Multi-Faktor-Authentifizierung (MFA)

Sicherheit für Ihr Login

Wie am 1.12.2023 angekündigt benötigen Sie ab 4.März 2024 zum Einloggen in viele wichtige BOKU-IT Services, wie z.B.

  • BOKUonline, BOKUlearn
  • VPN
  • BOKUflow und andere Applikationen mit BOKU Single Sign-on (SSO) Login

neben Login-Name und Passwort noch einen zusätzlichen Faktor zum Login.

Folgen Sie bitte den Anleitungen zur Einrichtung von MFA-Faktoren, und beachten Sie bitte auch die FAQs am Ende jeder Seite.

Häufig gestellte Fragen (Frequently Asked Questions, FAQ)

Was ist MFA?

MFA steht für Multi-Faktor-Authentifizierung.

Ausführlichere Informationen finden Sie unter:

Was ist die Keycloak Kontoverwaltung?

In der Keycloak Kontoverwaltung können Sie zusätzliche Faktoren einrichten, die Sie zusätzlich zum Passwort beim Login benötigen werden.

Zur Keycloak Kontoverwaltung gelangen Sie mit:

Einen Link zur Keycloak Kontoverwaltung finden Sie auch auf Ihren BOKUonline-Visitenkarte.

Schritt-für-Schritt-Anleitungen zur Einrichtung dieser zusätzlichen Faktoren finden Sie unter:

Was macht eine Authenticator-App? Was sind One-time Passwords?

Eine Authenticator-App erzeugt laufend Einmal-Passwörter mit zeitlich limitierter Gültigkeit, auch One-time Passwords (OTP), One-time Codes oder Time-based One-time Passwords (TOTP) genannt. 

Diese Einmal-Passwörter können als zweiter Faktor beim Login verwendet werden.

Wenn so ein Einmal-Passwort in falsche Hände gerät, ist das kein Problem, da es ja nach kurzer Zeit die Gültigkeit verliert.

Nur die aktuell mit der Authenticator-App erzeugten Passwörter können zum Login verwendet werden.

Wie richte ich zusätzliche Faktoren ein?

Schritt-für-Schritt-Anleitungen zur Einrichtung dieser zusätzlichen Faktoren finden Sie unter:

Mir steht kein Smartphone zur Verfügung, wie gehe ich damit um?

Grundsätzlich stehen Ihnen folgende Möglichkeiten zur Verfügung, wenn Sie an einem neuen oder fremden PC in Applikationen mit SSO-Login, und damit auch in Keycloak, einloggen möchten:

  • Authenticator App am Smartphone
  • Wiederherstellungscodes (ausgedruckt auf Papier oder in einem Password-Safe)
  • FIDO2-Key

Wenn Sie kein Smartphone zur Verfügung haben, stehen Ihnen also für die Anmeldung an einem neuen oder fremden PC noch die Möglichkeiten Wiederherstellungscodes und FIDO2-Key zur Verfügung.

Beachten Sie bitte, dass Sie, falls Sie in Keycloak keine Authenticator-App einrichten, unbedingt ein Security-Token einrichten müssen, also z.B. Windows Hello auf Ihrem PC oder eben einen FIDO2-Key.

MFA soll Zugang von Unbefugten erschweren. Kann ich mich dabei auch selbst aussperren?

Ja, MFA macht es Unbefugten deutlich schwerer. Dadurch müssen Sie selbst etwas mehr darauf achten, sich nicht selbst auszusperren.

Daher ist es eine gute Idee, bei der Einrichtung gleich in einem Zug alle für Sie in Frage kommenden MFA-Faktoren einzurichten, und nicht nur einen. Dann haben Sie schon sehr viel dafür getan, zu verhindern, dass Sie sich aussperren.

Natürlich können Sie mehrere Ihrer PCs bzw. Notebooks als Security-Tokens einrichten, damit sinkt die Wahrscheinlichkeit, dass Sie sich aussperren, deutlich.
Sie können Authenticator Apps übrigens auch auf mehreren Smartphones unabhängig voneinander einrichten, also beispielsweise zur Sicherheit auch auf einem alten Handy.

Die Wiederherstellungscodes sind ebenfalls ausdrücklich für diese Fälle vorgesehen, daher müssen Wiederherstellungscodes auf jeden Fall zusätzlich zu Authenticator App (One-time Passwords) oder Security-Token eingerichtet werden.

Wie funktioniert das neue Single Sign-on (SSO)? Was bedeutet "Diesem Gerät vertrauen"?

Informationen finden Sie unter:

Warum erfahre ich erst jetzt von dieser Umstellung?

Am 16.11.2023 gab es eine Aussendung an die Liste [BOKU-ITinfo] / boku-it.info@list.boku.ac.at, über die alle EDV-Verantwortlichen sowie interessierte Personen informiert wurden, mit der Empfehlung, Windows Hello als vorbereitenden Schritt jetzt schon einzurichten, und mit der Bitte, die Einführung der Multifaktor-Authentifizierung im Verantwortungsbereich proaktiv zu unterstützen.

Am 1.12.2023 gab es eine Aussendung an die Listen [mitarbeiter] / mitarbeiter@list.boku.ac.at sowie [students]  / students@list.boku.ac.at, über die alle Mitarbeiter*innen sowie alle Studierenden der BOKU über die geplanten Umstellungen informiert wurden.

Was ist mit Services ohne SSO-Anmeldung (z.B. GroupWise, Filr, BOKUdrive, ... ) ?

Derzeit sind aus technischen Gründen noch nicht sämtliche Services in MFA eingebunden.
GroupWise, Filr, BOKUdrive und alle Applikationen, wo Sie derzeit noch keine SSO-Anmeldung bekommen, werden erst zu einem späteren Zeitpunkt eingebunden.

Was genau erwartet mich Anfang März 2024?

Wenn Sie jetzt schon MFA vollständig eingerichtet haben ( = Wiederherstellungscodes plus Authenticator App oder mind. 1 Security-Token), haben Sie alles Notwendige getan, und Sie werden im März keinerlei Änderungen bemerken.

Wenn Sie MFA noch nicht (vollständig) eingerichtet haben, werden Sie bei jedem SSO-Login aufgefordert, MFA-Faktoren einzurichten.
Nach einer zweiwöchigen Übergangsfrist ist dann kein SSO-Login mehr möglich, wenn Sie dann immer noch keine zusätzlichen MFA-Faktoren eingerichtetet haben.

Bei GroupWise, Filr, BOKUdrive und alle Applikationen, wo Sie derzeit keine SSO-Anmeldung bekommen, werden Sie im März ebenfalls keine Änderungen bemerken, da diese Services erst zu einem späteren Zeitpunkt eingebunden werden.

Wo bekomme ich Hilfe?

Auf der Seite MFA Troubleshooting finden Sie Lösungen für häufige Probleme, Ansprechpersonen und Präsenztermine: