Multi-Faktor-Authentifizierung (MFA)

Multi-Faktor-Authentifizierung (MFA)
Sicherheit für Ihr Login
Häufig gestellte Fragen (Frequently Asked Questions, FAQ)
Was ist MFA?
MFA steht für Multi-Faktor-Authentifizierung.
Ausführlichere Informationen finden Sie unter:
Was ist die Keycloak Kontoverwaltung?
Was macht eine Authenticator-App? Was sind One-time Passwords?
Eine Authenticator-App erzeugt laufend Einmal-Passwörter mit zeitlich limitierter Gültigkeit, auch One-time Passwords (OTP), One-time Codes oder Time-based One-time Passwords (TOTP) genannt.
Diese Einmal-Passwörter können als zweiter Faktor beim Login verwendet werden.
Wenn so ein Einmal-Passwort in falsche Hände gerät, ist das kein Problem, da es ja nach kurzer Zeit die Gültigkeit verliert.
Nur die aktuell mit der Authenticator-App erzeugten Passwörter können zum Login verwendet werden.
Wie richte ich zusätzliche Faktoren ein?
Ich habe mein Smartphone nicht mehr, oder andere Probleme beim Login, wo finde ich Lösungen?
Auf der Seite MFA Troubleshooting finden Sie Lösungen für häufige Probleme:
Mir steht kein Smartphone zur Verfügung, wie gehe ich damit um?
Grundsätzlich stehen Ihnen folgende Möglichkeiten zur Verfügung, wenn Sie an einem neuen oder fremden PC in Applikationen mit SSO-Login, und damit auch in Keycloak, einloggen möchten:
- Authenticator App am Smartphone
- Wiederherstellungscodes (ausgedruckt auf Papier oder in einem Password-Safe)
- FIDO2-Key
Wenn Sie kein Smartphone zur Verfügung haben, stehen Ihnen also für die Anmeldung an einem neuen oder fremden PC noch die Möglichkeiten Wiederherstellungscodes und FIDO2-Key zur Verfügung.
Beachten Sie bitte, dass Sie, falls Sie in Keycloak keine Authenticator-App einrichten, unbedingt ein Security-Token einrichten müssen, also z.B. Windows Hello auf Ihrem PC oder eben einen FIDO2-Key.

MFA soll Zugang von Unbefugten erschweren. Kann ich mich dabei auch selbst aussperren?
Ja, MFA macht es Unbefugten deutlich schwerer. Dadurch müssen Sie selbst etwas mehr darauf achten, sich nicht selbst auszusperren.
Daher ist es eine gute Idee, bei der Einrichtung gleich in einem Zug alle für Sie in Frage kommenden MFA-Faktoren einzurichten, und nicht nur einen. Dann haben Sie schon sehr viel dafür getan, zu verhindern, dass Sie sich aussperren.
Weiters ist es eine gute Idee, so viele Faktoren wie möglich einzurichten.
Sie könnnen mehrere Ihrer PCs bzw. Notebooks als Security-Tokens einrichten, damit sinkt die Wahrscheinlichkeit, dass Sie sich aussperren, deutlich.
Sie können Authenticator Apps auch auf mehreren Smartphones unabhängig voneinander einrichten, also beispielsweise zur Sicherheit auch auf einem alten Handy.
Die Wiederherstellungscodes sind ebenfalls ausdrücklich für diese Fälle vorgesehen, daher müssen Wiederherstellungscodes auf jeden Fall zusätzlich zu Authenticator App (One-time Passwords) oder Security-Token eingerichtet werden.
Wie funktioniert das neue Single Sign-on (SSO)? Was bedeutet "Diesem Gerät vertrauen"?
Informationen finden Sie unter:
Was ist mit Services ohne SSO-Anmeldung (z.B. GroupWise, Filr, BOKUdrive, ... ) ?
Derzeit sind aus technischen Gründen noch nicht sämtliche Services in MFA eingebunden.
GroupWise, Filr, BOKUdrive und alle Applikationen, wo Sie derzeit noch keine SSO-Anmeldung bekommen, werden erst zu einem späteren Zeitpunkt eingebunden.
Kann ich eine bestimmte Frist versäumen?
Nein, Sie können keine Frist versäumen.
Sie können jederzeit MFA-Faktoren einrichten.
Es ist völlig egal, wann Sie damit beginnen. Wichtig ist nur, dass Sie die Anleitungen sorgfältig und vollständig durchlesen und MFA-Faktoren vollständig laut Anleitung einrichten.
Die absolute Minimalerfordernis ist:
- sowohl Wiederherstellungscodes,
- als auch 1 Authenticator App
ODER mind. 1 Security-Token ( = PC oder Notebook oder FIDO2-Key)
Je mehr Faktoren Sie einrichten, desto besser ist das natürlich.
Je mehr Faktoren Sie eingerichtet haben, desto weniger wahrscheinlich ist es, dass Sie sich aussperren.
Wo bekomme ich Hilfe?
Auf der Seite MFA Troubleshooting finden Sie Lösungen für häufige Probleme sowie Ansprechpersonen: