html.
Wieso kann ich Windows Hello nicht aktivieren? Bei mir lässt sich die Option nicht aktivieren.
Falls Sie einen vom RRZ administrierten Rechner (ein so genanntes FMD oder auch Fully Managed Device) verwenden und sich nicht in den Räumlichkeiten der UHH aufhalten, ist es notwendig, dass Sie die VPN-Verbindung grundsätzlich vor der Anmeldung am Rechner herstellen. (Hier finden Sie die Anleitung zu VPN before Login.)
Bei anhaltenden Problemen wenden Sie sich bitte an die RRZ-Serviceline(serviceline"AT"uni-hamburg.de?subject=2FA:%20FMD:%20Windows%20hello%20pin%20nicht%20aktivierbar).
Wie lang sollte meine Windows Hello-PIN sein?
Die Mindestanzahl für die Zeichen für die PIN beträgt vier Zeichen. Je mehr Zeichen Sie für Ihre PIN vergeben, um so schwieriger wird es, die PIN zu erraten. Triviale PINs (z.B. 1234, 0000, 5678) werden von Windows 10 nicht akzeptiert. Die maximale PIN-Länge beträgt 127 Zeichen.
Ist eine Hello-PIN nicht unsicherer, als die Nutzung des bisherigen Logins (lokale Authentifizierung bzw. Netzwerk-Authentifizierung)?
Ein wichtiger Unterschied zwischen einem Onlinekennwort und einer Hello-PIN besteht darin, dass die PIN an das bestimmte Gerät gebunden ist, auf dem sie eingerichtet wurde. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Jemand, der Ihr Onlinekennwort erhält, kann sich von überall aus bei Ihrem Konto anmelden, aber wenn er Ihre PIN erhält, muss er auch auf Ihr Gerät zugreifen. Die PIN kann nur auf diesem Gerät verwendet werden. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie Hello auf jedem Gerät einrichten.
PINs werden lokal auf dem Gerät gespeichert.
Ein Onlinekennwort wird an den Server übertragen. Das Kennwort kann bei der Übertragung abgefangen oder von einem Server abgerufen werden. Eine PIN wird lokal auf das Gerät übertragen, nie an einen beliebigen Ort übertragen und nicht auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Wenn Sie Ihre PIN eingeben, entsperren Sie den Authentifizierungsschlüssel, der zum Signieren der Anforderung verwendet wird, die an den Authentifizierungsserver gesendet wird. Obwohl lokale Kennwörter für das Gerät lokal sind, sind sie weniger sicher als eine PIN, wie im nächsten Abschnitt beschrieben. PINs sind hardwareunterstützt.
Die Hello-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Windows verknüpft lokale Kennwörter nicht mit TPM, daher gelten PINs als sicherer als lokale Kennwörter.
Benutzerschlüsselmaterial wird generiert und ist im TPM des Geräts verfügbar. Das TPM schützt das Schlüsselmaterial vor Angreifern, die es erfassen und wiederverwenden möchten. Da Hello asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder die Websites, auf die der Benutzer zugreift, kompromittiert wurden.
Das TPM schützt vor verschiedenen bekannten und potenziellen Angriffen, einschließlich PIN-Brute-Force-Angriffen. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt. PINs können komplex sein.
Die Windows Hello for Business-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z.B. bezüglich Komplexität, Länge, Ablauf und Verlauf. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Sie eine komplexere PIN erzeugen, die der von Kennwörtern vergleichbar ist. Sie können folgende Zeichen verwenden: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.
Was mache ich, wenn ich meine Windows Hello-PIN vergessen habe?
Die PIN ist lediglich eine alternative Anmeldeoption für einen konkreten Rechner und das Passwort damit nicht komplett ersetzt. Sollten Sie sich nicht mehr an die PIN erinnern, können Sie diese mithilfe des weiterhin bestehenden Windows 10-Passworts zurücksetzen.
Die Schaltfläche "Pin vergessen" finden Sie bei den "Anmeldeoptionen" im Bereich "Konten" in den "Einstellungen" des Betriebssystems.
- Bei vom RRZ administrierten Endgeräten des Typs "FMD" ist die Option "PIN vergessen" ist nur aktiv, wenn Sie VPN vor dem Windows-Login gestartet haben. Genau wie auf dem Hintergrundbild des Anmeldebildschirms erklärt ist.
- Bei vom RRZ administrierten Endgeräten des Typs "Bibliotheksrechner", ist die Option "PIN vergessen" ist nur aktiv, wenn Sie sich auf dem Uni-Gelände befinden und das Gerät mit einem angeschlossenen Netzwerkkabel gestartet wurde.
Was ist der Unterschied zwischen der Windows Hello-PIN und meinem Geräte-Passwort?
Die PIN ist lediglich eine alternative Anmeldeoption für einen konkreten Rechner und das Passwort damit nicht komplett ersetzt. Sollten Sie sich nicht mehr an die PIN erinnern, können Sie diese mit Hilfe des weiterhin bestehenden Windows 10-Passworts zurücksetzen.
Muss ich eine Windows Hello-PIN einrichten?
Nein. Die Einrichtung der Windows Hello-PIN erleichtert die Authentifizierung mit einem zweiten Faktor, da die Hello-PIN als zweiter Faktor fungiert. Wenn Sie die Hello-PIN nicht einrichten, müssen Sie einen anderen zweiten Faktor (Code-Kombination von der 2FA-Code-Liste, mobiles Endgerät, FIDO2-Stick) benutzen, um sich an Diensten der UHH anzumelden, die einen zweiten Faktor erfordern.
Was passiert mit der 2-Faktor-Authentifizierung, wenn ich die Windows Hello-PIN wieder entferne?
Die Notwendigkeit der Authentifizierung mit einem zweiten Faktor bleibt davon unberührt. Wenn Sie die Hello-PIN nicht einrichten oder wieder entfernen, müssen Sie einen anderen zweiten Faktor (Code-Kombination von der 2FA-Code-Liste, mobiles Endgerät) benutzen, um sich an Diensten der UHH anzumelden, die einen zweiten Faktor erfordern.
Warum benötigen Sie bei Verwendung von Biometrie eine PIN?
Windows Hello ermöglicht die biometrische Anmeldung für Windows: Fingerabdruck, Iris oder Gesichtserkennung. Wenn Sie Windows Hello einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen. Mit dieser PIN können Sie sich mit der PIN anmelden, wenn Sie Ihre bevorzugte biometrische Daten aufgrund einer Verletzung nicht verwenden können, weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert.
Wenn Sie nur eine biometrische Anmeldung konfiguriert haben und diese Methode aus irgendeinem Grund nicht für die Anmeldung verwenden können, müssten Sie sich mit Ihrem Konto und Kennwort anmelden. Dadurch erhalten Sie nicht den gleichen Schutz wie Hello.
Warum bekomme ich bei der Nutzung von WIN11 eine Fehlermeldung wenn ich eine VPN Verbindung aufbauen will?
In wenigen Fällen kommt es aktuell zu einer Fehlermeldung bei dem Versuch eine VPN-Verbindung aufzubauen und sich hierfür mit einem zweiten Faktor zu authentifizieren.
Fehlermeldung:
Authentication failed due to problem navigating to the sigle sing-on URL
Lösung:
Bitte legen Sie den Microsoft Edge Browser als Standardbrowser fest.
Warum habe ich ein Problem nach Verwendung des Ruhezustands mit meinem Win10 Endgerät?
In wenigen Einzelfällen gibt es ein Problem mit der 2FA, nachdem das Endgerät mit Windows 10 Betriebssystem aus dem "Ruhezustand" aufgeweckt wurde.
Nachdem man "mit diesem Gerät zur Authentifizierung" ausgewählt und seinen Pin eingegeben hat, wird man aufgefordert, einen Sicherheitsschlüssel in den USB-Anschluss einzustecken.
In diesen Fällen klicken Sie diese Meldung bitte über „Abbrechen“ weg und in dem dann erscheinenden Fenster auf "Ok" und starten Sie die Authentifizierung erneut. Im zweiten Anlauf klappt es dann.
Warum wird mir in Chrome / Edge plötzlich keine Hello-Pin mehr zum Authentifizieren angeboten?
Aufgrund eines Updates bei den Browsern "Chrome" und "Edge" kann es passieren, dass Ihnen nach der Auswahl "Mit diesem Gerät authentifizieren", nicht mehr die Windows Hello-Pin und / oder ggf. auch weitere Optionen in dem sich öffnenden Fenster angeboten werden.
Wählen Sie in diesem Fenster dann bitte:
- Bei Chrome: "Externen Sicherheitsschlüssel verwenden"
- Bei Edge: "Verwenden eines externen Sicherheitsschlüssel"
Anschließend erhalten Sie wieder die vollständige Auswahl.
Apple-Geräte
Fehlermeldung: This request has been cancelled by the user
Derzeit kommt es in wenigen Fällen auf Geräten des Typs IPhone und IPad zu der in der Überschrift genannten Fehlermeldung und eine Registrierung des Geräts ist daher nicht möglich.
An einer Lösung wird gearbeitet.
Was bedeutet „Zum Sichern eines Passkeys muss der iCloud-Schlüsselbund aktiviert sein“?
Apple synchronisiert den zweiten Faktor zwischen allen Apple-Geräten mit derselben ID. Wenn Sie also Ihr iPhone als zweiten Faktor registriert haben, ist automatisch auch z.B. Ihr iPad oder Safari auf dem Mac registriert – unter der Voraussetzung, dass die Betriebssysteme entsprechend aktuell sind, s.u.
Um die Synchronisation des zweiten Faktors zu ermöglichen, muss die genannte Funktion aktiviert sein. Eine Nutzung ohne Synchronisation lässt Apple nicht zu.
Anforderung an die Betriebssysteme:
- iOS-/iPadOS-Version 14.1 oder höher
- macOS 10.15 („Catalina“) oder höher
Warum funktioniert Chrome als zweiter Faktor nicht auf meinem iMac?
Bei Geräten, die älter als 2021 sind, funktioniert die 2FA-Registrierung nur mit Safari, keinem anderen Browser.
Warum ist das so?
Der Browser Chrome braucht Zugriff auf einen biometrischen Sensor. Die älteren iMacs haben diesen nicht. Chrome funktioniert nur beim iMac (ab Mai 2021) mit M1 Prozessor.
Was muss für die Registrierung mit dem Browser Safari getan werden?
Folgende Anforderungen müssen erfüllt sein:
- macOS 11 (oder neuer) mit aktuellem Patchstand ist installiert.
- AppleID wird genutzt.
- Schlüsselbund in der Cloud wird genutzt.
Linux-Geräte
Wieso gibt es keine Anleitung für Linux-Geräte?
Linux-Geräte unterstützen aktuell noch nicht den gerätebasierten Registrierungsprozess zur Zwei-Faktor-Authentifizierung (2FA).
Mit einem Linux-Gerät weichen Sie zur Authentifizierung bitte auf ein zusätzliches Gerät aus, bspw. auf ein Smartphone oder einen FIDO-Stick.
Beachten Sie gern entsprechende Anleitungen zur Vorbereitung oder Registrierung.
FIDO-Sticks
Was ist ein FIDO-Stick bzw. YubiKey?
FIDO2 ist ein neues Verfahren, mit dem Sie sich bei Webdiensten registrieren und einloggen können. Es kann entweder anstelle eines Passworts zum Einsatz kommen oder zusätzlich, als zweiter Faktor. Sie benötigen dafür einen sogenannten Authenticator: Solche gibt es zum Beispiel in Format eines USB-Sticks, den Sie am Schlüsselbund befestigen können.
Beim Login stecken Sie den Stick einfach in den Rechner und drücken die Taste auf dem Stick, um sich gegenüber dem Dienst zu authentifizieren. Unter Windows, Android und eingeschränkt auch unter macOS klappt es sogar ohne Zusatz-Hardware, da die Betriebssysteme selbst als virtuelle Authenticatoren arbeiten.
Je nachdem, wie der Dienst FIDO2 implementiert hat, genügt der Stick zum Einloggen (Ein-Faktor-Authentifizierung) oder Sie müssen zusätzlich noch eine PIN oder ein Passwort eingeben (zwei Faktoren). Beide Varianten sind erheblich sicherer, als sich allein auf das Passwort zu verlassen. YubiKey ist eine Stick-Familie des Herstellers Yubico.
Kann ich einen FIDO-Stick bekommen?
Wenn Sie Mitarbeitende:r der UHH sind und weder Ihr Computer (z.B. mit Linux-Betriebssystem) noch Ihr Mobiltelefon als zweiten Faktor konfiguriert werden können, können Sie einen FIDO-Stick im RRZ-ServicePortal bestellen (um das RRZ-ServicePortal z.B. aus dem Home-Office aufzurufen, müssen Sie (wenn Sie kein vom RRZ verwaltetes Endgerät verwenden) erst eine VPN-Verbindung zum Uni-Netz aufbauen. Weitere Informationen hierzu finden Sie hier).
Funktioniert der Fido-Stick auch an einem fremden Rechner?
Grundsätzlich ja. Für die Nutzung eines FIDO2-Sticks ist aber je nach Modell möglicherweise die Installation eines Gerätetreibers erforderlich.
Was mache ich mit dem Fido-Stick wenn ich die UHH verlasse?
Der FIDO2-Stick ist ein Ihnen zur Verfügung gestelltes technisches Gerät, dass genau wie alle anderen Arbeitsmittel im Falle eines Ausscheidens aus der UHH, an die ausgebende Stelle zurückgeführt wird. Bitte senden Sie den FIDO2-Stick daher mit der Hauspost an das Regionale Rechenzentrum unter Angabe Ihrer Benutzerkennung:
Regionales Rechenzentrum
RRZ-Service Desk
Schlüterstrasse 70
20146 Hamburg
Alternativ können Sie den FIDO2-Stick an einem unserer RRZ-ServiceDesk-Standorte abgeben.
Was mache ich, wenn ich die Pin des Fido-Stick vergessen habe?
Mit Windows Betriebssystem
Wenn Sie die PIN des Fido-Sticks vergessen haben, müssen Sie diesen zurücksetzen. Dies erfolgt in den „Anmeldeoptionen“ in den „Einstellungen“ von Windows. Klicken hier im Abschnitt „Sicherheitsschlüssel“ auf „Verwalten“ und dann auf „Zurücksetzen“.
Ggf. ist es erforderlich, den Stick dann auch neu für die 2FA zu registrieren.
Mit macOS Betriebssystem
Bitte installieren Sie die App „Yubico Authenticator“ aus dem Apple Store. Mit dieser App können Sie den Stick zurücksetzen. Die Möglichkeit hierzu befindet sich in der App oben rechts hinter der Schaltfläche mit den Schiebereglern. Ggf. ist es erforderlich, den Stick dann auch neu für die 2FA zu registrieren.
Mit Linux Betriebssystem
Bitte verwenden Sie das Programm "Yubikey Manager“, welches hier verfügbar ist:
https://www.yubico.com/support/download/yubikey-manager/
Insofern "pcsd" installiert ist, braucht man die Datei nur starten und kann dann auswählen, ob man das Programm nur verwenden oder installieren möchte.