Anleitung Multi-Faktor-Authentifizierung (MFA)

Wichtiger Hinweis: Es müssen von Mitarbeitenden und Studierenden je zwei Multi-Faktor-Authentifizierungen (MFA) eingerichtet werden: 

  1. Multi-Faktor-Authentifizierung (MFA) für denTUaccount und TUvpn
  2. Multi-Faktor-Authentifizierung (MFA) für Microsoft SSO (Auflistung aller Services)

Prinzip der Multi-Faktor-Authentifizierung (MFA)

Die MFA dient zur Erhöhung der Sicherheit. Dabei wird für den Identitätsnachweis beim Einloggen statt nur eines Merkmals (typischerweise das Passwort) mindestens ein zusätzlicher, unabhängiger Faktor abgefragt. Ein Passwort alleine kann gestohlen, gehackt oder erraten werden. Dies ist vor allem eine Gefahr bei schwachen Passwörtern oder solchen, die für mehrere Systeme wiederverwendet werden. MFA fügt eine zusätzliche Barriere hinzu: Selbst im Fall eines kompromittierten Passworts vermindert der weitere Authentifizierungsfaktor das Risiko eines unbefugten Zugriffs erheblich. Zudem bietet MFA Schutz vor Phishing, Keyloggern und Datenlecks etc., da der Angreifer auch an den weiteren Faktor gelangen muss.

Die Nutzung von MFA ist sehr einfach. Sie richten einmalig ein Verfahren zur MFA ein. Sobald Sie dies erledigt haben, können Sie sich zukünftig mit diesem anmelden. Sie müssen NICHT vor jeder Anmeldung einen weiteren Faktor einrichten, sondern lediglich den MFA-Code eingeben.

Für die MFA werden immer mehrere möglichen Authentifizierungsfaktoren kombiniert:

  1. WISSEN - Etwas, das ich weiß: z.B. Passwort, PIN oder Passphrase.
  2. BESITZ - Etwas, das ich habe: z. B. ein Smartphone, einen Hardware-Token oder eine Smart-Card.
  3. BIOMETRIE - Etwas, das ich bin: z. B. Fingerabdruck oder Gesicht.

Unterschied Zwei-Faktor-Authentifizierung (2FA) und Multi-Faktor-Authentifizierung (MFA)

Bei der 2FA musst man genau zwei verschiedene Nachweise erbringen, um sich anzumelden, etwa ein Passwort und einen zusätzlichen Code. Die MFA ist der allgemeinere Begriff und bedeutet, dass man zwei oder mehr Nachweise braucht, also beispielsweise auch Kombinationen aus drei verschiedenen Faktoren möglich sind. Somit ist jede 2FA immer auch eine MFA. Eine MFA kann theoretisch noch mehr Sicherheitsebenen umfassen als nur zwei. 

Sollten Sie die 2FA im Login-Portal für den TUvpn bereits eingerichtet haben, müssen Sie keine separate MFA für den TUaccount einrichten. 

Authentifizierungsmöglichkeiten für TUaccount und TUvpn

Für TUaccount und TUvpn ist der weitere Faktor neben dem Passwort ein MFA-Code aus sechs Ziffern, der alle 30 Sekunden neu generiert wird. Dieses Verfahren nennt sich TOTP (time-based one-time password). Sie erstellen diesen Schlüssel mittels einer App auf Ihrem Gerät (Diensthandy oder -rechner, alternativ privates Smartphone möglich).

Authentifizierungsmöglichkeiten für Microsoft SSO

Für Microsoft SSO (MS Office 365, MS Teams, Zoom, Adobe etc. - Auflistung aller Services) stehen ebenfalls der MFA-Code (TOTP) sowie andere Authentifizierungsmöglichkeiten wie Passkey und Microsoft Authenticator (Push/ Nummernabgleich) zur Verfügung.

Empfehlungen und Anleitungen

Apps zur Generierung von MFA-Codes (Authenticator-Apps)

Prinzipiell können Sie eine App Ihrer Wahl nutzen, solange sie den TOTP-Standard unterstützt. Wir empfehlen für die Ersteinrichtung der MFA (TUaccount) eine Methode zu wählen, bei der man den Schlüssel exportieren kann (z.B. KeyPassXC oder 1password) um die Einrichtung auf mehreren Geräten zu vereinfachen.

Authenticator AppAnleitungDownload-LinkAndroidiOSWindowsmacOSLinux

1password

Anleitung

 Download

(tick) (tick) (tick) (tick) (tick) 
Microsoft AuthenticatorAnleitung Download(tick) (tick) (error) (error) (error) 
FreeOTP*Anleitung  Download*(tick) (tick) (error) (error) (error) 
KeePassXCAnleitung** Download(error) **(tick) (tick) (tick) (tick) 
Google Authenticator
 Download(tick) (tick) (error) (error) (error) 
Diverse weitere Apps
 Mobile-OTPHENNGE OTP GeneratorAuthenticatorOTP Manager

* Download auch über F-Droid möglich
** Für Android gibt es KeePassDX (Download auch über F-Droid möglich)

Anleitungen für verschiedene MFA-Apps

Anleitungen zur Multi-Faktor-Authentifizierung (MFA)

Anleitung MFA für TUaccount und TUvpn

Für den TUaccount kann die ID Austria zum Login genutzt werden. Trotzdem ist es aus technischen Gründen zwingend notwendig, dass die MFA initial eingerichtet wird.


  • Rufen Sie das TU Login-Portal auf. Geben Sie dort Ihre bisherigen Anmeldedaten ein oder nutzen Sie ID Austria zur Anmeldung.


  • Nach der Anmeldung klicken Sie in der linken Randspalte auf "Accountverwaltung":


  • Klicken Sie in der Accountverwaltung auf "Multi-Faktor-Authentifizierung":
  • Klicken Sie entweder auf "Jetzt aktivieren" im hellblauen Banner unter der Überschrift oder auf den dunkelblauen Button "Multi-Faktor-Authentifizierung aktivieren" am unteren Ende der Seite.


  • Sie erhalten nun einen QR-Code (empfohlen für eine App auf dem Handy) und einen Schlüssel aus Buchstaben und Zahlen (empfohlen für einen Schlüsselgenerator auf dem Laptop). Beides ist streng geheim – teilen Sie diese Information mit niemandem! Scannen Sie entweder den QR-Code ein oder kopieren Sie den Schlüssel in Ihre App. Die App wird Ihnen nun einen dazu passenden MFA-Code anzeigen, den Sie im nächsten Schritt benötigen.
    WICHTIG: Nutzen Sie zum Scannen des QR-Codes bitte die Scan-Funktion der MFA-App, nicht ihre Handykamera. Nur so stellen Sie sicher, dass der Authentifizierungsvorgang erfolgreich abgeschlossen werden kann.


  • Geben Sie im Punkt "Aktivierung abschließen" im oberen Feld ihr TUaccount-Passwort ein und im unteren Feld den MFA-Code aus der App. Klicken Sie dann auf "Jetzt aktivieren".

  • Bei erfolgreiche Aktivierung sehen Sie nun diese Portalseite:

Wichtig: Einmal eingerichtet, darf die Authenticator-App nicht mehr deinstalliert werden. Sonst verlieren Sie den Zugriff auf ihren TUaccount und damit auf Systeme wie TISS, TUWEL, coLAB etc. (Auflistung aller Services).


Anleitung MFA für Microsoft SSO

Es gibt zwei Startpunkte für die MFA-Einrichtung: entweder direkt im Microsoft-Konto (empfohlen) oder durch eine Aufforderung, sobald Sie sich bei einem via Microsoft SSO verbundenen Service (z.B. MS Office, MS Teams, Zoom, Adobe etc.) einloggen (ab dem 15.4.). Beide Wege werden nachfolgend beschrieben.

Startpunkt: MFA-Einrichtung im Microsoft-Konto (empfohlen)

  • Öffnen Sie https://myaccount.microsoft.com/ und melden Sie sich mit Ihrem Benutzernamen und Ihrem Passwort an.
  • Wählen Sie unter dem Menüpunkt „Mein Konto“ den Punkt „Sicherheitsinformation“
  • Klicken Sie auf "Anmeldemethode hinzufügen"


  • Wählen Sie nun die gewünschte Methode aus – wir empfehlen hierbei TOTP und beschreiben diese Methode nachfolgend im Detail. Dafür klicken Sie auf das Feld "Microsoft Authenticator" (und können entweder diese App verwenden oder im nächsten Schritt eine App ihrer Wahl nutzen).
    Alternativ haben Sie die Möglichkeit, einen Sicherheitsschlüssel oder den Hauptschlüssel in Microsoft Authenticator zu nutzen. SMS sollte lediglich eine Ausweichalternative darstellen.


  • Klicken Sie auf „Microsoft Authenticator“. Sie werden nun aufgefordert, den Microsoft Authenticator zu installieren. Sie können jedoch selbstverständlich auch jede andere TOTP-fähige Authentifizierungs-App verwenden. Klicken Sie dazu auf „Andere App für die Authentifizierung einrichten“.


  • Scannen Sie nun den angezeigten QR-Code ein. Sollte dieser nicht funktionieren, klicken Sie auf „Can’t scan the QR Code?“ und geben Sie die nachfolgend angeführten Informationen direkt in Ihre App ein.
      
  • Bestätigen Sie mit „Weiter“ und folgen Sie den Anleitungen in der App. Sie werden im Zuge dessen zur Eingabe Ihres ersten TOTP-Codes aufgefordert.


Startpunkt: Aufforderung, sobald Sie sich bei einem via Microsoft SSO verbundenen Service (z.B. MS Office, MS Teams, Zoom, Adobe etc.) einloggen

  • Rufen Sie ein via Microsoft SSO verbundenes Service auf (Office, Zoom, Adobe etc.). Dort werden sie aufgefordert, eine MFA einzurichten, unabhängig vom gewählten Service. Dieser Hinweis besagt, dass MFA nun verpflichtend ist. Klicken Sie auf "Weiter".

 

  • Es wird Ihnen nun vorgeschlagen, die Microsoft Authenticator App zu verwenden. Dies ist jedoch lediglich ein Vorschlag – über „Ich möchte eine andere Authentifikator-App verwenden“ können Sie eine App ihrer Wahl nutzen. Der nachfolgend beschriebene Weg konzentriert sich auf den Microsoft Authenticator, ist aber ähnlich für andere Authenticator Apps.


  • Klicken Sie auf „Microsoft Authenticator“. Sie werden nun aufgefordert, den Microsoft Authenticator zu installieren. Sie können jedoch selbstverständlich auch jede andere TOTP-Fähige Authentifizierungs-App verwenden. Klicken Sie dazu auf „Andere App für die Authentifizierung einrichten


  • Scannen Sie nun den angezeigten QR-Code ein. Sollte dieser nicht funktionieren, klicken Sie auf „Can’t scan the QR Code?“ und geben Sie die nachfolgend angeführten Informationen direkt in Ihre App ein. Bestätigen Sie die Eingabe mit „Weiter“ und folgen Sie den Anleitungen in der App. Sie werden im Zuge dessen zur Eingabe Ihres ersten TOTP-Codes aufgefordert.

   


Wichtig: Einmal eingerichtet, darf die Authenticator-App nicht mehr deinstalliert werden. Sonst verlieren Sie den Zugriff auf alle Services, die sie mit Microsoft SSO nutzen, z.B. MS Office, MS Teams, Zoom und Adobe (Auflistung aller Services).

Passwort vergessen/Code verloren 

Wiederherstellung für TUaccount und TUvpn

Bei Verlust des Geräts, auf dem Sie die Authenticator-App nutzen, müssen Sie das Service Center der Campus IT persönlich aufsuchen. Dort ist ein gültiger amtlicher Lichtbildausweis vorzuweisen. Mitarbeitende können sich auch an ihre Adressmanager_innen wenden.

Wiederherstellung für Microsoft SSO

Bei Verlust des Geräts, auf dem Sie die Authenticator-App nutzen, müssen Sie sich an das Service Center der Campus IT wenden (per Mail ausreichend). Eine Zurücksetzung über Adressmanager_innen ist in diesem Fall nicht möglich.