Das Thema MFA ist zugegebenermaßen anfangs sehr abstrakt, da einige zunächst unbekannte Begriffe ins Spiel kommen. Damit Sie sich etwas anschaulicher vorstellen können, wie sich MFA auf Ihren BOKU-Alltag auswirken wird, finden Sie hier einige Beispiel­geschichten zusammen­gestellt:

Nehmen Sie sich eine ungestörte (!) halbe Stunde und richten Sie in einem Durchgang alle Ihnen zur Verfügung stehenden zusätzlichen Faktoren ein.

Minimalerfordernis:

  • sowohl Wiederherstellungscodes,
  • als auch 1 Authenticator App 
    ODER  mind. 1 Security-Token ( = PC oder Notebook oder FIDO2-Key)

Dieses Video dauert 2 Minuten 48 Sekunden und zeigt den prinzipiellen Ablauf für das Einrichten von drei MFA-Faktoren.

Pro Tipp: Um Zeit und Ärger zu sparen lesen Sie die Anleitungen sorgfältig, lesen Sie sie vollständig inklusive FAQs, folgen Sie Schritt für Schritt den schriftlichen Anleitungen und überspringen Sie keine Teile ;-).

Falls Ihnen ein Smartphone zur Verfügung steht, installieren Sie eine Authenticator-App auf Ihrem Smartphone und richten Sie den Zugang ein:

Erstellen Sie auf jeden Fall Wiederherstellungscodes und bewahren Sie diese an einem sicheren Ort auf. Entweder ausgedruckt und versperrt, oder elektronisch in einem Passwort-Manager.

Richten Sie Ihren eigenen PC bzw. Ihr eigenes Notebook als Security-Token ein.

Falls Sie Windows verwenden, folgen Sie bitte dieser Anleitung:

Falls Sie macOS verwenden, folgen Sie bitte dieser Anleitung:

Falls Sie einen FIDO2-Key (physischen Sicherheits­schlüssel) verwenden möchten, folgen Sie bitte folgender Anleitung:

Beim nächsten Login auf Ihren persönlichen Arbeitsgeräten (und nur auf solchen!) können Sie beim Single Sign-on die Checkbox:
'Diesem Gerät vertrauen'
anwählen, dann werden auf diesem Gerät für 90 Tage keine weiteren Faktoren verlangt ("Trusted Device").
Nähere Info dazu finden Sie unter: 


Sie haben MFA fertig eingerichtet!
Sehr schön :-)

Häufig gestellte Fragen (Frequently Asked Questions, FAQ)

Warum brauche ich MFA-Faktoren, die ich mitnehmen, transportieren kann?

An jedem neuen oder fremden PC, an dem Sie sich mit BOKU-SSO-Login anmelden möchten, brauchen Sie grundsätzlich einen zusätzlichen Faktor. Das ist ja auch der Sinn der Multi-Faktor-Authentifizierung, dafür wird diese ja eingeführt.
Im ersten Schritt betrifft das natürlich auch alle Ihre Arbeitsgeräte, sobald Sie den ersten MFA-Faktor eingerichtet haben.

Grundsätzlich stehen Ihnen folgende Möglichkeiten zur Verfügung, wenn Sie an einem neuen oder fremden PC in Applikationen mit SSO-Login, und damit auch in Keycloak, einloggen möchten:

  • Authenticator App am Smartphone
  • Wiederherstellungscodes (ausgedruckt auf Papier oder in einem Password-Safe)
  • FIDO2-Key
MFA soll Zugang von Unbefugten erschweren. Kann ich mich dabei auch selbst aussperren?

Ja, MFA macht es Unbefugten deutlich schwerer. Dadurch müssen Sie selbst etwas mehr darauf achten, sich nicht selbst auszusperren.

Daher ist es eine gute Idee, bei der Einrichtung gleich in einem Zug alle für Sie in Frage kommenden MFA-Faktoren einzurichten, und nicht nur einen. Dann haben Sie schon sehr viel dafür getan, zu verhindern, dass Sie sich aussperren.

Weiters ist es eine gute Idee, so viele Faktoren wie möglich einzurichten.

Sie könnnen mehrere Ihrer PCs bzw. Notebooks als Security-Tokens einrichten, damit sinkt die Wahrscheinlichkeit, dass Sie sich aussperren, deutlich.
Sie können Authenticator Apps auch auf mehreren Smartphones unabhängig voneinander einrichten, also beispielsweise zur Sicherheit auch auf einem alten Handy.

Die Wiederherstellungscodes sind ebenfalls ausdrücklich für diese Fälle vorgesehen, daher müssen Wiederherstellungscodes auf jeden Fall zusätzlich zu Authenticator App (One-time Passwords) oder Security-Token eingerichtet werden.

Mir steht kein Smartphone zur Verfügung, wie gehe ich damit um?

Grundsätzlich stehen Ihnen folgende Möglichkeiten zur Verfügung, wenn Sie an einem neuen oder fremden PC in Applikationen mit SSO-Login, und damit auch in Keycloak, einloggen möchten:

  • Authenticator App am Smartphone
  • Wiederherstellungscodes (ausgedruckt auf Papier oder in einem Password-Safe)
  • FIDO2-Key

Wenn Sie kein Smartphone zur Verfügung haben, stehen Ihnen also für die Anmeldung an einem neuen oder fremden PC noch die Möglichkeiten Wiederherstellungscodes und FIDO2-Key zur Verfügung.

Beachten Sie bitte, dass Sie, falls Sie in Keycloak keine Authenticator-App einrichten, unbedingt ein Security-Token einrichten müssen, also z.B. Windows Hello auf Ihrem PC oder eben einen FIDO2-Key.

Wie funktioniert das neue Single Sign-on (SSO)? Was bedeutet "Diesem Gerät vertrauen"?

Informationen finden Sie unter:

Warum wird Multi-Faktor-Authentifizierung eingeführt?

MFA schützt BOKU-Accounts.
Es geht dabei nicht nur um den Schutz Ihres Accounts, sondern um den Schutz der Daten aller BOKU-Angehörigen.

Wo bekomme ich Hilfe?

Auf der Seite MFA Troubleshooting finden Sie Lösungen für häufige Probleme, Ansprechpersonen und Präsenztermine: