====== Mehrfaktor-Authentifizierung ====== Das Kundenportal der Academiccloud bietet die Möglichkeit, eine Mehrfaktor-Authentifizierung zu aktivieren. Dies ist künftig nötig um sich an den Diensten der GWDG anmelden zu können. Als Nachweis der Identität eines Nutzers dient im Allgemeinen die Kombination aus Benutzernamen oder E-Mail Adresse und individuellem Passwort. Die Mehrfaktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene jenseits traditioneller Passwörter. Ab dem **15.09.2025** sollen alle Dienste, die an den AcademicCloud Single Sign-On (SSO) angebunden sind, mit der **Mehrfaktor-Authentifizierung (MFA)** abgesichert werden. ===== Wann wird die Mehrfaktor-Authentifizierung verpflichtend? ===== ^ Datum | Änderung ^ ^ ^ 13.Mai 2025 | MFA-Pflicht für die Nutzung von eduVPN für alle Angehörigen der Universität Göttingen | | ^ Sommersemester 2025 | schrittweise MFA-Pflicht für weitere Dienste (Genauer Zeitplan folgt) | | ^ 15.September 2025 | MFA-Pflicht für alle Mitarbeiter:innen und Studierende. Spätestens zu diesem Zeitpunkt muss ein zweiter Faktor eingerichtet sein | | =====Wie richte ich einen zusätzlichen Faktor ein?===== {{ de:services:general_services:customer_portal:security:mfa_neu_de.png?direct&800 |}} Haben Sie bisher noch keinen zweiten Faktor eingerichtet, erscheint nach der Anmeldung im Accountportal der Academiccloud folgende Meldung: {{ de:services:general_services:customer_portal:security:helfensieuns2-de.png?direct&500 |}} Die verschiedenen Faktoren werden nach der Anmeldung in dem Kundenportal der Academiccloud und dem Wechsel in den Reiter “Sicherheit”, auf der linken Seite des Fensters, angezeigt und können per Klick auf “Mein Konto absichern” eingerichtet werden. {{ de:services:general_services:customer_portal:security:acportal-de.png?direct&700 |}} ==== Welcher Faktor passt am besten für mich? ==== Welcher Faktor für Sie in Frage kommt, hängt von der von Ihnen gewünschten Lösung bzw. der Ihnen zur Verfügung stehenden Hardware ab. Folgende Frage kann Ihnen dabei helfen die beste Lösung für Sie zu finden. Wählen Sie unten den Fall aus, der am besten zu Ihrer Situation passt. Eine ausführliche Anleitung zu dem jeweiligen Fall ist verlinkt, sowie weiter unten unter "Alle Anleitungen" zu finden. **Wie möchten Sie Ihren Account zukünftig sichern?** - Ich habe ein Arbeitsgerät, welches eine **biometrische Erkennung** wie Windows Hello oder Apple FaceID/TouchID unterstützt * Am besten passt für Sie die Nutzung eines Sicherheitsschlüssel wie FIDO2 oder Passkey [[de:services:general_services:customer_portal:security:two_factor_authentication:fido2| (Anleitung)]] - Ich besitze ein Smartphone und würde meinen Account gerne über eine **Smartphone-App** absichern * Am besten passt für Sie die Nutzung der eduMFA-App [[de:services:general_services:customer_portal:security:two_factor_authentication:edupush|(Anleitung)]] - Ich habe **kein Smartphone/biometrische Erkennung** oder möchte diese nicht einsetzen, um meinen Account abzusichern, und benötige **eine andere Lösung** * Am besten passt für Sie die Nutzung eines Hardwaretokens wie YubiKey [[de:services:general_services:customer_portal:security:two_factor_authentication:yubikey|(Anleitung)]]. Dort finden Sie auch nähere Informationen, wie Sie einen Yubikey beschaffen können. Die GWDG empfiehlt die Nutzung eines FIDO2/Passkeys oder der eduMFA-App. Es können auch mehrere Verfahren parallel eingerichtet und genutzt werden. Eine Verpflichtung zur Nutzung von privaten Geräten entsteht nicht. ==== Alle Anleitungen:==== * [[#Wie richte ich einen zusätzlichen Faktor ein?| Wie richte ich einen zusätzlichen Faktor ein?]]\\ * [[#Mehrfaktorauthentifizierung im Kundenportal verwalten| Mehrfaktorauthentifizierung im Kundenportal verwalten]]\\ * [[#Anmeldung mit Bestätigung in zwei Schritten| Anmeldung mit Bestätigung in zwei Schritten]] \\ * [[#Zurücksetzen der Faktoren| Zurücksetzen der Faktoren]] \\ * [[#Troubleshoot/FAQ| Troubleshoot/FAQ]] \\ * **Anleitungen zur Einrichtung und Nutzung der einzelnen Faktoren:** \\ * [[de:services:general_services:customer_portal:security:two_factor_authentication:fido2| Sicherheitsschlüssel wie FIDO2 oder Passkeys]] * [[de:services:general_services:customer_portal:security:two_factor_authentication:edupush| eduMFA Authentificator-App]] * [[de:services:general_services:customer_portal:security:two_factor_authentication:totp| TOTP Authenticator Apps]] * [[de:services:general_services:customer_portal:security:two_factor_authentication:keepass|KeePassXC: TOTP-MFA ohne Smartphone ]] * [[de:services:general_services:customer_portal:security:two_factor_authentication:yubikey|Hardwaretokens wie zB. Yubikey]] ===== Recovery-Token nach der Einrichtung eines zweiten Faktors ===== ** Wichtig: ** \\ Nach der Einrichtung des neuen Faktors, wird ein Recovery-Token für Sie erstellt. {{ de:services:general_services:customer_portal:security:recoverytoken.png?direct&800 |}} **Dieser muss unbedingt an einem sicheren Ort abgespeichert werden**, da mithilfe dieses Recovery-Tokens alle eingerichteten zweiten Faktoren gelöscht werden können. Die bewusste und sichere Speicherung dieses Codes ist daher besonders relevant, da: * Sollten Sie den Zugang zu ihren zweiten Faktoren verlieren nur mit diesem der Zugang zurückgesetzt werden kann. * Sollte der Code unberechtigten Dritten in die Hände gelangen, diese mithilfe des Codes die zusätzliche Sicherheitsebene zweiten Faktors überwinden können. Sie haben Probleme mit dem zweiten Faktor? Vielleicht finden Sie Ihre Frage beantwortet unter unserem Kapitel: [[#Troubleshoot/FAQ]] \\ Sollten Ihre Fragen nicht beantwortet sein, wenden Sie bitte mit Ihrer Fragestellung an: sso-support@gwdg.de =====Anmeldung mit Bestätigung in zwei Schritten===== Nach der erfolgreichen Einrichtung eines zusätzlichen Faktors wird nun bei der Anmeldung von Single-Sign-On Diensten ein zweiter Faktor benötigt. Die Anmeldung erfolgt danach in diesen Schritten: 1. Zuerst müssen wie gewohnt, die E-Mail Adresse bzw. der Benutzername sowie das Passwort eingegeben werden. Falls Sie dies wünschen, kann vor dem Bestätigen des Benutzernamens ein Harken bei “ANGEMELDET BLEIBEN” gesetzt werden, um den Prozess bei der nächsten Nutzung des Dienst zu verkürzen. {{ :de:services:general_services:customer_portal:security:two_factor_authentication:methods:ac1.png?direct&600 |}} {{ :de:services:general_services:customer_portal:security:two_factor_authentication:methods:ac2.png?direct&600 |}} 2. Nun muss einer der eingerichteten Faktoren ausgewählt werden. {{ :de:services:general_services:customer_portal:security:two_factor_authentication:methods:ac3.png?direct&600 |}} 3. Anschließend beginnt die je nach ausgewähltem Faktor unterschiedliche Authentifizierung. {{ :de:services:general_services:customer_portal:security:two_factor_authentication:methods:ac4.png?direct&600 |}} {{ :de:services:general_services:customer_portal:security:two_factor_authentication:methods:ac5.png?direct&400 |}} 4. Nach erfolgreicher Authentifizierung werden Sie automatisch eingeloggt. \\ =====Zurücksetzen der Faktoren===== Sollten andere Authetifizierungsdienste (TOTP, FIDO2/Passkeys, eduMFA) zur Wiederherstellung des Kontos nicht (mehr) verfügbar sein, z.B. wenn das Smartphone kaputt gegangen ist, muss der bei erster Einrichtung eines zweiten Faktors generierte Recovery Code genutzt werden um die Mehrfach-Authentifizierung zurückzusetzen. Nach einmaliger Verwendung muss ein neues Token ausgestellt werden. - Gehen Sie auf: [[https://id.academiccloud.de/mfareset| id.academiccloud.de/mfareset]] - Setzen Sie mittels des Recovery Code ihre Faktoren zurück. - Richten Sie einen neuen zweiten Faktor ein. =====Troubleshoot/FAQ===== ==Anmeldung nach der Einrichtung eines MFA’s== * ** Obwohl ich “ANGEMELDET BLEIBEN” aktiviert habe, muss ich meine Benutzerdaten oder meinen MFA erneut angeben. ** * Dienste der GWDG unterliegen verschiedenen Sicherheitsebenen. Diese unterschiedlichen Sicherheitsebenen wirken sich auch auf die Häufigkeit der Abfrage der Anmeldedaten aus. Dies führt dazu, dass bei manchen Diensten alle Anmeldedaten gemerkt werden, während bei anderen Diensten nur der Benutzername sowie das Passwort gemerkt, der zweite Faktor aber bei jeder Anmeldung erneut genutzt werden muss. == Löschen von Faktoren == * ** Ich habe in der eduMFA-App den Token gelöscht und möchte ihn nun auch im Accountportal löschen, das geht aber nicht. ** * Beim Löschen eines Faktors wird zur Verifizierung (wenn vorhanden) einer der eingerichteten Faktoren genutzt. Ist der Token auf dem Handy bereits gelöscht und nur eduMFA eingerichtet, wird dennoch nach diesem gefragt, da nicht geprüft werden kann, ob der Token auf Ihrem Gerät noch existiert oder nicht. * Um den Faktor im Accountportal dennoch löschen zu können, nutzen Sie bitte den Recovery-Token und folgen Sie der Anleitung unter der Überschrift “Zurücksetzen der Faktoren” ==Yubikeys== * ** Brauche ich einen Yubikey? Wo bekomme ich den her?** * Ein Yubikey ist nicht unbedingt notwendig um einen zweitern Faktor einzurichten und zu nutzen. Das eigene Arbeitsgerät (wenn kompatibel) oder ein Smartphone kann genauso gut genutzt werden. Wenn Sie dennoch einen Yubikey benötigen, weil keines der anderen Optionen möglich ist, kann die GWDG Yubikeys verkaufen. Die GWDG ist auch offizieller Reseller von Yubico. Für Angehörige der Universität Göttingen erfolgt die Beschaffung über die Fakultäten und es gelten besondere Regelungen. Sie finden die Informationen [[https://docs.gwdg.de/doku.php?id=de:services:general_services:customer_portal:security:two_factor_authentication:yubikey#beschaffung_fuer_angehoerige_der_universitaet_goettingen|hier]]. == FIDO2 / Passkeys == * ** Ich möchte einen Passkey einrichten, die Einrichtung bricht aber ab oder funktioniert nicht. ** * Bei der Verwendung von FIDO2/Passkeys Sicherheitsschlüsseln existieren noch Mängel in der Bedienung, die an der Inkompatibilität von den eingesetzten Geräten bzw. Browsern liegen können. Hier sind einige der bekannten Probleme aufgelistet: * Bei der Verwendung von Firefox kann es zu Problemen bei der Einrichtung eines FIDO2/Passkey Sicherheitsschlüssel kommen. Allerdings funktioniert die Nutzung nach der Einrichtung über einen anderen Browser anschließend dann auch über Firefox. * Bei der Verwendung von Apple-Geräten (sowohl bei macOS als auch iOS) muss der iCloud-Schlüsselbund aktiviert werden. Ohne diese Funktion ist FIDO2/Passkeys nicht zu verwenden oder kann zu Problemen führen. * ** Werden meine biometrischen Daten bei Nutzung von Passkeys zu Apple, Google oder Microsoft geschickt? ** *Windows Hello speichert keine biometrischen Daten (Fingerabdrücke, Gesichtsscans) als Bilder oder in der Cloud. Die biometrischen Daten werden lokal auf dem Gerät verarbeitet und gespeichert. Es wird nur eine mathematische Darstellung (Hash-Wert) erzeugt, die nicht wieder in ein Bild oder einen Abdruck zurückverwandelt werden kann. Nähere Informationen zu Windows Hello finden Sie hier: https://learn.microsoft.com/de-de/windows/security/identity-protection/hello-for-business/how-it-works * Das gleiche gilt für Apple: Apple legt großen Wert auf den Schutz der Privatsphäre seiner Nutzer. Biometrische Daten, die für Touch ID und Face ID verwendet werden, bleiben lokal auf dem Gerät (auf dem sogenannten Secure Enclave) und werden nicht an externe Server oder Dritte weitergegeben. Dies gewährleistet, dass sensible Informationen sicher und privat bleiben. Nähere Informationen finden Sie hier: https://www.apple.com/de/legal/privacy/data/de/face-id/ * **Werden Daten an Microsoft oder andere weitergegeben?** Nein. Windows Hello überträgt keine biometrischen Daten an Microsoft, Apple oder andere Anbieter. Die Daten verbleiben in einer geschützten Umgebung (Trusted Platform Module, TPM) des Geräts. * ** Mein Passkey funktioniert nicht auf allen meinen Geräten. ** * Bei bestimmten Systemen (zum Beispiel bei der Verwendung der Apple oder Google eigenen Passkeys-Funktionalität) werden die FIDO2/Passkeys-Tokens auf all Ihren Geräten synchronisiert, die mit Ihrem Apple bzw. Google Account verbunden ist. * Beispiel: Sie haben einen FIDO2/Passkey Token auf Ihrem MacBook erstellt. Somit synchronisiert sich dieser Token auch auf Ihr iPhone, zumindest sofern mit beiden Geräten der gleiche Account genutzt wird. Das heißt, dass auf beiden Geräten derselbe FIDO2/Passkey genutzt werden kann. Nutzen Sie nun aber zusätzlich einen Windows Laptop oder ein Smartphone eines anderen Herstellers, sind diese Geräte logischerweise nicht mit Ihrem Apple-Konto verbunden und somit muss für Ihr Windows Laptop ein eigener FIDO2/Passkey Sicherheitsschlüssel eingerichtet werden. * ** Bei der Einrichtung eines Yubikeys als Passkey treten Probleme auf. ** * Ein häufiges, besonders bei Nutzer*innen von Apple-Geräten (macOS oder iOS) verbreitetes, Problem bei der Einrichtung eines Yubikeys als FIDO2 Passkey ist, dass die erneute Bestätigung nach der Konfiguration fehlschlägt bzw. in einer Endlosschleife festhängt. {{ :de:services:general_services:customer_portal:security:yubikey_troubleshoot.png?direct&600 |}} * Das Problem liegt daran, dass das nötige Pop-Up Fenster nicht geöffnet werden kann. Prüfen Sie daher Ihre Browser Einstellungen oder lassen sie das Pop-Up Fenster Manuell zu. * Um das Pop-Up Fenster bei Safari manuell zu öffnen, gehen sie auf das Pop-Up Icon auf der rechten Seite der Adresszeile. {{ :de:services:general_services:customer_portal:security:faq2.png?direct&600 |}} * Bei iOS ist es nicht möglich Pop-Up Fenster Manuell zu öffnen. Stattdessen muss in den Systemeinstellungen unter "Apps" {{ :de:services:general_services:customer_portal:security:ios_popup1.png?direct&200 |}} * "Safari" gesucht werden. In den Safari Einstellungen, muss dann unter dem Reiter "Allgemein" der Slider bei "Pop-Ups blockieren" ausgeschaltet werden. {{ :de:services:general_services:customer_portal:security:ios_popup2.2.png?direct&200 |}} \\ {{ :de:services:general_services:customer_portal:security:ios_popup3.2.png?direct&200 |}} * Nach dem Zulassen des Pop-Up Fenster kann die Einrichtung abgeschlossen werden ==== Datenschutz ==== Für die Generierung des Codes ist neben dem per QR-Code auf das Mobiltelefon übertragenen Token ausschließlich die aktuelle Systemzeit des Telefons notwendig. Eine Datenverbindung zu einem externen Dienst ist nicht notwendig - die Generierung kann damit auch bei aktiviertem „Flugzeugmodus“ erfolgen. Die Übertragung des Nutzernamens in Verbindung mit der Domain „gwdg.de“ (im QR-Code enthalten) erfolgt ausschließlich zur Unterscheidung der verschiedenen Einträge in der App.