TU-ID
Zwei-Faktor-Authentisierung

Mit der Zwei-Faktor-Authentisierung (2FA) können Sie Ihre TU-ID noch besser schützen. Warum das wichtig ist und wie Sie diese nutzen können, erfahren Sie auf dieser Seite.

Nutzergruppen

Das Angebot steht allen Angehörigen der TU Darmstadt und allen Gästen mit einer TU-ID zur Verfügung.

Zusätzlicher Schutz durch Zwei-Faktor-Authentisierung

Um sich gegenüber den Systemen der TU Darmstadt zu identifizieren, nutzen Sie in der Regel Ihre TU-ID und das zugehörige Passwort.

Leider kommt es immer wieder dazu, dass diese Zugangsdaten über gut gefälschte E-Mails und Webseiten ausgespäht werden. Diese Art von Angriffen nennt man Phishing. Mehr dazu finden Sie auf der Seite der Infosec.

Um es den Angreifenden in diesem Fall schwerer zu machen, hat sich die Nutzung einer sogenannten Zwei-Faktor-Authentisierung als gute Praxis erwiesen. Dabei wird zusätzlich zum Passwort der Nutzer_innen ein zweites Geheimnis abgefragt. Das kann z.B. ein kurz gültiger Zahlencode oder das Vorzeigen eines physikalischen Schlüssels sein.

Das HRZ ermöglicht es Ihre TU-ID mit einem zweiten Faktor besser zu sichern. Einzelne Anwendungen können die Nutzung eines zweiten Faktors vorschreiben.

Details zur Einrichtung und Nutzung dieser zweiten Faktoren (Token) finden Sie in der FAQ.

Zur ersten Einrichtung von 2FA an ihrem Account und in KeepassXC gibt es eine Schritt-für-Schritt Anleitung (wird in neuem Tab geöffnet) .

Außerdem haben wir eine Anleitung zur Installation und Erstkonfiguration von KeePassXC (wird in neuem Tab geöffnet) für Sie zusammengestellt.

FAQ

2FA ist für alle TU-IDs und TU-TechIDs nutzbar. Sie können sich selbst in der 2FA-Verwaltung registrieren und Ihren Account ab sofort schützen.

Die Funktion der 2FA kann auch für TU-IDs genutzt werden, welche sich in der Nachlaufzeit befinden.

  • Neben einer aktiven TU-ID benötigen Sie noch ein Gerät, welches das Einmalpasswort generiert.
    Das kann entweder ein dediziertes Gerät sein (Hardware-Token) oder eine Software auf einem PC, Smartphone o.ä. (Software-Token).
    Im Falle eines Software-Token kann dieser sowohl auf einem dienstlichen aber auch auf einem privaten Gerät genutzt werden.
    Solche Software gibt es für alle gängigen Betriebssysteme. Z.b. den Privacy Identity Authenticator für Android und iOSoder KeePassXC für Windows. Zur Einrichtung vom letzterem finden Sie eine Anleitung in der Spalte rechts.
  • Zum Anmelden am SSO benötigen Sie eine Internetverbindung.

Einen Basisschutz durch einen von Ihnen selbst registrierten zweiten Faktor, können Sie jederzeit für Ihre TU-ID aktivieren.

Dafür gehen Sie wie folgt vor:

  1. Besuchen Sie die 2FA-Verwaltungsseite.
  2. Loggen Sie sich mit Ihrem Accountnamen und Ihrem Passwort im System ein.
  3. Zuerst wird Ihnen ein sog. TAN-Token erstellt. Dieser dient als Notfallzugang zur 2FA-Verwaltung.
  4. Anschließend klicken Sie links auf „Token ausrollen“.
  5. Dort können Sie entweder einen TOTP (Software) oder Webauthn (Hardware) Token ausrollen.

Zu diesem Prozess gibt es auch eine detaillierte Schritt-für-Schritt Anleitung (wird in neuem Tab geöffnet) mit Screenshots.

Durch die Aktivierung wird bei jedem Login am Login-Server der zweite Faktor benötigt.

Das erhöht die Sicherheit an ihrem Account und erschwert, dass Angreifer ihren Account übernehmen. Außerdem üben Sie so die Nutzung des zweiten Faktors.

Dieser Login sollte bei normaler Nutzung ca. 1-2 mal Täglich passieren.

Ein Token ist eine Möglichkeit die Kontrolle über seine Identität (TU-ID) mit einem zweiten Faktor zu beweisen.

Diese können sowohl in Software als auch als dedizierte Hardware zur Verfügung gestellt werden.

Sie können Ihrem Account mehrere Tokens zugewiesen haben. Die angeschlossenen Systeme können Anforderungen an die Tokens ihrer Nutzer_innen definieren. Beispielsweise kann eine Anwendung einen Hardware-Token erfordern.

Aktuell unterstützt das HRZ folgende Verfahren:

  • TOTP – Time-based One-time Password
    Regelmäßig wechselnde Ziffernfolge basierend auf einem gemeinsamen Geheimnis von Server und Client. Dieser ist in der 2FA-Verwaltung durch die Nutzer_innen selbst registrierbar.
  • HOTP – HMAC-based One-time Password
    Ähnlich zu TOTP, aber auf Basis eines Zählers, statt der aktuellen Zeit. Daher in Hardware leichter implementierbar.
  • WebAuthn
    Es handelt sich um ein modernes Verfahren für zweite Faktoren. Es wird von vielen Betriebssystemen von Haus aus unterstützt. Dort ist dann z.B. die Nutzung eingebauter Biometrie möglich. Darüber hinaus sind auch Hardware-Implementierungen auf dem Markt verfügbar. Leider ist das Protokoll für Web-Authentifizierung optimiert und für die Anmeldung über Radius oder LDAP z.B. an Servern nur bedingt geeignet.
  • TAN
    Für den Notfallzugriff auf die 2FA-Verwaltung wird Ihnen am Anfang der Registrierung ein TAN-Token erstellt. Diese einmal-Codes sind nur für den Login in der 2FA-Verwaltung gültig. Sie dienen als Notfallzugang im Falle des Verlustes der anderen Tokens.

Je nach Sicherheitsniveau werden Tokens in verschiedene Stufen einsortiert. Ein Token ist auch immer in der/den niedrigeren Stufen gültig.

Die angeschlossenen Anwendungen können Tokens einer gewissen Stufe erfordern.

  • Stufe 1 „basis“: Selbstregistrierte Software-Token
    Aktuell wird das TOTP-Verfahren unterstützt.
  • Stufe 2 „mittel“: Selbstregistrierte Hardware-Token
    Aktuell wird das WebAuthn-Verfahren unterstützt.
  • Stufe 3 „hoch“: Durch das HRZ nach Identifikation der Person zugeordnete Hardware-Token. Aktuell werden hier die Verfahren TOTP, HTOP und WebAuthn unterstützt.

Aktuell gibt das HRZ keine Hardware-Token aus.

Wenn Sie Interesse daran haben Ihren Account mit einem Hardware-Token zu sichern, müssen Sie diesen selbst beschaffen.

Das HRZ hat aber einige Hardware-Token getestet. Unsere Erfahrungen finden Sie im nächsten FAQ-Eintrag.

Sie können diese Hardware-Token in der 2FA-Verwaltung selbst mit Ihrem Account verknüpfen.

Für bestimmte hochkritische Anwendungen kann es nötigt sein, dass die Zuordnung eines Tokens zu Ihrem Account vom HRZ bestätigt werden muss. Wenden Sie sich dazu bitte an .

Die Auswahl des passenden Hardware-Tokens ist sehr von Ihren spezifischen Anforderungen abhängig. Wir haben einige Tokens auf dem Markt getestet und wollen hier unsere Erfahrungen darstellen.

Ich verwende 2FA nur für Dienste der TU Darmstadt hauptsächlich am SSO

Dieses Szenario trifft meistens auf z.B. Verwaltungsmitabeiter_innen zu. Diese müssen nur relativ selten ihren 2. Faktor nutzen. Daher ist die manuelle Eingabe eines zweiten Faktors akzeptabel.

Hier empfehlen wir einen TOTP-Token mit Display. Das erfordert sonst keine Hardwareanpassung und ist auch mobil zu verwenden.

Wir haben z.B. den Feitian i34 C200 TOTP (ab ca. 13€) und den Token2 C302-i (ab ca. 26€) erfolgreich getestet.

Ich verwende 2FA auch mit externen Diensten (z.B. github) oder häufiger

Dieses Szenario trifft meisten auf z.B. Administrator_innen oder Entwickler_innen zu.

Externe Dienste setzten zunehmend auf WebAuthn/Passkeys. Daher ist hier ein Token mit diesem Feature zu empfehlen. Nachteil ist, dass diese mit dem Endgerät verbunden werden müssen. Daher muss zum einen ein Token passend zum Gerät gewählt werden (USB-A, USB-C, NFC). Zum anderen muss die Arbeitsumgebung evtl. angepasst werden (z.B. ist eine USB-Verlängerung und/oder ein Schlüsselband/Schlüsselrolle in manchen Situationen sinnvoll).

Für manche Dienste (z.B. VPN) ist WebAuthn nicht möglich. Daher muss der Token auch TOTP oder HOTP unterstützen.

Wir haben z.B. den Feitian A4B (ab ca. 15 €) und den Token2 T2F2-NFC-Slim (ab ca. 22 €) erfolgreich getestet. Letzteren gibt es z.B. auch in einer USB-C-Variante.

Ich habe bereits einen Token oder keiner der obigen Empfehlungen passt zu mir

Prinzipiell sind alle Tokens, welche WebAuthn und entweder TOTP oder HOTP unterstützten, kompatibel mit unserer Implementierung. Reine WebAuthn Tokens empfehlen wir nicht, da dann ein Login bei z.B. mit LDAP angebundene Dienste nicht möglich ist. Wir haben über die genannten Modelle hinaus auch schon Erfahrungen gesammelt. Sprechen Sie uns gerne an.

Wenn Sie sich für einen Hardware-Token entschieden haben, können Sie diesen selbst im System registrieren.

Dafür benötigen Sie zum einen einen unterstützen Hardware-Token. Wir gehen davon aus, dass dieser, entsprechend unserer Empfehlung, sowohl WebAuth als auch HOTP unterstützt.

Außerdem benötigen Sie zur Konfiguration der HOTP Funktionalität eine herstellerspezifische Anwendung. Z.B. den Yubikey Manager oder die TOKEN2 T2F2 Companion app. Bitte informieren Sie sich beim Hersteller ihres Hardware-Tokens, wie dieser konfiguriert werden kann.

  • Zunächst aktivieren Sie 2FA an ihrem Account entsprechend der obigen Anleitung.
  • Danach rollen Sie am besten zunächst den Hardware-Token mit WebAuthn aus.
  • Sollten Sie diesen Token erstmalig an einer Webseite verwenden, müssen Sie hier auch eine PIN setzten. Diese wird z.B. beim registrieren bei einigen Webseiten benötigt.
  • Danach rollen Sie einen HOTP-Token aus. Nach der Eingabe der Beschreibung erhalten Sie einen privaten Schlüssel.
  • Mit der herstellerspezifische Anwendung können Sie ihren Hardware-Token mit diesem privaten Schlüssel konfigurieren.
  • Wenn das erfolgreich war, müssen Sie das über Eingabe des OTP bestätigen. Das geschieht meist durch Berührung des Hardware-Tokens. Je nach Konfiguration ist evtl. auch eine längere Berührung (ca. 5 Sek.) nötig.

Aktuell wird der zweite Faktor nach der Registrierung bei allen Anmeldevorgängen am Single-Sign-On (SSO) der TU-Darmstadt abgefragt.

Damit sind alle an den SSO angeschlossenen Dienste automatisch geschützt. Z.B. Gitlab, das IDM-Portal oder SAP Fiori.

Bei einigen Anwendungen (Jabber, VPN, Radius) ist eine Authentifizierung nur mit TOTP oder HOTP möglich. Stehen nur andere Token zur Verfügung scheitert der Login.

Dienste welche am Active Directory angeschlossen sind (z.B. die Rechneranmeldung und Exchange/Outlook) prüfen den 2. Faktor aktuell noch nicht. Ebenso Microsoft 365.

Ja, Sie können auch Ihre TU-TechID durch einen zweiten Faktor sichern

Bitte beachten Sie, dass ein Token nur einem Account zugeordnet sein kann.

Wenn Sie mehrere Tokens haben, bestimmt die Beschreibung die Reihenfolge der Tokens. Der alphabetisch erste wird standardmäßig ausgewählt.

Sie können die Beschreibung in der 2FA-Verwaltung jederzeit ändern und so Einfluss auf die Vorauswahl nehmen.

Z.B. können Sie „01 “ vor die Beschreibung des gewünschten Tokens setzten.

Wenn ein HOTP oder TOTP Token nicht mehr funktioniert, obwohl er vorher problemlos funktioniert hat, kann das unter anderem den Grund haben, dass das gemeinsame Wissen zwischen Server und Token nicht mehr gleich ist.

Neben dem privaten Schlüssel müssen sich Server und Token über den aktuellen Zustand einig sein. Bei TOTP Tokens ist das die aktuelle Uhrzeit, bei HOTP Tokens die Anzahl der Nutzungen.

Es gibt hier zwar einen gewissen Spielraum, wenn die Uhr im TOTP Token defekt ist oder der HOTP zu häufig zwischen den Authentifizierungen betätigt wurde, kann es aber sein, dass diese Zustände nicht mehr ausreichend übereinstimmen.

Dann müssen Sie den Token neu synchronisieren. Gehen Sie dafür wie folgt vor:

  • Loggen Sie sich zunächst in die 2FA-Verwaltung ein. Notfalls verwenden Sie dafür einen Ihrer Wiederherstellungscodes.
  • Wählen Sie den defekten Token aus.
  • Geben Sie in den beiden Feldern neben dem Button „Token resynchronisieren“ zwei aufeinanderfolgende OTP Werte ein. Bei TOTP Tokens müssen Sie evtl. einige Sekunden warten bis der nächste Wert angezeigt wird.
  • Klicken Sie anschließend „Token resynchronisieren“.
  • War der Vorgang erfolgreich, erscheint die Meldung „Token wurde erfolgreich resynchronisiert.“ bestätigt. Ihr Token funktioniert jetzt wieder.

Es kann passieren, dass Sie ihren Token verlieren. z.B. kann ein Hardware-Token verloren gehen oder beschädigt werden. Ein Software-Token kann z.B. durch Verlust des Gerätes oder zurücksetzten des Betriebssystems verloren gehen.

In diesem Fall können Sie sich mit ihrem Wiederherstellungscode, welchen Sie bei der Registrierung erstellt haben, in der 2FA-Verwaltung anmelden und den alten Token löschen.

Dort können Sie auch einen neuen Token ausrollen.

Wenn die 2FA für einen Account aktiviert wurde, kann sie durch die Nutzer_innen zurzeit nicht wieder deaktiviert werden.

Wenn Sie die 2FA an Ihrem Account vollständig deaktivieren wollen, wenden Sie sich bitte an .

Wenn Ihr Dienst über SSO angebunden ist, profitiert dieser schon von der 2FA Implementierung. Alle Nutzer_innen, welche 2FA aktiviert haben, werden bei jedem Login nach dem zweiten Faktor gefragt.

Es ist auch möglich nur Nutzer_innen mit einem zweiten Faktor für Ihren Dienst zuzulassen. Dabei können Sie z.B. auch bestimmen, ob alle Arten von Token erlaubt werden oder z.B. nur Hardware basierte Token. Diese Konfiguration wird am besten in enger Abstimmung mit uns durchgeführt.

Sprechen Sie gerne an.