Zwei-Faktor-Authentisierung (2FA)
Anleitungen

Einrichten der Zwei-Faktor-Authentisierung

Das HRZ bietet mit der Zwei-Faktor-Authentisierung (2FA) durch die Kombination von Passwort und einem zweiten Sicherheitsmerkmal (Token) eine zusätzliche Sicherheitsmaßnahme für Ihre TU-ID.

Auf dieser Webseite finden Sie Anleitungen zur Einrichtung und Nutzung der 2FA.

Bitte beachten Sie: Führen Sie alle Schritte vollständig und ohne Unterbrechung durch. Planen Sie dafür, wenn die Voraussetzung aus Schritt 1 erfüllt ist, etwa 30 Minuten ein.

Wir empfehlen, mindestens zwei Token einzurichten. Optimal ist die Kombination eines TOTP auf dem Mobiltelefon und TOTP im Passwort-Manager.
Alternativ kann auch ein Hardware-Token als zweiter Faktor verwendet werden, insbesondere als Alternative für das Mobiltelefon. So bleibt der Zugriff auch bei Verlust oder Ausfall eines Tokens sichergestellt.

Für Beschäftigte mit gemanagten Rechnern ist ein zweiter vom Rechner unabhängiger Token zwingend erforderlich, um sich zukünftig weiterhin über „VPN before Log-in“ anmelden zu können. Wichtig: Sollten Sie sich für einen Hardware-Token entscheiden, müssen Sie zwingend damit einen TOTP- oder HOTP-Token aktivieren. WebAuthn kann zusätzlich registriert werden, sollte aber keinesfalls allein verwendet werden, da die Nutzung mit WebAuthn für die VPN-Einwahl aktuell noch nicht zur Verfügung steht (Anleitung siehe unten).

Um 2FA erfolgreich einzurichten, benötigen Sie mindestens eines der folgenden Geräte:

  • Mobiltelefon mit installierter Authenticator-App, z.B. privacyIDEA Authenticator oder Google Authenticator.
    Hinweis: Es dürfen auch private Mobiltelefone dafür genutzt werden.
  • Rechner mit eingerichtetem Passwort-Manager, z.B. KeePassXC oder KeePass
    Hinweis: Falls Sie noch keinen Passwort-Manager installiert haben und sich für KeePassXC entscheiden, folgen Sie bitte der Installations- und Nutzungsanleitung (wird in neuem Tab geöffnet) in den Kapiteln 1 bis 3.2.
  • Hardware-Token (physisches Gerät zur Zwei-Faktor-Authentisierung)

Die Aktivierung der Zwei-Faktor-Authentisierung (2FA) erfolgt in der 2FA-Verwaltung im IDM-Portal (wird in neuem Tab geöffnet).

Anleitung zur Aktivierung von 2FA im IDM-Portal (wird in neuem Tab geöffnet)

Sie können die Aktivierung auch in unserem Video Tutorial zur Einrichtung von 2FA mit einer Authenticator App (Teil 1) (4:08 min) ansehen.

Nachdem Sie die Zwei-Faktor-Authentisierung (2FA) aktiviert haben, müssen Sie mindestens einen Token einrichten. Es wird empfohlen, zwei Token zu konfigurieren, um im Falle eines Geräteverlusts oder Wechsels weiterhin Zugriff zu behalten. Folgen Sie dazu der jeweiligen Anleitung, abhängig davon, für welche Option Sie sich entscheiden.

Nutzen Sie ein Smartphone mit einer Authenticator-App, zum Beispiel privacyIDEA Authenticator oder Google Authenticator. Diese App müssen Sie auf Ihrem Mobiltelefon installieren. Auch private Mobiltelefone dürfen dafür genutzt werden.

Die App erzeugt fortlaufend zeitbasierte Einmalpasswörter (TOTP), die Sie bei der Anmeldung zusätzlich zu Ihrem Passwort eingeben.

Anleitung zur Nutzung der Authenticator App (wird in neuem Tab geöffnet)

Die Einrichtung sehen Sie auch im Video Tutorial zur Einrichtung von 2FA mit einer Authenticator App (Teil 2) (4:05 min).

Verwenden Sie einen (Dienst-)Rechner mit einem bereits eingerichteten Passwort-Manager (wird in neuem Tab geöffnet) wie beispielsweise KeePassXC oder KeePass. Die Software erzeugt fortlaufend zeitbasierte Einmalpasswörter (TOTP), die Sie bei der Anmeldung zusätzlich zu Ihrem Passwort eingeben bzw. automatisch eingeben lassen können.

Anleitung zur Installation und Nutzung des Passwort-Managers KeePassXC (wird in neuem Tab geöffnet)
Hinweis: Kapitel 3.4 beschreibt die Zwei-Faktor-Authentifizierung (2FA) mit KeePassXC, während Kapitel 4.1 die Auto-Type-Funktion sowie die Erweiterung für 2FA zur Vereinfachung des Anmeldevorgangs erläutert.

Ein Hardware-Token ist ein physisches Gerät zur Zwei-Faktor-Authentisierung, das bei der Anmeldung einen zusätzlichen Sicherheitsfaktor bereitstellt. Es generiert einmalige Codes, um die Identität des Nutzers eindeutig zu bestätigen.

Entscheiden Sie sich zunächst für einen Hardware-Token. Grundsätzlich sind alle Token, die WebAuthn sowie entweder TOTP oder HOTP unterstützen, kompatibel, wobei für die VPN-Einwahl zwingend TOTP oder HOTP verfügbar sein muss. In unseren FAQ finden Sie Informationen über die vom HRZ getesteten Hardware-Token (Frage „Welche Hardware-Token wurden vom HRZ getestet?“).

Außerdem benötigen Sie zur Konfiguration der HOTP-Funktionalität eine herstellerspezifische Anwendung, z.B. den Yubico Authenticator oder die TOKEN2 T2F2 Companion app. Bitte informieren Sie sich beim Hersteller Ihres Hardware-Tokens, wie dieser konfiguriert werden kann.

  • Wir empfehlen, den Hardware-Token zunächst mit WebAuthn auszurollen.
  • Wenn Sie den Token erstmalig auf einer Webseite verwenden, müssen Sie dort auch eine PIN festlegen. Diese wird z.B. beim Registrieren auf einigen Webseiten benötigt.
  • Im nächsten Schritt rollen Sie einen HOTP-Token aus. Nach der Eingabe einer Beschreibung erhalten Sie einen privaten Schlüssel.
    Wichtiger Hinweis: Wenn Sie die VPN-Einwahl nutzen, müssen Sie zusätzlich zum WebAuth-Token einen TOTP oder HOTP-Token einrichten. Diese Funktion wird mit dem WebAuth-Token derzeit noch nicht unterstützt.
  • Mit der herstellerspezifischen Anwendung können Sie Ihren Hardware-Token mit diesem privaten Schlüssel konfigurieren.
  • Nach erfolgreicher Konfiguration müssen Sie dies durch Eingabe des OTP bestätigen. Dies erfolgt in der Regel durch Berührung des Hardware-Tokens. Je nach Konfiguration kann es notwendig sein, den Token für etwa 5 Sekunden lang zu berühren.

Ein WebAuthn-Token kann ausgerollt und genutzt werden, beispielsweise in Verbindung mit Windows Hello. Dadurch lässt sich der zweite Faktor komfortabel per Fingerabdruck oder Gesichtserkennung verwenden. Eine entsprechende Anleitung wird in den nächsten Wochen bereitgestellt.

Anmeldung mit 2FA

Nach der Einrichtung eines Tokens müssen Sie immer den zweiten Faktor bei der Anmeldung angeben.

Anleitung zur Anmeldung an einem Dienst mit 2FA (wird in neuem Tab geöffnet)

FAQ

2FA ist für alle TU-IDs und TU-TechIDs nutzbar. Sie können sich selbst in der 2FA-Verwaltung registrieren und Ihren Account ab sofort schützen.

Die Funktion der 2FA kann auch für TU-IDs genutzt werden, welche sich in der Nachlaufzeit befinden.

Eine Anleitung zur Einrichtung von 2FA finden steht auf der Webseite Einrichten der Zwei-Faktor-Authentisierung zur Verfügung.

  • Neben einer aktiven TU-ID benötigen Sie noch ein Gerät, welches das Einmalpasswort generiert. Das kann entweder ein dediziertes Gerät sein (Hardware-Token) oder eine Software auf einem PC, Smartphone o.ä. (Software-Token).
    Ein Software-Token kann sowohl auf einem dienstlichen als auch auf einem privaten Gerät verwendet werden. Entsprechende Anwendungen sind für alle gängigen Betriebssysteme verfügbar, etwa der Privacy Identity Authenticator für Android und iOS oder KeePassXC für Windows.
  • Eine Anleitung zur Einrichtung von 2FA finden steht auf der Webseite Einrichten der Zwei-Faktor-Authentisierung zur Verfügung.
  • Zum Anmelden am SSO benötigen Sie eine Internetverbindung.

Einen Basisschutz durch einen von Ihnen selbst registrierten zweiten Faktor, können Sie jederzeit für Ihre TU-ID aktivieren.

Eine Anleitung zur Einrichtung von 2FA finden steht auf der Webseite Einrichten der Zwei-Faktor-Authentisierung zur Verfügung.

Durch die Aktivierung wird bei jedem Login am Server der zweite Faktor abgefragt. Dadurch wird die Sicherheit Ihres Accounts erhöht und es wird erschwert, dass Angreifer Zugriff auf Ihren Account erhalten. Zudem üben Sie so regelmäßig die Nutzung des zweiten Faktors.

Dieser zusätzliche Login sollte bei normaler Nutzung etwa ein- bis zweimal täglich erforderlich sein.

Ein Token ist ein Sicherheitsbaustein, der es ermöglicht, die eigene Identität (TU-ID) mit einem zweiten Faktor zu verifizieren.

Ein Token gibt es sowohl als Software- oder auch als Hardware-Variante.

Sie können Ihrem Account mehrere Token zuweisen.

Die an der TU Darmstadt angebotenen Dienste können aus Sicherheitsgründen verlangen, dass sich Benutzer mit einem bestimmten Token authentifizieren. Ein vergleichbares Vorgehen kennen Sie vielleicht von Bankanwendungen, die ebenfalls die Nutzung eines bestimmten Tokens für Ihre Online-Dienste vorschreiben.

Aktuell unterstützt das HRZ folgende Verfahren:

  • TOTP – Time-based One-time Password
    Regelmäßig wechselnde Ziffernfolge basierend auf einem gemeinsamen Geheimnis von Server und Client. Dieser ist in der 2FA-Verwaltung durch die Nutzenden selbst registrierbar.
  • HOTP – HMAC-based One-time Password
    Ähnlich zu TOTP, aber auf Basis eines Zählers, statt der aktuellen Zeit. Daher in Hardware leichter implementierbar.
  • WebAuthn
    Es handelt sich um ein modernes Verfahren für zweite Faktoren. Es wird von vielen Betriebssystemen von Haus aus unterstützt. Dort ist dann z.B. die Nutzung eingebauter Biometrie möglich. Darüber hinaus sind auch Hardware-Implementierungen auf dem Markt verfügbar. Leider ist das Protokoll für Web-Authentifizierung optimiert und für die Anmeldung über Radius oder LDAP z.B. an Servern nur bedingt geeignet.
  • TAN
    Für den Notfallzugriff auf die 2FA-Verwaltung wird Ihnen am Anfang der Registrierung ein TAN-Token erstellt. Diese Einmal-Codes sind nur für den Login in der 2FA-Verwaltung gültig. Sie dienen als Notfallzugang im Falle des Verlustes der anderen Tokens.

Je nach Sicherheitsniveau werden Token in verschiedene Stufen einsortiert. Ein Token ist auch immer in der/den niedrigeren Stufen gültig.

Die angeschlossenen Anwendungen können Token einer gewissen Stufe erfordern.

  • Stufe 1 „basis“: Selbstregistrierte Software-Token
    Aktuell wird das TOTP-Verfahren unterstützt.
  • Stufe 2 „mittel“: Selbstregistrierte Hardware-Token
    Aktuell wird das WebAuthn-Verfahren unterstützt.
  • Stufe 3 „hoch“: Durch das HRZ nach Identifikation der Person zugeordnete Hardware-Token. Aktuell werden hier die Verfahren TOTP, HTOP und WebAuthn unterstützt.

Derzeit stellt das HRZ keine Hardware-Token zur Verfügung. Das HRZ hat jedoch einige Hardware-Token getestet. Unsere Erfahrungen dazu finden Sie im nächsten FAQ-Eintrag.

Wenn Sie Ihren Account mit einem Hardware-Token sichern möchten, müssen Sie diesen selbst beschaffen. Sie können diese Hardware-Token selbstständig in der 2FA-Verwaltung mit Ihrem Account verknüpfen.

Für bestimmte, hochkritische Anwendungen kann es erforderlich sein, dass die Zuordnung eines Tokens zu Ihrem Account vom HRZ bestätigt wird. Wenden Sie sich in diesem Fall bitte an .

Die Auswahl des passenden Hardware-Tokens hängt stark von Ihren spezifischen Anforderungen ab. Wir haben einige Token auf dem Markt getestet und möchten hier unsere Erfahrungen teilen.

Ich verwende 2FA nur für Dienste der TU Darmstadt, insbesondere am SSO.

Dieses Szenario trifft häufig auf Verwaltungsmitarbeitende zu, die nur relativ selten den zweiten Faktor nutzen müssen. In diesem Fall ist die manuelle Eingabe des zweiten Faktors akzeptabel.

Hierfür empfehlen wir einen TOTP-Token mit Display. Dieser erfordert keine weitere Hardwareanpassung und lässt sich auch mobil verwenden.

Beispielsweise haben wir den Token2 C302-i (ab ca. 22€) und den Feitian i34 C200 TOTP (ab ca. 13€) erfolgreich getestet.

Ich verwende 2FA auch mit externen Diensten (z.B. github) oder häufiger.

Dieses Szenario trifft vor allem auf IT-Admins oder Entwickler_innen zu.

Externe Dienste setzen zunehmend auf WebAuthn/Passkeys. Daher empfehlen wir einen Token, der dieses Feature unterstützt. Nachteil ist, dass diese mit dem Endgerät verbunden werden müssen. Daher muss zum einen ein Token passend zum Gerät gewählt werden (USB-A, USB-C, NFC). Zum anderen muss die Arbeitsumgebung evtl. angepasst werden (z.B. ist eine USB-Verlängerung und/oder ein Schlüsselband/Schlüsselrolle in manchen Situationen sinnvoll).

Für einige Dienste (z.B. VPN) ist WebAuthn nicht möglich. Daher muss der Token auch TOTP oder HOTP unterstützen.

Beispielsweise haben wir den Token2 PIN+ Release2 Serie (ab ca. 23 €) und die YubiKey 5 Serie (ab ca. 60 €) erfolgreich getestet. Beide gibt es z.B. auch in einer USB-C-Variante.

Ich habe bereits einen Token oder keiner der obigen Empfehlungen passt zu mir.

Grundsätzlich sind alle Token, die WebAuthn sowie entweder TOTP oder HOTP unterstützen, mit unserer Implementierung kompatibel. Wir empfehlen jedoch keine reinen WebAuthn-Token, da ein Login bei z.B. mit LDAP angebundenen Diensten dann nicht möglich ist. Wir haben auch über die genannten Modelle hinaus Erfahrungen gesammelt – sprechen Sie uns gerne an.

Wenn Sie sich für einen Hardware-Token entschieden haben, können Sie diesen eigenständig im System registrieren.

Dafür benötigen Sie einen unterstützten Hardware-Token. Wir gehen davon aus, dass dieser gemäß unserer Empfehlung sowohl WebAuthn als auch HOTP unterstützt.

Außerdem benötigen Sie zur Konfiguration der HOTP-Funktionalität eine herstellerspezifische Anwendung. Z.B. den Yubico Authenticator oder die TOKEN2 T2F2 Companion app. Bitte informieren Sie sich beim Hersteller Ihres Hardware-Tokens, wie dieser konfiguriert werden kann.

  • Zunächst aktivieren Sie 2FA an Ihrem Account entsprechend der obigen Anleitung.
  • Anschließend empfehlen wir, den Hardware-Token zunächst mit WebAuthn auszurollen.
  • Wenn Sie den Token erstmalig auf einer Webseite verwenden, müssen Sie dort auch eine PIN festlegen. Diese wird z. B. beim Registrieren auf einigen Webseiten benötigt.
  • Im nächsten Schritt rollen Sie einen HOTP-Token aus. Nach der Eingabe einer Beschreibung erhalten Sie einen privaten Schlüssel.
  • Mit der herstellerspezifischen Anwendung können Sie Ihren Hardware-Token mit diesem privaten Schlüssel konfigurieren.
  • Nach erfolgreicher Konfiguration müssen Sie dies durch Eingabe des OTP bestätigen. Dies erfolgt in der Regel durch Berührung des Hardware-Tokens. Je nach Konfiguration kann es notwendig sein, den Token für etwa 5 Sekunden lang zu berühren.

Aktuell wird der zweite Faktor nach der Registrierung bei allen Anmeldevorgängen am Single-Sign-On (SSO) der TU-Darmstadt abgefragt.

Damit sind alle an den SSO angeschlossenen Dienste automatisch geschützt, z.B. Gitlab, das IDM-Portal oder SAP Fiori.

Bei einigen Anwendungen (Jabber, VPN, Radius) ist eine Authentifizierung nur mit TOTP oder HOTP möglich. Stehen nur andere Token zur Verfügung, scheitert der Login.

Dienste, welche am Active Directory angeschlossen sind (z.B. die Rechneranmeldung und Exchange/Outlook), prüfen den zweiten Faktor aktuell noch nicht. Ebenso Microsoft 365.

Ja, Sie können auch Ihre TU-TechID durch einen zweiten Faktor sichern.

Bitte beachten Sie, dass ein Token nur einem Account zugeordnet sein kann.

Wenn Sie mehrere Token besitzen, bestimmt die Beschreibung die Reihenfolge der Token. Der alphabetisch erste Token wird standardmäßig ausgewählt.

Die Beschreibung können Sie in der 2FA-Verwaltung jederzeit ändern und so die Vorauswahl beeinflussen. Zum Beispiel können Sie „01 “ vor die Beschreibung des gewünschten Token setzen.

Wenn ein HOTP- oder TOTP-Token nicht mehr funktioniert, obwohl es vorher problemlos funktionierte, kann dies unter anderem daran liegen, dass das gemeinsame Wissen zwischen Server und Token nicht mehr übereinstimmt.

Neben dem privaten Schlüssel müssen sich der Server und Token über den aktuellen Zustand einig sein. Bei TOTP-Token ist dies die aktuelle Uhrzeit, bei HOTP-Token die Anzahl der bisherigen Nutzungen.

Es gibt zwar einen gewissen Spielraum, aber wenn die Uhr im TOTP-Token defekt ist oder der HOTP-Token zu häufig zwischen den Authentifizierungen betätigt wurde, kann es sein, dass die Zustände nicht mehr ausreichend übereinstimmen.

In diesem Fall müssen Sie den Token neu synchronisieren. Gehen Sie dafür wie folgt vor:

  • Loggen Sie sich zunächst in die 2FA-Verwaltung ein. Notfalls verwenden Sie dafür einen Ihrer Wiederherstellungscodes.
  • Wählen Sie den defekten Token aus.
  • Geben Sie in den beiden Feldern neben dem Button „Token resynchronisieren“ zwei aufeinanderfolgende OTP-Werte ein. Bei TOTP-Token müssen Sie evtl. einige Sekunden warten bis der nächste Wert angezeigt wird.
  • Klicken Sie anschließend „Token resynchronisieren“.
  • War der Vorgang erfolgreich, erscheint die Meldung „Token wurde erfolgreich resynchronisiert“. Ihr Token funktioniert jetzt wieder.

Es kann passieren, dass Sie Ihren Token verlieren. Ein Hardware-Token kann z. B. verloren gehen oder beschädigt werden, und ein Software-Token kann z. B. durch den Verlust des Geräts oder das Zurücksetzen des Betriebssystems verloren gehen.

In diesem Fall können Sie sich mit dem Wiederherstellungscode, den Sie bei der Registrierung erstellt haben, in der 2FA-Verwaltung anmelden und den alten Token löschen.

Dort können Sie auch einen neuen Token ausrollen.

Sobald die 2FA für einen Account aktiviert wurde, kann sie derzeit von den Nutzenden nicht wieder deaktiviert werden.

Möchten Sie die 2FA an Ihrem Account vollständig deaktivieren, wenden Sie sich bitte an . Im Rahmen der Deaktivierung werden wir Sie anhand eines Ausweisdokuments identifizieren, um einen Missbrauch Ihres Accounts auszuschließen.

Wenn Ihr Dienst über SSO angebunden ist, profitiert er bereits von der 2FA-Implementierung. Alle Nutzenden, die 2FA aktiviert haben, werden bei jedem Login nach dem zweiten Faktor gefragt.

Es ist auch möglich, nur Nutzende mit einem zweiten Faktor für Ihren Dienst zuzulassen. Dabei können Sie z. B. festlegen, ob alle Arten von Token erlaubt sind oder nur hardwarebasierte Token. Diese Konfiguration sollte idealerweise in enger Abstimmung mit uns durchgeführt werden. Sprechen Sie gerne an.

Wenn Sie im Besitz eines anderen Token sind, können Sie sich in der 2FA-Verwaltung selbstständig neue Wiederherstellungscodes erstellen lassen.

Sollten Sie jedoch keinen Zugriff mehr auf einen Token haben, muss die 2FA für Ihren Account deaktiviert werden.

Informationen zur Deaktivierung finden Sie im Abschnitt „Wie deaktiviere ich 2FA für meinen Account?“.