FAQ - Zwei-Faktor-Anmeldung

Warum schützt die Uni Augsburg ihre RZ-Benutzerkennung durch die 2FA?

Alle universitäre Konten bergen schützenswerte Informationen! Nicht nur persönlichen Daten wie Name, Geburtsdatum und Adressen verdienen dabei den angemessen Schutz - etwa um Identitätsdiebstahl zu verhindern - , sondern auch Daten, auf die die Kennung Zugriff gibt: Forschungsdaten, Inhalte von Lehrveranstaltungen, Prüfungsergebnisse, ...   

Nicht zu vergessen: Angreifer können mit einer erbeuteten Kennung Schaden an Universitätssystemen verursachen, etwa durch SPAM-Versand (Viren, Phishing etc.), willkürliche Datenvernichtung oder Störung von Prüfungsabläufen. 

Und genau hier setzt die 2FA an: Sie schützt wirksam gegen Phising-Versuche. Selbst wenn unbemerkt das Passwort preisgegeben wurde, kann ein Angreifer den Accont nicht nutzen: ihm fehlt der 2. Faktor. Die 2FA schützt auch gegen Datenlecks. Selbst wenn die Kombination Account/Passwort geleakt werden sollte, verhindert der 2. Faktor den Zugriff.

Welche 2FA-Methoden kann ich nutzen?

Wenn Sie die einfachste Möglichkeit zur Anmeldung über den universitären Microsoft Account verwenden (also mit der @uni-a.de Adresse), können Sie je nach Benutzergruppe (Beschäftigte/Studierende) zwischen OTP (Einmal-PINs per App), Hello for Business oder einem Anruf auf die dienstliche Telefonnummer wählen. Wir empfehlen hier die Verwendung des Microsoft Authenticators, an Dienstgeräten ergänzt um Hello for Business.

Alternativ können Sie, wenn Sie den Microsoft Account nicht nutzen möchten, auch Passkeys zur passwortlosen Anmeldung einrichten, oder für die RZ-Benutzerkennung eine lokale OTP-Anwendung einrichten. Zur Ersteinrichtung ist aber eine einmalige Anmeldung mit dem Microsoft Account nötig.

Kann ich meine 2. Faktoren von einem Smartphone auf ein anders Gerät übertragen?

Dies hängt von der verwendeten App ab: Sie können die hinterlegten Konten entweder exportieren - oder beim Umzug auf das neue Gerät direkt mit übertragen. Alternativ können Sie aber auch einfach das neue Gerät als zusätzliches Gerät hinterlegen, und anschließend das alte Gerät aus dem Account entfernen. 

Ich habe kein Smartphone kann ich 2FA trotzdem nutzen?

Natürlich - hier haben Sie mehrere Optionen zur Auswahl - z.B. können Sie die freie Software KeePassXC an Ihrem PC (Windows / macOS / Linux) als Authenticator-App nutzen, um die OTP-Codes zu erzeugen (sowohl für den Microsoft Account als auch für die RZ-Kennung) oder einen Passkey verwenden. Beschäftigte können sich notfalls darüber hinaus bei Microsoft auch eine Telefonnummer hinterlegen. Die Nutzung eines FIDO2 Sicherheitsschlüssels - z.B. ein YubiKey oder Swissbit iShield besonders komfortabel - ist ebenfalls möglich.

Ich habe keinen eigenen Computer oder Smartphone, was kann ich tun?

In diesem Fall kommen Sie bitte persönlich zu den Öffnungszeiten zu uns ins Beratungs- und Servicezentrum (ZEBRA), um eine Lösung für Ihren Fall zu finden. 

Ich bekomme bei der Registrierung keinen QR-Code angezeigt / Die Registrierung schlägt anderweitig fehl.

Wenden Sie sich hier einfach unter Vorlage eines (gültigen) Lichtbildausweises an das Beratungs- und Servicezentrum "ZEBRA", wir setzen die Anmeldemethoden für Sie zurück. Danach können Sie die Einrichtung des Authenticators wieder neu (nach unserer Anleitung) vornehmen.

Sollten Sie uns nicht zu unseren Öffnungszeiten erreichen können, wenden Sie sich (sofern der Zugriff noch möglich ist z.B. durch "Hello for Business") über unser Kundenportal https://support.rz.uni-augsburg.de/servicedesk oder notfalls auch per E-Mail an service@rz.uni-augsburg.de an uns. Scannen (oder Fotografieren) Sie dazu bitte Ihren Ausweis (Vorder- und Rückseite) - und wenn möglich Ihre CampusCard zur einfacheren Zuordnung - und laden diesen in das Ticket hoch bzw. hängen ihn der Mail an. 

Ich möchte meinen 2. Faktor registrieren, erhalte aber bereits die Aufforderung, eine Zahl einzugeben

Da Microsoft die 2-Faktor-Anmeldung schon seit längerem vorschreibt, haben Sie vermutlich in der Vergangenheit für die Installation von Office 365 bereits zuvor eine Einrichtung durchgeführt. Ist auf Ihrem Gerät noch ein Eintrag für das universitären Konto im Microsoft Authenticator vorhanden, ist es möglich, dass lediglich die Berechtigung für die Benachrichtigung fehlt. In diesem Fall folgen Sie einfach folgender Anleitung: https://collab.dvb.bayern/x/ryfca

Haben Sie keinen Zugriff mehr auf das zuvor verwendete Gerät / die App oder ist kein Konto mehr hinterlegt können Sie auch die Anmeldung zurücksetzen lassen, hierbei gilt das gleiche wie bei: Ich bekomme bei der Registrierung keinen QR-Code angezeigt

Meine Zugangsdaten werden an meinem Apple-Gerät immer wieder zurückgewiesen: Ich befinde mich in einer Anmelde-Schleife!

Hier liegt meistens ein Problem mit dem Apple Passwortmanager vor, wenn Sie das Passwort automatisch ausfüllen lassen. Dabei ersetzt der Passwort-Manager den Benutzernamen (@uni-a.de) mit der RZ-Kennung auch wenn dieses Feld gar nicht mehr angezeigt wird. Versuchen Sie das Passwort manuell einzugeben - dies kann dazu auch bei Bedarf in der "Passwörter" App eingeblendet werden. 

Was ist das, und was hab ich davon?

Passkeys (auch WebAuthN oder FIDO2 Schlüssel) sind kryptografische Schlüssel, die viel sicherer sind als Passwörter. Vereinfacht ausgedrückt stellt bei der Anmeldung der Dienst ihrem Gerät eine komplizierte "Aufgabe", die nur mit dem vorhandenen Passkey zu lösen ist. Der Passkey lässt sich z.B. durch eine (kurze) PIN oder mit Biometrie schützen und ist somit eine 2-Faktor-Anmeldung. Ein Passkey kann auch auf einem extra Sicherheitsschlüssel gespeichert werden (z.B. YubiKey), um nicht für jedes Gerät einen eigenen Passkey zu benötigen - ein bisschen wie ein Zentralschlüssel für Bürotüren.

Anstelle sich also immer längere und kompliziertere Passwörter merken zu müssen (und ggf. noch eine Authenticator App benutzen zu müssen) erfolgt die Anmeldung z.B. am Digicampus nun "Passwortlos" und nur z.B. mit einem PIN, einem Fingerabdruck oder Gesichtserkennung am Smartphone oder Laptop/PC. 

Welche Passkey Möglichkeiten gibt es derzeit?

Wir unterstützen derzeit die Verwendung von KeePassXC (bzw. KeePassium auf iOS/iPadOS) sowie die Verwendung von FIDO2 Sicherheitsschlüssel wie YubiKeys, SoloKeys oder SwissBit iShields. Die von den Herstellern direkt angebotenen Möglichkeiten wie iCloud-Schlüsselbund oder Google Passwords sind i.d.R. Cloudbasiert, weshalb wir diese aus datenschutzrechtlichen Gründen nicht offiziell empfehlen können. 

Wie richte ich Passkeys ein?

Zur erstmaligen Einrichtung muss einmalig der Microsoft Account zur Anmeldung an unserem Anmeldeportal https://auth.rz.uni-augsburg.de genutzt werden. Anschließend können Sie dort ihre gewünschte Passkey-Methode einrichten . Dazu auch unsere Übersicht & die Anleitungen auf den Unterseiten von https://collab.dvb.bayern/x/bKuqXQ

Ich benutze schon einen anderen Authenticator (Google Authenticator, iCloud etc.) kann ich einfach diesen Verwenden?

Grundsätzlich können alle TOTP-Anwendungen genutzt werden. Unterstützung durch Anleitung & den Servicedesk bzw. DV-Betreuung erhalten Sie für die beschriebenen Apps Microsoft Authenticator, 2FAS, FreeOTP und KeePassXC.