Further Information:
Info:
uol.de/2fa
Registrierung:
2fa.uol.de
2 Faktor Authentifizierung
Die Uni Oldenburg führt 2FA ein
An der Uni wird nach und nach die 2FA (2-Faktor Authentifizierung) eingeführt. Den meisten ist das wohl schon bekannt etwa vom Onlinebanking. Im wesentlichen bedeutet das das neben der Eingabe des Usernamens und des Passwords noch ein weiterer Faktor dazu kommen muss, entweder ein weiteres 'Einmal Password, (TOTP=Timebased One Time Password)' oder ein besonderer Hardware-Schlüssel (z.B. Yubikey) 'vorgezeigt' werden muss.
Wozu macht man das Login jetzt aufwändiger? Im Internet gehen ja immer mehr betrügerische Mails um die einen dazu bringen sollen seine Logindaten auf gefälschten Seiten einzugeben. Diese Versuche sind erschreckend erfolgreich - also auch jetzt noch gültige Uni-Zugangsdaten sind im Umlauf. Und durch die 2FA können die Bösen zwar die ersten beiden Stufen überwinden - scheitern aber an dem Einmalpasswort!
Ist damit das Problem gelöst? Fast, aber nicht ganz! Auch dieses Verfahren kann ausgehebelt werden (z.B. 'Man in the Middle', beim Login auf einer oben erwähnten gefakten Seite kann natürlich auch dieses OTP mitgelesen werden und für ein einmaliges Login verwendet werden). Dies ist aber mehr relevant für Banken wo in Sekunden schon einiges an kritischen Daten abgegriffen werden kann - für einen Zugang zur Uni ist das nicht lohnenswert. Und weiterhin ist natürlich das einbringen von Trojanern über z.B. Mails oder andere Downloads ebenfalls weiterhin möglich. Aber das Problem der abhandengekommenen Passwörter ist weitestgehend entschärft.
Muss ich das jetzt nutzen?
Nein, zumindest noch nicht. Ab voraussichtlich März 2025 wird die Nutzung in einzelnen Systemen verpflichtend. Im wesentlichen wird das Webmail und VPN sein - hier finden auch die Hauptangriffe statt. Welches System man nutzt (Yubikey o.ä. oder TOTP auf einem Handy, Tablet, Rechner) ist dabei egal, es können (und sollten) auch verschiedene Systeme parallel sein.
Wie ist der Ablauf
- Zunächst werden einige Systeme für das neue Loginsystem umgestellt, der zweite Faktor ist aber noch nicht erforderlich, kann aber schon genutzt werden
- In diesem Zuge ändert sich die Loginmaske, die einzugebenden Daten sind aber wie bisher
- In den nächsten Wochen werden Yubikeys unter Mitarbeitern ausgegeben
- Parallel werden weitere Systeme (z.B. Stud-IP) umgestellt, Anwendungen wie Thunderbird oder Outlook (nicht im Browser), Rechnerlogin sind geplant aber nicht in naher Zukunft
- Irgendwann dieses Jahr wird die Nutzung von Hardware Token oder App verpflichtend für die bis dahin umgestellten Anwendungen
- Langfristig werden alle relevanten Systeme umgestellt
Sinnvoll ist die Authentifikations Verfahren spätestens mit Erhalt des Keys einzurichten und zu nutzen, auch Mobile Apps parallel mit ein zu richten um mehr Flexibilität zu haben und auch durch Verlust/Vergessen von Handy/Key keine Probleme zu bekommen.
Wer bekommt einen Hardware- Schlüssel
Hierzu gibt es eine mit dem Dezernat 1 abgestimmte Liste: uol.de/2fa/yubikey_intranet - es sind also recht viele.
Wie geht 2FA an der Uni Oldenburg konkret
Zunächst muss man Yubikey und/oder App einrichten - hierzu kann man den Hinweisen unter uol.de/2fa folgen. Neben den genannten Apps 2Fas und Aegis gehen auch der Microsoft Authenticator, den einige sicher für Microsoft Teams schon auf dem Gerät haben oder auch diverse andere Varianten.
Beide Wege (Einmalpassword und Hardwareschlüssel) können jetzt schon genutzt werden an den Stellen die die zentrale IT umgestellt hat. (Hinweis: Noch ist es nicht verpflichtend, wenn man ein oder mehrere dieser Verfahren eingerichtet hat auf den Uni-Seiten muss man den zweiten Faktor an den dafür vorgesehenen Stellen ab dem Zeitpunkt der Einrichtung auch angeben)
Login with Hardwaretoken
Während des Logins mit Hardwaretoken wird neben dem bisher verwendeten Usernamen und Password noch das Hardwaretoken z.B. an einem USB-Port abgefragt. Dabei werden a) einige Secrets/Challenges im Hintergrung ausgetauscht und b) es wird geprüft, ob der User „vor Ort” ist.
Die Hardware Token (Yubikey) muss vor Benutzung einmal bei der Seite https://2fa.uol.de angemeldet werden.
Login with TOTP
Während des Logins mit One Time Password wird neben Usernamen und Password wie bisher bekannt auch ein Ont-Time-Password abgefragt. Dieses wird offline z.B. in einer Mobile App nur abhängig von der Uhrzeit generiert und ist gültig nur fur ein paar Sekunden.
Die Mobile App muss vor Benutzung einmal bei der Uniwebsite https://2fa.uol.de angemeldet werden.