FAQ für Studierenden zur Zwei-Faktor-Authentifizierung
FAQ zum Thema...
Allgemeine Fragen
Zu wann betrifft mich die Implementierung der 2FA?
Für Mitarbeitende und auch studentische Angestellte wurde die 2FA bereits 2023 eingeführt. Zu Mitte August 2024 startet die Umsetzung auch für Studierende.
Die Implementierung wird schrittweise erfolgen, das heißt, die Studierenden werden nacheinander für 2FA freigeschaltet. Sie erhalten persönlich per E-Mail alle wichtigen Informationen, wenn es losgeht.
Ich bin als Studierende/Studierender bei der UHH angestellt. Was gilt für mich?
Wenn Sie sich als studierende Angestellte/studierender Angestellter an der UHH bereits für die 2FA registriert haben, müssen Sie nichts weiter tun.
Was gilt für Erstsemester-Studierende?
Im ersten Schritt werden die Studierenden der höheren Semester für die 2FA freigeschaltet. Als Erstsemester können Sie die Dienste erst einmal weiter ohne 2FA nutzen und erhalten zu einem späteren Zeitpunkt die entsprechenden Informationen, wenn die Umstellung für Sie startet.
Wie richte ich die 2-Faktor-Authentifizierung ein?
Wie genau die Einrichtung der 2-Faktor-Authentifizierung funktioniert, entnehmen Sie bitte den eigens hierfür veröffentlichten Anleitungen.
Welche Dienste kann ich nicht mehr nutzen, wenn 2FA aktiviert wird?
Nach der Aktivierung werden viele Dienste, bei denen Sie sich mit Ihrer B-Kennung anmelden, durch einen weiteren Faktor bei der Authentifizierung geschützt. Hierzu gehören u. a.
- OpenOlat
- Moodle
- VPN
Um diese Dienste weiter nutzen zu können, ist es zwingend erforderlich, dass Sie sich an den eigens hierfür veröffentlichten Anleitungen orientieren und entsprechend tätig werden.
Der Schutz weiterer Dienste ist in Planung und wird kontinuierlich erweitert.
Wieso erkennt der Dienst, bei dem ich mich anmelden will, nicht, dass ich mein Gerät schon registriert habe?
Wenn Sie in Ihrem Browser regelmäßig Cookies (bzw. das local storage) löschen oder Ihren Browser im Privatmodus verwenden, kann die Information, dass Ihr Gerät bereits registriert ist, nicht gespeichert werden.
Wie funktioniert 2FA bei öffentlichen PCs an der Uni, z. B. in Bibliotheken oder PC-Pools und Computerräumen?
Öffentliche PCs können und sollten nicht als zweiter Faktor eingerichtet werden. Wenn Sie an einem solchen PC arbeiten, haben Sie folgende Möglichkeiten zur Anmeldung:
- Sie können Ihr Smartphone als zweiten Faktor verwenden, sofern Sie es im Vorfeld registriert haben. Zur Anleitung
- Sie können einen FIDO-Stick als zweiten Faktor nutzen, sofern Sie einen besitzen. Zur Anleitung
- Sie können Ihre 2FA-Code Liste als zweiten Faktor nutzen.
Ich habe Bedarf an digitaler Barrierefreiheit. Welche Möglichkeiten gibt es für mich?
Sie können über das Büro für die Belange von Studierenden mit Beeinträchtigungen kostenfrei einen FIDO-Stick zur barrierefreien 2FA beantragen. Wir unterstützen Sie auch bei der Einrichtung des FIDO-Sticks. Kontakt:
2FA-Code-Liste
Was ist eine 2FA-Code-Liste?
Die personalisierte 2FA-Code-Liste beinhaltet 240 Codes und kann als zweiter Faktor im Kontext der Zwei-Faktor-Authentifizierung verwendet werden. Mithilfe der Liste können Sie auch weitere Geräte als zweiten Faktor registrieren.
Wichtig: Die 2FA-Code-Liste ist unbegrenzt gültig und ist nicht übertragbar.
Wie erhalte ich die 2FA-Code-Liste?
Ihre persönliche Code-Liste wird per E-Mail an Ihre studentische E-Mailadresse zugeschickt. Mit dieser Mail wird Ihnen mitgeteilt, dass Ihre spezifische Kennung 2FA-pflichtig ist. Neben der Code-Liste erhalten Sie auch eine Beschreibung der notwendigen Schritte sowie hilfreiche Links.
Alle Informationen zur Nutzung der Studi-Mailadresse finden Sie auf den entsprechenden RRZ-Seiten.
Warum soll ich meine erste Code-Liste deaktivieren und sie nicht dauerhaft zur Authentifizierung nutzen?
Ihre digitale 2FA-Code-Liste kann potenziell von Dritten ausgespäht werden, ohne dass Sie es bemerken. Dagegen sind 2FA-Geräte sicherer, da sie physisch gestohlen werden müssten, was Sie in der Regel sofort feststellen würden. Bitte nutzen Sie daher Ihre 2FA-Geräte für eine erhöhte Sicherheit Ihrer Konten.
Sie können Ihre initial zugeschickte 2FA-Code-Liste in der 2FA-Geräteregistrierung deaktivieren.
Kann ich mir selbst eine neue 2FA-Code-Liste erstellen?
Sie können sich selbst eine neue Liste erstellen. Wichtig: Dies ist nach Deaktivierung der ersten Liste nur möglich, wenn Sie mindestens ein Gerät als zweiten Faktor registriert haben.
Wenn die genannten Voraussetzungen erfüllt sind, erstellen Sie eine neue Liste nach Anmeldung auf dieser Seite mithilfe des Punktes „Neue 2FA-Code-Liste anfordern“. Zur Sicherheit sollte die Liste nicht auf Ihrem Computer gespeichert sein. Drucken Sie sie daher bitte aus.
Windows-Geräte
Was ist „Windows Hello“?
„Windows Hello“ ist eine sicherere Möglichkeit, um mithilfe einer PIN, der Gesichtserkennung oder eines Fingerabdrucks sofort auf Ihre Windows-10-Geräte zugreifen zu können. Eine PIN müssen Sie auch einrichten, wenn Sie einen Fingerabdruck oder die Gesichtserkennung einrichten wollen. Ob Fingerabdruck und Gesichtserkennung möglich sind, hängt von der von Ihnen eingesetzten Hardware ab.
Wie kann ich „Windows Hello“ einrichten?
Anleitungen zur Einrichtung von „Windows Hello“ finden Sie unter den Anleitungen zur Einrichtung der 2FA.
Muss ich eine „Windows Hello“-PIN einrichten?
Nein. Die Einrichtung der „Windows Hello“-PIN erleichtert die Authentifizierung mit einem zweiten Faktor, da die „Windows Hello“-PIN als zweiter Faktor fungiert. Wenn Sie die „Windows Hello“-PIN nicht einrichten, müssen Sie einen anderen zweiten Faktor (Code-Kombination von der 2FA-Code-Liste, mobiles Endgerät, FIDO2-Stick) benutzen, um sich an Diensten der UHH anzumelden, die einen zweiten Faktor erfordern.
Wie lang sollte meine „Windows Hello“-PIN sein?
Die Mindestanzahl für die Zeichen für die PIN beträgt vier Zeichen. Je mehr Zeichen Sie für Ihre PIN vergeben, um so schwieriger wird es, die PIN zu erraten. Triviale PINs (z.B. 1234, 0000, 5678) werden von Windows 10 nicht akzeptiert. Die maximale PIN-Länge beträgt 127 Zeichen.
Was mache ich, wenn ich meine „Windows Hello“-PIN vergessen habe?
Die „Hello“-PIN ist lediglich eine alternative Anmeldeoption für einen konkreten Rechner und das Passwort damit nicht komplett ersetzt. Sollten Sie sich nicht mehr an die „Hello“-PIN erinnern, können Sie diese mithilfe des weiterhin bestehenden Windows-10-Passworts zurücksetzen.
Hinweis:
Nachdem die Hello-PIN geändert wurde, muss das Gerät als zweiter Faktor neu registriert werden, genau wie bei der ersten Registrierung des Geräts.
Die Schaltfläche „Pin vergessen“ finden Sie bei den „Anmeldeoptionen“ im Bereich „Konten“ in den „Einstellungen“ des Betriebssystems.
Was ist der Unterschied zwischen der „Windows Hello“-PIN und meinem Geräte-Passwort?
Die PIN ist lediglich eine alternative Anmeldeoption für einen konkreten Rechner und das Passwort damit nicht komplett ersetzt. Sollten Sie sich nicht mehr an die PIN erinnern, können Sie diese mithilfe des weiterhin bestehenden Windows-10-Passworts zurücksetzen.
Was passiert mit der 2-Faktor-Authentifizierung, wenn ich die „Windows Hello“-PIN wieder entferne?
Die Notwendigkeit der Authentifizierung mit einem zweiten Faktor bleibt davon unberührt. Wenn Sie die „Windows Hello“-PIN nicht einrichten oder wieder entfernen, müssen Sie einen anderen zweiten Faktor (Code-Kombination von der 2FA-Code-Liste, mobiles Endgerät) benutzen, um sich an Diensten der UHH anzumelden, die einen zweiten Faktor erfordern.
Ist eine „Windows Hello“-PIN nicht unsicherer, als die Nutzung des bisherigen Logins (lokale Authentifizierung bzw. Netzwerk-Authentifizierung)?
Ein wichtiger Unterschied zwischen einem Onlinekennwort und einer „Windows Hello“-PIN besteht darin, dass die PIN an das bestimmte Gerät gebunden ist, auf dem sie eingerichtet wurde. Diese PIN ist für Dritte ohne diese bestimmte Hardware nutzlos. Jemand, der Ihr Onlinekennwort erhält, kann sich von überall aus bei Ihrem Konto anmelden, aber wenn er Ihre PIN erhält, muss er auch auf Ihr Gerät zugreifen. Die PIN kann nur auf diesem Gerät verwendet werden. Wenn Sie sich an mehreren Geräten anmelden möchten, müssen Sie „Windows Hello“ auf jedem Gerät einrichten.
PINs werden lokal auf dem Gerät gespeichert.
Ein Onlinekennwort wird an den Server übertragen. Das Kennwort kann bei der Übertragung abgefangen oder von einem Server abgerufen werden. Eine PIN wird lokal auf das Gerät übertragen, nie an einen beliebigen Ort übertragen und nicht auf dem Server gespeichert. Wenn die PIN erstellt wird, stellt sie ein Vertrauensverhältnis mit dem Identitätsanbieter her und erstellt ein asymmetrisches Schlüsselpaar, das für die Authentifizierung verwendet wird. Wenn Sie Ihre PIN eingeben, entsperren Sie den Authentifizierungsschlüssel, der zum Signieren der Anforderung verwendet wird, die an den Authentifizierungsserver gesendet wird. Obwohl lokale Kennwörter für das Gerät lokal sind, sind sie weniger sicher als eine PIN, wie im nächsten Abschnitt beschrieben. PINs sind hardwareunterstützt.
Die „Windows Hello“-PIN wird durch einen Trusted Platform Module (TPM)-Chip unterstützt. Bei diesem handelt es sich um einen sicheren Kryptoprozessor, der kryptografische Vorgänge ausführt. Der Chip umfasst mehrere physische Sicherheitsmechanismen, die ihn manipulationssicher machen, und Schadsoftware ist nicht in der Lage, die TPM-Sicherheitsfunktionen zu manipulieren. Windows verknüpft lokale Kennwörter nicht mit TPM, daher gelten PINs als sicherer als lokale Kennwörter.
Benutzerschlüsselmaterial wird generiert und ist im TPM des Geräts verfügbar. Das TPM schützt das Schlüsselmaterial vor Angreifern, die es erfassen und wiederverwenden möchten. Da „Windows Hello“ asymmetrische Schlüsselpaare verwendet, können Benutzeranmeldeinformationen nicht gestohlen werden, wenn der Identitätsanbieter oder die Websites, auf die der Benutzer zugreift, kompromittiert wurden.
Das TPM schützt vor verschiedenen bekannten und potenziellen Angriffen, einschließlich PIN-Brute-Force-Angriffen. Nach einer zu großen Zahl von Fehlversuchen wird das Gerät gesperrt. PINs können komplex sein.
Die „Windows Hello“-PIN unterliegt dem gleichen Satz von IT-Verwaltungsrichtlinien wie ein Kennwort, z. B. bezüglich Komplexität, Länge, Ablauf und Verlauf. Auch wenn wir uns PINs in der Regel als einfachen vierstelligen Code vorstellen, können Sie eine komplexere PIN erzeugen, die der von Kennwörtern vergleichbar ist. Sie können folgende Zeichen verwenden: Sonderzeichen, Großbuchstaben, Kleinbuchstaben und Ziffern.
Warum benötige ich bei Verwendung von Biometrie eine PIN?
„Windows Hello“ ermöglicht die biometrische Anmeldung für Windows: Fingerabdruck, Iris oder Gesichtserkennung. Wenn Sie „Windows Hello“ einrichten, werden Sie aufgefordert, zunächst eine PIN zu erstellen. Mit dieser PIN können Sie sich auch dann anmelden, wenn Sie Ihre bevorzugte biometrische Daten aufgrund einer Verletzung nicht verwenden können, weil der Sensor nicht verfügbar ist oder nicht ordnungsgemäß funktioniert.
Wenn Sie nur eine biometrische Anmeldung konfiguriert haben und diese Methode aus irgendeinem Grund nicht für die Anmeldung verwenden können, müssten Sie sich mit Ihrem Konto und Kennwort anmelden. Dadurch erhalten Sie nicht den gleichen Schutz wie „Windows Hello“.
Warum bekomme ich bei der Nutzung von WIN11 eine Fehlermeldung, wenn ich eine VPN-Verbindung aufbauen will?
In wenigen Fällen kommt es aktuell zu einer Fehlermeldung bei dem Versuch eine VPN-Verbindung aufzubauen und sich hierfür mit einem zweiten Faktor zu authentifizieren.
Fehlermeldung:
Authentication failed due to problem navigating to the sigle sing-on URL
Lösung:
Bitte legen Sie den Microsoft Edge Browser als Standardbrowser fest.
Warum habe ich mit meinem Win10-Endgerät ein Problem nach Verwendung des Ruhezustands?
In wenigen Einzelfällen gibt es ein Problem mit der 2FA, nachdem das Endgerät mit Windows-10-Betriebssystem aus dem „Ruhezustand“ aufgeweckt wurde.
Nachdem man „mit diesem Gerät zur Authentifizierung“ ausgewählt und seinen Pin eingegeben hat, wird man aufgefordert, einen Sicherheitsschlüssel in den USB-Anschluss einzustecken.
In diesen Fällen klicken Sie diese Meldung bitte über „Abbrechen“ weg und in dem dann erscheinenden Fenster auf „Ok“ und starten Sie die Authentifizierung erneut. Im zweiten Anlauf klappt es dann.
Warum wird mir in Chrome/Edge plötzlich keine „Hello“-PIN mehr zum Authentifizieren angeboten?
Aufgrund eines Updates bei den Browsern „Chrome“ und „Edge“ kann es passieren, dass Ihnen nach der Auswahl „Mit diesem Gerät authentifizieren“, nicht mehr die Windows Hello-Pin und / oder ggf. auch weitere Optionen in dem sich öffnenden Fenster angeboten werden.
Wählen Sie in diesem Fenster dann bitte:
- Bei Chrome: „Externen Sicherheitsschlüssel verwenden“
- Bei Edge: „Verwenden eines externen Sicherheitsschlüssel“
Anschließend erhalten Sie wieder die vollständige Auswahl.
Apple-Geräte
Fehlermeldung: This request has been cancelled by the user
Derzeit kommt es in wenigen Fällen auf Geräten des Typs IPhone und IPad zu der in der Überschrift genannten Fehlermeldung und eine Registrierung des Geräts ist daher nicht möglich.
An einer Lösung wird gearbeitet.
Was bedeutet „Zum Sichern eines Passkeys muss der iCloud-Schlüsselbund aktiviert sein“?
Apple synchronisiert den zweiten Faktor zwischen allen Apple-Geräten mit derselben ID. Wenn Sie also Ihr iPhone als zweiten Faktor registriert haben, ist automatisch auch z. B. Ihr iPad oder Safari auf dem Mac registriert – unter der Voraussetzung, dass die Betriebssysteme entsprechend aktuell sind (s.u.).
Um die Synchronisation des zweiten Faktors zu ermöglichen, muss die genannte Funktion aktiviert sein. Eine Nutzung ohne Synchronisation lässt Apple nicht zu.
Anforderung an die Betriebssysteme:
- iOS-/iPadOS: Version 14.1 oder höher
- macOS: 10.15 („Catalina“) oder höher
Warum funktioniert Chrome als zweiter Faktor nicht auf meinem iMac?
Bei Geräten, die älter als 2021 sind, funktioniert die 2FA-Registrierung nur mit „Safari“, keinem anderen Browser.
Warum ist das so?
Der Browser „Chrome“ braucht Zugriff auf einen biometrischen Sensor. Die älteren iMacs haben diesen nicht. „Chrome“ funktioniert nur beim iMac (ab Mai 2021) mit M1 Prozessor.
Was muss für die Registrierung mit dem Browser „Safari“ getan werden?
Folgende Anforderungen müssen erfüllt sein:
- macOS 11 (oder neuer) mit aktuellem Patchstand ist installiert.
- AppleID wird genutzt.
- Schlüsselbund in der Cloud wird genutzt.
Linux-Geräte
Wieso gibt es keine Anleitung für Linux-Geräte?
Linux-Geräte unterstützen aktuell noch nicht den gerätebasierten Registrierungsprozess zur Zwei-Faktor-Authentifizierung (2FA).
Mit einem Linux-Gerät weichen Sie zur Authentifizierung bitte auf ein zusätzliches Gerät aus, bspw. auf ein Smartphone oder einen FIDO-Stick.
Beachten Sie gern entsprechende Anleitungen zur Vorbereitung oder Registrierung.
FIDO-Sticks
Was ist ein FIDO-Stick bzw. YubiKey?
FIDO2 ist ein neues Verfahren, mit dem Sie sich bei Webdiensten registrieren und einloggen können. Es kann entweder anstelle eines Passworts zum Einsatz kommen oder zusätzlich, als zweiter Faktor. Sie benötigen dafür einen sogenannten Authenticator: Solche gibt es zum Beispiel in Format eines USB-Sticks, den Sie am Schlüsselbund befestigen können.
Beim Login stecken Sie den Stick einfach in den Rechner und drücken die Taste auf dem Stick, um sich gegenüber dem Dienst zu authentifizieren. Unter Windows, Android und eingeschränkt auch unter macOS klappt es sogar ohne Zusatz-Hardware, da die Betriebssysteme selbst als virtuelle Authenticatoren arbeiten.
Je nachdem, wie der Dienst FIDO2 implementiert hat, genügt der Stick zum Einloggen (Ein-Faktor-Authentifizierung) oder Sie müssen zusätzlich noch eine PIN oder ein Passwort eingeben (zwei Faktoren). Beide Varianten sind erheblich sicherer, als sich allein auf das Passwort zu verlassen. YubiKey ist eine Stick-Familie des Herstellers Yubico.
Kann ich einen selbst gekauften FIDO-Stick für die 2FA der UHH verwenden?
Ja, für die 2FA können eigene FIDO-Sticks als zweiter Faktor verwendet.
Bekomme ich einen FIDO-Stick von der UHH?
Nein, FIDO-Sticks werden ausschließlich Mitarbeitenden der UHH unter bestimmten Voraussetzungen zur Verfügung gestellt.
Ausnahmen gibt es für Studierende mit Bedarf an digitaler Barrierefreiheit. Sie können über das Büro für die Belange von Studierenden mit Beeinträchtigungen kostenfrei einen FIDO-Stick beantragen. Kontakt:
Funktioniert der Fido-Stick auch an einem fremden Rechner?
Grundsätzlich ja. Für die Nutzung eines FIDO-Sticks ist aber je nach Modell möglicherweise die Installation eines Gerätetreibers erforderlich.
Was mache ich, wenn ich die PIN des FIDO-Stick vergessen habe?
Mit Windows-Betriebssystem
Wenn Sie die PIN des FIDO-Sticks vergessen haben, müssen Sie diesen zurücksetzen. Dies erfolgt in den „Anmeldeoptionen“ in den „Einstellungen“ von Windows. Klicken hier im Abschnitt „Sicherheitsschlüssel“ auf „Verwalten“ und dann auf „Zurücksetzen“.
Ggf. ist es erforderlich, den Stick dann auch neu für die 2FA zu registrieren.
Mit macOS-Betriebssystem
Bitte installieren Sie die App „Yubico Authenticator“ aus dem Apple Store. Mit dieser App können Sie den Stick zurücksetzen. Die Möglichkeit hierzu befindet sich in der App oben rechts hinter der Schaltfläche mit den Schiebereglern. Ggf. ist es erforderlich, den Stick dann auch neu für die 2FA zu registrieren.
Mit Linux-Betriebssystem
Bitte verwenden Sie das Programm "Yubikey Manager“, welches hier verfügbar ist:
https://www.yubico.com/support/download/yubikey-manager/
Insofern „pcsd“ installiert ist, braucht man die Datei nur starten und kann dann auswählen, ob man das Programm nur verwenden oder installieren möchte.