Inhaltsverzeichnis
Mehrfaktor-Authentifizierung
Das Kundenportal der Academiccloud bietet die Möglichkeit, eine Mehrfaktor-Authentifizierung zu aktivieren. Dies ist künftig nötig um sich an den Diensten der GWDG anmelden zu können.
Was ist das?
Als Nachweis der Identität eines Nutzers dient im Allgemeinen die Kombination aus Benutzernamen oder E-Mail Adresse und individuellem Passwort. Die Mehrfaktor-Authentifizierung (MFA) bietet eine zusätzliche Sicherheitsebene jenseits traditioneller Passwörter.
Mehrfaktorauthentifizierung im Kundenportal verwalten
Im Kundenportal der Academiccloud können verschiedene Faktoren eingerichtet und verwaltet werden. Folgende Möglichkeiten stehen zur Verfügung:
- Sicherheitsschlüssel (FIDO2/Passkeys)
- eduMFA Authenticator App
- TOTP-Authenticator App
Die GWDG empfiehlt die Nutzung eines FIDO2/Passkeys oder der eduMFA-App.
Wichtig:
Nach der Einrichtung des neuen Faktors, wird ein Recovery-Token für Sie erstellt.
Dieser muss unbedingt an einem sicheren Ort abgespeichert werden, da mithilfe dieses Recovery-Tokens alle eingerichteten zweiten Faktoren gelöscht werden können. Die bewusste und sichere Speicherung dieses Codes ist daher besonders relevant, da:
- Sollten Sie den Zugang zu ihren zweiten Faktoren verlieren nur mit diesem der Zugang zurückgesetzt werden kann.
- Sollte der Code unberechtigten Dritten in die Hände gelangen, diese mithilfe des Codes die zusätzliche Sicherheitsebene zweiten Faktors überwinden können.
Sie haben Probleme mit dem zweiten Faktor? Vielleicht finden Sie Ihre Frage beantwortet unter unserem Kapitel: Troubleshoot/FAQ
Sollten Ihre Fragen nicht beantwortet sein, wenden Sie bitte mit Ihrer Fragestellung an: sso-support@gwdg.de
Anleitungen:
- Einrichtung der einzelnen Faktoren:
Wie richte ich einen zusätzlichen Faktor ein?
Die verschiedenen Faktoren werden nach der Anmeldung in dem Kundenportal der Academiccloud und dem Wechsel in den Reiter “Sicherheit”, auf der linken Seite des Fensters, angezeigt und können per Klick auf “Mein Konto absichern” eingerichtet werden.
Anmeldung mit Bestätigung in zwei Schritten
Nach der erfolgreichen Einrichtung eines zusätzlichen Faktors wird nun bei der Anmeldung von Single-Sign-On Diensten ein zweiter Faktor benötigt. Die Anmeldung erfolgt danach in diesen Schritten:
1. Zuerst müssen wie gewohnt, die E-Mail Adresse bzw. der Benutzername sowie das Passwort eingegeben werden. Falls Sie dies wünschen, kann vor dem Bestätigen des Benutzernamens ein Harken bei “ANGEMELDET BLEIBEN” gesetzt werden, um den Prozess bei der nächsten Nutzung des Dienst zu verkürzen.
2. Nun muss einer der eingerichteten Faktoren ausgewählt werden.
3. Anschließend beginnt die je nach ausgewähltem Faktor unterschiedliche Authentifizierung.
4. Nach erfolgreicher Authentifizierung werden Sie automatisch eingeloggt.
Zurücksetzen der Faktoren
Sollten andere Authetifizierungsdienste (TOTP, FIDO2/Passkeys, eduMFA) zur Wiederherstellung des Kontos nicht (mehr) verfügbar sein, z.B. wenn das Smartphone kaputt gegangen ist, muss der bei erster Einrichtung eines zweiten Faktors generierte Recovery Code genutzt werden um die Mehrfach-Authentifizierung zurückzusetzen.
Nach einmaliger Verwendung muss ein neues Token ausgestellt werden.
- Gehen Sie auf: id.academiccloud.de/mfareset
- Setzen Sie mittels des Recovery Code ihre Faktoren zurück.
- Richten Sie einen neuen zweiten Faktor ein.
Troubleshoot/FAQ
Anmeldung nach der Einrichtung eines MFA’s
- Obwohl ich “ANGEMELDET BLEIBEN” aktiviert habe, muss ich meine Benutzerdaten oder meinen MFA erneut angeben.
- Dienste der GWDG unterliegen verschiedenen Sicherheitsebenen. Diese unterschiedlichen Sicherheitsebenen wirken sich auch auf die Häufigkeit der Abfrage der Anmeldedaten aus. Dies führt dazu, dass bei manchen Diensten alle Anmeldedaten gemerkt werden, während bei anderen Diensten nur der Benutzername sowie das Passwort gemerkt, der zweite Faktor aber bei jeder Anmeldung erneut genutzt werden muss.
Löschen von Faktoren
- Ich habe in der eduMFA-App den Token gelöscht und möchte ihn nun auch im Accountportal löschen, das geht aber nicht.
- Beim Löschen eines Faktors wird zur Verifizierung (wenn vorhanden) einer der eingerichteten Faktoren genutzt. Ist der Token auf dem Handy bereits gelöscht und nur eduMFA eingerichtet, wird dennoch nach diesem gefragt, da nicht geprüft werden kann, ob der Token auf Ihrem Gerät noch existiert oder nicht.
- Um den Faktor im Accountportal dennoch löschen zu können, nutzen Sie bitte den Recovery-Token und folgen Sie der Anleitung unter der Überschrift “Zurücksetzen der Faktoren”
FIDO2 / Passkeys
- Ich möchte einen Passkey einrichten, die Einrichtung bricht aber ab oder funktioniert nicht.
- Bei der Verwendung von FIDO2/Passkeys Sicherheitsschlüsseln existieren noch Mängel in der Bedienung, die an der Inkompatibilität von den eingesetzten Geräten bzw. Browsern liegen können. Hier sind einige der bekannten Probleme aufgelistet:
- Bei der Verwendung von Firefox kann es zu Problemen bei der Einrichtung eines FIDO2/Passkey Sicherheitsschlüssel kommen. Allerdings funktioniert die Nutzung nach der Einrichtung über einen anderen Browser anschließend dann auch über Firefox.
- Bei der Verwendung von Apple-Geräten (sowohl bei macOS als auch iOS) muss der iCloud-Schlüsselbund aktiviert werden. Ohne diese Funktion ist FIDO2/Passkeys nicht zu verwenden oder kann zu Problemen führen.
- Mein Passkey funktioniert nicht auf allen meinen Geräten.
- Bei bestimmten Systemen (zum Beispiel bei der Verwendung der Apple oder Google eigenen Passkeys-Funktionalität) werden die FIDO2/Passkeys-Tokens auf all Ihren Geräten synchronisiert, die mit Ihrem Apple bzw. Google Account verbunden ist.
- Beispiel: Sie haben einen FIDO2/Passkey Token auf Ihrem MacBook erstellt. Somit synchronisiert sich dieser Token auch auf Ihr iPhone, zumindest sofern mit beiden Geräten der gleiche Account genutzt wird. Das heißt, dass auf beiden Geräten derselbe FIDO2/Passkey genutzt werden kann. Nutzen Sie nun aber zusätzlich einen Windows Laptop oder ein Smartphone eines anderen Herstellers, sind diese Geräte logischerweise nicht mit Ihrem Apple-Konto verbunden und somit muss für Ihr Windows Laptop ein eigener FIDO2/Passkey Sicherheitsschlüssel eingerichtet werden.
- Bei der Einrichtung eines Yubikeys als Passkey treten Probleme auf.
- Ein häufiges, besonders bei Nutzer*innen von Apple-Geräten (macOS oder iOS) verbreitetes, Problem bei der Einrichtung eines Yubikeys als FIDO2 Passkey ist, dass die erneute Bestätigung nach der Konfiguration fehlschlägt bzw. in einer Endlosschleife festhängt.
- Das Problem liegt daran, dass das nötige Pop-Up Fenster nicht geöffnet werden kann. Prüfen Sie daher Ihre Browser Einstellungen oder lassen sie das Pop-Up Fenster Manuell zu.
- Um das Pop-Up Fenster bei Safari manuell zu öffnen, gehen sie auf das Pop-Up Icon auf der rechten Seite der Adresszeile.
- Bei iOS ist es nicht möglich Pop-Up Fenster Manuell zu öffnen. Stattdessen muss in den Systemeinstellungen unter „Apps“
- „Safari“ gesucht werden. In den Safari Einstellungen, muss dann unter dem Reiter „Allgemein“ der Slider bei „Pop-Ups blockieren“ ausgeschaltet werden.
- Nach dem Zulassen des Pop-Up Fenster kann die Einrichtung abgeschlossen werden
Datenschutz
Für die Generierung des Codes ist neben dem per QR-Code auf das Mobiltelefon übertragenen Token ausschließlich die aktuelle Systemzeit des Telefons notwendig. Eine Datenverbindung zu einem externen Dienst ist nicht notwendig - die Generierung kann damit auch bei aktiviertem „Flugzeugmodus“ erfolgen.
Die Übertragung des Nutzernamens in Verbindung mit der Domain „gwdg.de“ (im QR-Code enthalten) erfolgt ausschließlich zur Unterscheidung der verschiedenen Einträge in der App.