Authenticator-Apps ...
... erzeugen alle dreißig Sekunden ein neues One-time Password
... benötigen kein Internet und keine sonstige Netzwerkverbindungen
... benötigen keinen Google-Account
... benötigen keine biometrische Authentifizierung
... funktionieren hervorragend auch auf älteren Smartphones.
Lediglich eine exakte Uhrzeit ist erforderlich, denn die One-time Passwords werden mittels TOTP-Verfahren aus der Uhrzeit berechnet.

Damit bieten Authenticator-Apps einen robusten, einfachen, betriebssystem­unabhängigen, netzwerk­unabhängigen Weg, wenn Sie bei einer SSO-Anmeldung einen zusätzlichen Faktor benötigen, sei es im Homeoffice, im Hörsaal, im PC-Raum, auf Dienstreise, ... .

Schritt 1.) Exakte Uhrzeit am Smartphone sicherstellen

Sorgen Sie vor der Einrichtung dafür, dass auf Ihrem Smartphone die Uhrzeit absolut exakt ist, indem Sie einstellen, dass die Uhrzeit automatisch bezogen wird.

Schritt 2.) Authenticator-App installieren

Es gibt zahlreiche Authenticator-Apps für Smartphones, die diese Einmal-Passwörter erzeugen können, darunter jedoch auch kostenpflichtige und unseriöse. Falls Sie unsicher sind, achten Sie unbedingt darauf, dass Sie den Google Authenticator wählen.

Die Google Authenticator App ist sehr einfach einzurichten. Sie können die App auch ohne Google-Konto verwenden. Durch Scannen des QR-Codes gelangen Sie direkt zu Google Play bzw. Apple App Store:

Alternative Authenticator-Apps

Falls Sie bereits eine Authenticator-App verwenden, können Sie diese natürlich weiter nutzen und Ihre BOKU-Accounts dazunehmen.

Weitere Infos zu Open Source Authenticator-Apps​​​​​​​

Schritt 3.) Einloggen in der Keycloak Kontoverwaltung

Die Keycloak Kontoverwaltung ermöglicht Ihnen, zusatzliche MFA-Faktoren einzurichten und Ihre MFA-Anmeldemöglichkeiten zu verwalten.

Wichtig: Sobald Sie einen einzigen MFA-Faktor eingerichtet haben, benötigen Sie ab jetzt immer einen zusätzlichen Faktor beim SSO-Login, und damit auch in Keycloak.

Loggen Sie mit Ihren gewohnten BOKU-Zugangsdaten ein:

Klicken Sie auf 'Anmeldemöglichkeiten':

Schritt 4.) Authenticator-Anwendung einrichten

Klicken Sie auf 'Authenticator-Anwendung einrichten':

Öffnen Sie z.B. den Google Authenticator am Smartphone: 'Jetzt starten / Get started' → 'Authenticator ohne Konto nutzen' – es ist NICHT erforderlich ein Google-Konto einzurichten! → 'Code hinzufügen / Add a code' (buntes Plus) → 'QR-Code scannen / Scan a QR code'

Scannen Sie mit der Authenticator-App den angezeigten QR-Code:

Geben Sie den von der Authenticator-App erzeugten sechstelligen Code in das Feld 'One-time Password' ein.

Geben Sie in das Feld 'Gerätename' eine Bezeichnung ein, anhand derer Sie auch noch in einem Jahr eindeutig indentifizieren können, um welches Smartphone genau es sich handelt.
Aussagekräftige Bezeichnungen werden sich als überaus hilfreich erweisen, wenn Sie einmal ein neues Smartphone zusätzlich einrichten.

Fertig! Sehr schön :-)

Damit können Sie One-time Passwords aus der Authenticator App als zusätzlichen Faktor beim Einloggen verwenden.

Beachten Sie bitte noch die folgenden Informationen auf dieser Seite, und richten Sie dann weitere MFA-Faktoren ein.

Einloggen mit Hilfe von One-time Passwords

Falls Sie auf einem Gerät einloggen möchten, das Sie NICHT als Security-Token eingerichtet haben, klicken Sie bitte auf 'Einen anderen Weg versuchen', dann 'Authenticator-App':

Wenn Sie bei einem Login nach einen sechsstelligen One-time Password gefragt werden, geben Sie den aktuellen Code aus der Authenticator-App ein:

Häufig gestellte Fragen (Frequently Asked Questions, FAQ)

Was macht eine Authenticator-App? Was sind One-time Passwords?

Eine Authenticator-App erzeugt laufend Einmal-Passwörter mit zeitlich limitierter Gültigkeit, auch One-time Passwords (OTP), One-time Codes oder Time-based One-time Passwords (TOTP) genannt. 

Diese Einmal-Passwörter können als zweiter Faktor beim Login verwendet werden.

Wenn so ein Einmal-Passwort in falsche Hände gerät, ist das kein Problem, da es ja nach kurzer Zeit die Gültigkeit verliert.

Nur die aktuell mit der Authenticator-App erzeugten Passwörter können zum Login verwendet werden.

Bekomme ich SMSe, Codes, PINs an mein Mobiltelefon geschickt?

Nein, Sie bekommen NIEMALS SMSe, PINs oder sonstige Codes in Zusammmenhang mit MFA an ihr Mobiltelefon geschickt.

One-time Passwords werden von der Authenticator App selbst erzeugt, es ist KEINE wie immer geartete Netzwerkverbindung dafür erforderlich.

(Sollten Sie tatsächlich Nachrichten in Zusammenhang mit MFA an Ihr Mobiltelefon erhalten gehen Sie bitte von einem Betrugsversuch aus und kontaktieren Sie bitte die BOKU-IT: boku-it(at)boku.ac.at)

Ich bin Studierende*r. In welchen Situationen werde ich eine Authenticator-App benutzen?

Wann immer Sie sich an einem PC, der nicht ihr eigener ist, in BOKUonline anmelden möchten, werden Sie im Normalfall die Authenticator-App als zweiten Faktor zum Login verwenden. 
Also etwa in den PC-Räumen der BOKU-IT oder an den Info-Terminals.

Weitere Möglichkeiten in diesem Fall wären auch Wiederherstellungscodes oder ein FIDO2-Key.

An Ihrem eigenen PC werden Sie in der Regel Windows Hello PIN, Fingerabruck oder Gesichtserkennung als zweiten Faktor nutzen und Ihr persönliches Gerät als Security Token einrichten.

Ich bin Mitarbeiter*in. In welchen Situationen werde ich eine Authenticator-App benutzen?
  • Wann immer Sie sich an einem PC anmelden möchten, der nicht Ihr übliches Arbeitsgerät ist, können Sie One-time Passwords aus einer Authenticator-App als zweiten Faktor zum Login benutzen.
    Also etwas an Vortragenden-PCs in den Hörsälen.
     
  • An Ihrem Arbeitsplatz-PC oder an Ihrem Homeoffice-PC können Sie One-time Passwords aus einer Authenticator-App als zweiten Faktor zum Login benützen.
    In der Regel werden Sie jedoch bequemere Methoden wie zum Beispiel Windows Hello PIN, Fingerabdruck oder Gesichtserkennung nutzen und Ihr persönliches Arbeitsgerät als Security Token einrichten.
Ist es wahr, dass ein Authenticator-App kein Internet und keine sonstigen Netzwerkverbindungen benötig?

Nein, eine Authenticator-App an sich benötigt kein Internet und keinerlei sonstige Netzwerkverbindungen, auch kein Bluetooth.

One-time Passwords können auch im Flugmodus erzeugt werden.

Die One-time Passwords (genauer Time-based One-time Passwords, TOTP) werden tatsächlich von der Authenticator-App lokal am Gerät erzeugt. Es wird weder Verbindung zu BOKU-Servern noch Verbindung zu Google-Servern hergestellt.
Lediglich die exakte Uhrzeit ist erforderlich.
Detaillierte Informationen zu TOTP finden Sie unter: https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus 

Über Authenticator-Apps erzeugte One-time Passwords sind daher sehr robuste, zuverlässige Faktoren für das Login, die betriebssystemübergreifend funktionieren.

Benötige ich für die Authenticator-App einen Google-Account?

Nein, Sie können die Google Authenticator-App auch ohne Google-Account betreiben.

Die One-time Passwords werden rein lokal am Gerät erzeugt, es ist dazu keine Netzwerkverbindung erforderlich, daher auch kein Google-Konto.

Ich nutze eine Authenticator-App bereits für meinen Zugang zu anderen Services. Kann ich dieselbe App auch für die BOKU nutzen?

Ja, selbstverständlich können Sie eine Authenticator-App für mehrere Services nutzen.
Fügen Sie einfach das BOKU-Konto zusätzlich hinzu.

Kann ich auf mehreren Handys Authenticator-Apps einrichten?

Ja, Sie können Authenticator-Apps unabhängig voneinander auf mehreren Handys einrichten.

Beispielsweise können Sie ein ausrangiertes Handy als Backup einrichten. 
Die Authenticator-App an sich benötigt keine Netzwerkverbindung.

Benötigt die Authenticator-App exakte Uhrzeit am Smartphone?

Ja, es ist unbedingt erforderlich, dass am Smartphone die Uhrzeit exakt eingestellt ist,
sonst können keine korrekten One-time Passwords erzeugt werden, da diese zeitbasiert sind.

Sorgen Sie vor der Einrichtung dafür, dass auf Ihrem Smartphone die Uhrzeit absolut exakt ist, indem Sie einstellen, dass die Uhrzeit automatisch bezogen wird.

Detaillierte Informationen zu TOTP finden Sie unter: 
https://de.wikipedia.org/wiki/Time-based_One-time_Password_Algorithmus 

Wie lösche ich ein Konto aus der Authenticator App?

Vorsicht: Vergewissern Sie sich, dass Ihnen gesichert andere Faktoren zum Login zur Verfügung stehen, bevor Sie ein Konto aus der Authenticator App löschen!

Zum Löschen halten Sie den Eintrag gedrückt, bis ein Papierkorb-Symbol erscheint. Tippen Sie dann auf den Papierkorb.

In der Keycloak Kontoverwaltung müssen Sie zusätzlich den Eintrag löschen.

Mein Handy ist abhanden gekommen. Was muss ich jetzt im Hinblick auf die Authenticator-App unternehmen?

Um sicherzustellen, dass Ihre One-time-Passwords nicht missbräuchlich verwendet werden können, loggen Sie in der Keycloak Kontoverwaltung ein, und klicken Sie beim entspechenden Eintrag auf 'Entfernen'.
Dann sind die auf dem abhanden gekommenen Smartphone erzeugten One-time Passwords nicht mehr gültig.

Auf einem neuen Handy richten Sie wie gewohnt die Authenticator-App neu ein.

Ich bekomme ein neues Handy, wie gehe ich vor?

Auf einem neuen Handy richten Sie wie gewohnt die Authenticator-App neu ein.

Es ist kein Problem, auf mehreren Handys gleichzeitig Authenticator-Apps für das gleiche Konto einzurichten.

Gibt es auch Open Source Authenticator Apps?

Ja, es gibt auch Open Source Authenticator Apps. Informationen finden Sie unter:

Wo bekomme ich Hilfe?

Auf der Seite MFA Troubleshooting finden Sie Lösungen für häufige Probleme, Ansprechpersonen und Präsenztermine: