Multi-Faktor-Authentifizierung (MFA)
Multi-Faktor-Authentifizierung (MFA)
Sicherheit für Ihr Login
Häufig gestellte Fragen (Frequently Asked Questions, FAQ)
Was ist MFA?
MFA steht für Multi-Faktor-Authentifizierung.
Ausführlichere Informationen finden Sie unter:
Was ist die Keycloak Kontoverwaltung?
Was macht eine Authenticator-App? Was sind One-time Passwords?
Eine Authenticator-App erzeugt laufend Einmal-Passwörter mit zeitlich limitierter Gültigkeit, auch One-time Passwords (OTP), One-time Codes oder Time-based One-time Passwords (TOTP) genannt.
Diese Einmal-Passwörter können als zweiter Faktor beim Login verwendet werden.
Wenn so ein Einmal-Passwort in falsche Hände gerät, ist das kein Problem, da es ja nach kurzer Zeit die Gültigkeit verliert.
Nur die aktuell mit der Authenticator-App erzeugten Passwörter können zum Login verwendet werden.
Wie richte ich zusätzliche Faktoren ein?
Mir steht kein Smartphone zur Verfügung, wie gehe ich damit um?
Grundsätzlich stehen Ihnen folgende Möglichkeiten zur Verfügung, wenn Sie an einem neuen oder fremden PC in Applikationen mit SSO-Login, und damit auch in Keycloak, einloggen möchten:
- Authenticator App am Smartphone
- Wiederherstellungscodes (ausgedruckt auf Papier oder in einem Password-Safe)
- FIDO2-Key
Wenn Sie kein Smartphone zur Verfügung haben, stehen Ihnen also für die Anmeldung an einem neuen oder fremden PC noch die Möglichkeiten Wiederherstellungscodes und FIDO2-Key zur Verfügung.
Beachten Sie bitte, dass Sie, falls Sie in Keycloak keine Authenticator-App einrichten, unbedingt ein Security-Token einrichten müssen, also z.B. Windows Hello auf Ihrem PC oder eben einen FIDO2-Key.
MFA soll Zugang von Unbefugten erschweren. Kann ich mich dabei auch selbst aussperren?
Ja, MFA macht es Unbefugten deutlich schwerer. Dadurch müssen Sie selbst etwas mehr darauf achten, sich nicht selbst auszusperren.
Daher ist es eine gute Idee, bei der Einrichtung gleich in einem Zug alle für Sie in Frage kommenden MFA-Faktoren einzurichten, und nicht nur einen. Dann haben Sie schon sehr viel dafür getan, zu verhindern, dass Sie sich aussperren.
Weiters ist es eine gute Idee, so viele Faktoren wie möglich einzurichten.
Sie könnnen mehrere Ihrer PCs bzw. Notebooks als Security-Tokens einrichten, damit sinkt die Wahrscheinlichkeit, dass Sie sich aussperren, deutlich.
Sie können Authenticator Apps auch auf mehreren Smartphones unabhängig voneinander einrichten, also beispielsweise zur Sicherheit auch auf einem alten Handy.
Die Wiederherstellungscodes sind ebenfalls ausdrücklich für diese Fälle vorgesehen, daher müssen Wiederherstellungscodes auf jeden Fall zusätzlich zu Authenticator App (One-time Passwords) oder Security-Token eingerichtet werden.
Wie funktioniert das neue Single Sign-on (SSO)? Was bedeutet "Diesem Gerät vertrauen"?
Informationen finden Sie unter:
Warum erfahre ich erst jetzt von dieser Umstellung?
Am 16.11.2023 gab es eine Aussendung an die Liste [BOKU-ITinfo] / boku-it.info@list.boku.ac.at, über die alle EDV-Verantwortlichen sowie interessierte Personen informiert wurden, mit der Empfehlung, Windows Hello als vorbereitenden Schritt jetzt schon einzurichten, und mit der Bitte, die Einführung der Multifaktor-Authentifizierung im Verantwortungsbereich proaktiv zu unterstützen.
Am 1.12.2023 gab es eine Aussendung an die Listen [mitarbeiter] / mitarbeiter@list.boku.ac.at sowie [students] / students@list.boku.ac.at, über die alle Mitarbeiter*innen sowie alle Studierenden der BOKU über die geplanten Umstellungen informiert wurden.
Was ist mit Services ohne SSO-Anmeldung (z.B. GroupWise, Filr, BOKUdrive, ... ) ?
Derzeit sind aus technischen Gründen noch nicht sämtliche Services in MFA eingebunden.
GroupWise, Filr, BOKUdrive und alle Applikationen, wo Sie derzeit noch keine SSO-Anmeldung bekommen, werden erst zu einem späteren Zeitpunkt eingebunden.
Was genau erwartet mich Anfang März 2024?
Wenn Sie jetzt schon MFA vollständig eingerichtet haben ( = Wiederherstellungscodes plus Authenticator App oder mind. 1 Security-Token), haben Sie alles Notwendige getan, und Sie werden im März keinerlei Änderungen bemerken.
Wenn Sie MFA noch nicht (vollständig) eingerichtet haben, werden Sie bei jedem SSO-Login aufgefordert, MFA-Faktoren einzurichten.
Mit dem ersten SSO-Login beginnt eine zweiwöchigen Übergangsfrist. Wenn Sie nach dem Ablauf dieser Übergangsfrist immer noch keine zusätzlichen MFA-Faktoren eingerichtetet haben, ist kein SSO-Login mehr möglich.
Bei GroupWise, Filr, BOKUdrive und alle Applikationen, wo Sie derzeit keine SSO-Anmeldung bekommen, werden Sie im März ebenfalls keine Änderungen bemerken, da diese Services erst zu einem späteren Zeitpunkt eingebunden werden.
Kann ich eine bestimmte Frist versäumen?
Nein, Sie können keine Frist versäumen.
Sie können jederzeit MFA-Faktoren einrichten.
Es ist völlig egal, wann Sie damit beginnen. Wichtig ist nur, dass Sie die Anleitungen sorgfältig und vollständig durchlesen und MFA-Faktoren vollständig laut Anleitung einrichten.
Die absolute Minimalerfordernis ist:
- sowohl Wiederherstellungscodes,
- als auch 1 Authenticator App
ODER mind. 1 Security-Token ( = PC oder Notebook oder FIDO2-Key)
Je mehr Faktoren Sie einrichten, desto besser ist das natürlich.
Je mehr Faktoren Sie eingerichtet haben, desto weniger wahrscheinlich ist es, dass Sie sich aussperren.
Wo bekomme ich Hilfe?
Auf der Seite MFA Troubleshooting finden Sie Lösungen für häufige Probleme, Ansprechpersonen und Präsenztermine:
