Zwei-Faktor-Authentisierung (2FA)
Aktuelle Informationen zur Einführung

Willkommen auf unserer Informationsseite zur Einführung der Zwei-Faktor-Authentisierung (2FA). Hier erhalten Sie aktuelle Informationen zur sicheren Anmeldung mit 2FA.

Hinweis

Wir empfehlen, mindestens zwei Token einzurichten. Optimal ist die Kombination eines TOTP auf dem Mobiltelefon und TOTP im Passwort-Manager.
Alternativ kann auch ein Hardware-Token als zweiter Faktor verwendet werden, insbesondere als Alternative für das Mobiltelefon. So bleibt der Zugriff auch bei Verlust oder Ausfall eines Tokens sichergestellt.

Ab 17.03.2026 ist die Zwei-Faktor-Authentisierung (2FA) für Single Sign-On (SSO) erforderlich. Ohne 2FA ist kein Login möglich. Nach Einrichtung stehen alle Dienste sofort wieder zur Verfügung.

Weitere Informationen sind auf unseren Webseiten zu finden:

Verpflichtender Einsatz der Zwei-Faktor-Authentisierung (2FA)

Zugriff auf zentrale Dienste nur noch mit Zwei-Faktor-Authentisierung ab 17.03.2026

Ab dem 30.03.2026 um 07:00 Uhr ist das Webmail-Interface https://webmail-linux.hrz.tu-darmstadt.de/ ausschließlich über eine VPN-Verbindung erreichbar, da eine Absicherung per 2FA nicht möglich ist (siehe Wartungsmeldung vom 4.3.2026).

Die zentrale E-Mail-Adresse im Groupware Service ist von dieser Änderung nicht betroffen.

Alle Mitglieder der TU Darmstadt wurden dazu aufgefordert, für ihre TU-ID die Zwei-Faktor-Authentisierung (2FA) bis 31.12.2025 zu aktivieren, um ihre Konten und die digitale Infrastruktur der Universität zu schützen.

Sollte die Pflicht bisher nicht erfüllt worden sein, ergeben sich daraus nun entsprechende Konsequenzen.

News vom 12.02.2026

Ab März 2026 ist für die Anmeldung an zentralen Diensten die Zwei-Faktor-Authentisierung (2FA) verpflichtend. Wenn Sie bis dahin 2FA nicht aktiviert haben, können Sie diese Dienste vorübergehend nicht mehr nutzen. Die 2FA lässt sich weiterhin jederzeit wie gewohnt aktivieren (Anleitung), und nach der Einrichtung stehen Ihnen alle zentralen Dienste sofort wieder zur Verfügung.

Ab Juli 2026 erfolgt die Sperrung aller Accounts ohne aktivierte 2FA. Dies bedeutet, dass ein Zugriff auf die mit dem Account verbundenen zentralen Dienste nicht mehr möglich ist. Damit ist auch eine nachträgliche eigenständige Aktivierung der 2FA nicht mehr möglich. Die Entsperrung kann ausschließlich über den HRZ Service erfolgen. Bitte beachten Sie, dass die Reaktivierung mehrere Tage in Anspruch nehmen kann. In dieser Zeit stehen Ihnen die betroffenen Dienste nicht zur Verfügung.

Am 09. März 2026 wird im Rahmen der Zwei-Faktor-Authentisierung nun auch die virtuelle Desktop-Umgebung (vDesk) auf eine Anmeldung mit verpflichtendem zweitem Faktor umgestellt. Damit ist der Zugriff auf vDesk.tu-darmstadt.de außerhalb des TU-Netzes ausschließlich mit einem zweiten Faktor möglich (siehe Newsmeldung).

TUCaN wird im Rahmen eines umfangreichen System-Updates an das zentrale Single Sign On (SSO) der TU Darmstadt angebunden. Dadurch wird künftig die im IDM Portal eingerichtete Zwei-Faktor-Authentisierung (2FA) auch für die Anmeldung an TUCaN genutzt.

Für die Umsetzung dieser Änderungen ist eine technische Umstellung erforderlich. Daher steht TUCaN vom 2. bis 6. Februar 2026 nicht zur Verfügung.

Ab 20. Januar 2026 ist der administrative Zugriff auf Mailinglisten nur noch über das interne Netzwerk oder VPN möglich. Sobald die 2FA am zentralen VPN obligatorisch eingeführt wird, ist ein administrativer Login ohne aktivierte 2FA nicht mehr möglich (siehe Newsmeldung (wird in neuem Tab geöffnet)).

Ab 31.12.2025 ist das HRZ-Medienportal nur noch aus dem TU-internen Netzwerk erreichbar. Externe Zugriffe erfordern eine VPN-Verbindung (siehe Newsmeldung (wird in neuem Tab geöffnet)).

Bei aktivierter Zwei-Faktor-Authentisierung (2FA) setzt Cisco Jabber (wird in neuem Tab geöffnet) (Telefonie, Chat-Funktion, Video-Call) zwingend einen TOTP- oder HOTP-Token voraus. Hintergrund ist, dass Cisco Jabber keine WebAuthn-basierte Anmeldung unterstützt und daher nur über TOTP- oder HOTP-Token abgesichert werden kann (siehe Newsmeldung (wird in neuem Tab geöffnet)).

Der Anschluss von TUCaN an das zentrale SSO (Single Sign-On) der TU Darmstadt verzögert sich und ist nun voraussichtlich ab Februar 2026 möglich. Danach kann auch für die Anmeldung an TUCaN der im IDM-Portal eingerichtete zweite Faktor genutzt werden.

Die TUDa App bietet ab sofort ein eigenes Modul zur Erzeugung von One-Time-Passwords für die Zwei-Faktor-Authentisierung (siehe Newsmeldung)

Als zusätzliche Option für die Erzeugung der benötigten Einmal-Passwörter (TOTP) möchten wir die App 2Fast (für Windows) vorstellen. Sie bietet eine einfache und leicht verständliche Alternative, bspw. zum Passwort-Manager KeePass. Eine Anleitung finden Sie ab sofort auf unserer Anleitungsseite (unter Option 5).

Für vom HRZ verwaltete PCs ist die Software zudem im Software-Depot verfügbar.

Auf der Anleitungsseite steht ab sofort eine Kurzanleitung zur Option „Windows Hello“ zur Verfügung.

Ab sofort stehen im zentralen VPN-Gateway der TU Darmstadt zwei neue Profile mit Zwei-Faktor-Authentifizierung (2FA) zur Verfügung: „extern_2fa“ und „campus_2fa“. Diese ermöglichen den sicheren Zugriff über TOTP- oder HOTP-Token. Nutzen Sie die Übergangsphase, um Ihre Token-Funktionalität zu testen und sich optimal auf die endgültige Umstellung vorzubereiten. Weitere Informationen und Anleitungen finden Sie in unseren News vom 22.10.2025: 2FA-Zugang für zentrales TU VPN-Gateway

Eine neue HRZ-News erläutert, wie Zwei-Faktor-Authentifizierung unbefugte Zugriffe wirksam verhindert und warum der Einsatz an der TU Darmstadt erforderlich ist. Zur Wirksamkeit von 2FA – oder: Warum wir das machen müssen

Die FAQ wurden außerdem um weitere Fragen und Hinweise zur Nutzung von 2FA ergänzt.

Die FAQ wurden ergänzt, um weitere hilfreiche Informationen bereitzustellen.

Die TU Darmstadt schützt Ihre Daten und unsere digitale Infrastruktur: Ab sofort bis Ende 2025 verpflichtend – 2FA für alle von außen erreichbaren Systeme. Erfahren Sie, wie einfach Sie Ihre TU-ID absichern und warum der zusätzliche Faktor Ihre Sicherheit deutlich erhöht. HRZ News vom 15.09.2025

FAQ

Allgemeine Fragen

2FA ist für alle TU-IDs und TU-TechIDs nutzbar. Sie können sich selbst in der 2FA-Verwaltung registrieren und Ihren Account ab sofort schützen.

Die Funktion der 2FA kann auch für TU-IDs genutzt werden, welche sich in der Nachlaufzeit befinden.

Eine Anleitung zur Einrichtung von 2FA steht auf der Webseite Einrichten der Zwei-Faktor-Authentisierung zur Verfügung.

Ja, Sie können auch Ihre TU-TechID durch einen zweiten Faktor sichern.

Bitte beachten Sie, dass ein Token nur einem Account zugeordnet sein kann.

  • Neben einer aktiven TU-ID benötigen Sie noch ein Gerät, welches das Einmalpasswort generiert. Das kann entweder ein dediziertes Gerät sein (Hardware-Token) oder eine Software auf einem PC, Smartphone o.ä. (Software-Token).
    Ein Software-Token kann sowohl auf einem dienstlichen als auch auf einem privaten Gerät verwendet werden. Entsprechende Anwendungen sind für alle gängigen Betriebssysteme verfügbar, etwa der Privacy Identity Authenticator für Android und iOS oder KeePassXC für Windows.
  • Eine Anleitung zur Einrichtung von 2FA steht auf der Webseite Einrichten der Zwei-Faktor-Authentisierung zur Verfügung.
  • Zum Anmelden am SSO benötigen Sie eine Internetverbindung.

Durch die Aktivierung wird bei jedem Login am Server der zweite Faktor abgefragt. Dadurch wird die Sicherheit Ihres Accounts erhöht und es wird erschwert, dass Angreifer Zugriff auf Ihren Account erhalten. Zudem üben Sie so regelmäßig die Nutzung des zweiten Faktors.

Dieser zusätzliche Login sollte bei normaler Nutzung etwa ein- bis zweimal täglich erforderlich sein.

Einen Basisschutz durch einen von Ihnen selbst registrierten zweiten Faktor, können Sie jederzeit für Ihre TU-ID aktivieren.

Eine Anleitung zur Einrichtung von 2FA steht auf der Webseite Einrichten der Zwei-Faktor-Authentisierung zur Verfügung.

Das lässt sich nicht pauschal beantworten und hängt von den persönlichen Fähigkeiten und Umständen ab. Wenn bereits ein Passwortmanager im Einsatz ist, und ein Mobiltelefon zusätzlich zur Verfügung steht ggf. mit bereits installierter Authenticator App – dann dauert die Einrichtung ca. 5-10 Minuten. Ist dies nicht der Fall, sollten Sie für die Einrichtung ca. 30 Minuten einplanen.

Ja, es wird empfohlen, zwei unabhängige 2FA-Token zu aktivieren. Am besten ist die Kombination aus App auf dem Mobiltelefon und einem im Passwortmanager hinterlegten Token. Ein Hardware-Token ist in der Regel nicht erforderlich, kann aber als Alternative zum Mobiltelefon dienen, wenn kein Diensthandy verfügbar ist, oder kein privates Mobiltelefon genutzt werden soll.

Nein, aber ein privates Smartphone darf genutzt werden (was vielen Nutzenden auch aus Bequemlichkeitsgründen entgegenkommt). Diejenigen, die das nicht wollen und auch kein dienstliches Telefon haben kann ein Hardwaretoken beschafft werden. Die Beschaffung erfolgt wie für alle Dienstlichen Arbeitsgeräte.

Wenn Sie im Besitz eines anderen Token sind, können Sie sich in der 2FA-Verwaltung selbstständig neue Wiederherstellungscodes erstellen lassen.

Sollten Sie jedoch keinen Zugriff mehr auf einen Token haben, muss die 2FA für Ihren Account deaktiviert werden.

Informationen zur Deaktivierung finden Sie im Abschnitt „Wie deaktiviere ich 2FA für meinen Account?“.

Sobald die 2FA für einen Account aktiviert wurde, kann sie derzeit von den Nutzenden nicht wieder deaktiviert werden.

Möchten Sie die 2FA an Ihrem Account vollständig deaktivieren, wenden Sie sich bitte an den HRZ Service. Im Rahmen der Deaktivierung werden wir Sie anhand eines Ausweisdokuments identifizieren, um einen Missbrauch Ihres Accounts auszuschließen.

Unter Umständen kann man sich dann nicht mehr bei den Diensten der TU Darmstadt einloggen. Daher wird auch immer die Einrichtung mindestens eines zweiten unabhängigen Faktors empfohlen. Außerdem ist es möglich, beliebig viele Token zu registrieren.

Token

Ein Token ist ein Sicherheitsbaustein, der es ermöglicht, die eigene Identität (TU-ID) mit einem zweiten Faktor zu verifizieren.

Ein Token gibt es sowohl als Software- oder auch als Hardware-Variante.

Sie können Ihrem Account mehrere Token zuweisen.

Die an der TU Darmstadt angebotenen Dienste können aus Sicherheitsgründen verlangen, dass sich Benutzer mit einem bestimmten Token authentifizieren. Ein vergleichbares Vorgehen kennen Sie vielleicht von Bankanwendungen, die ebenfalls die Nutzung eines bestimmten Tokens für Ihre Online-Dienste vorschreiben.

Je nach Sicherheitsniveau werden Token in verschiedene Stufen einsortiert. Ein Token ist auch immer in der/den niedrigeren Stufen gültig.

Die angeschlossenen Anwendungen können Token einer gewissen Stufe erfordern.

  • Stufe 1 „basis“: Selbstregistrierte Software-Token
    Aktuell wird das TOTP-Verfahren unterstützt.
  • Stufe 2 „mittel“: Selbstregistrierte Hardware-Token
    Aktuell wird das WebAuthn-Verfahren unterstützt.
  • Stufe 3 „hoch“: Durch das HRZ nach Identifikation der Person zugeordnete Hardware-Token. Aktuell werden hier die Verfahren TOTP, HTOP und WebAuthn unterstützt.

Das hängt von den Sicherheitsanforderungen der jeweiligen Dienste und der darin verarbeiteten Daten ab und liegt in der Verantwortung der jeweiligen Dienstbetreiber.

Die Token-Stufen dienen der Vorbereitung auf zukünftige Anforderungen. Aktuell ist kein Zwang zur Nutzung einer höheren Token-Stufe bei allgemeinen Diensten vorgesehen.

Aktuell unterstützt das HRZ folgende Verfahren:

  • TOTP – Time-based One-time Password
    Regelmäßig wechselnde Ziffernfolge basierend auf einem gemeinsamen Geheimnis von Server und Client. Dieser ist in der 2FA-Verwaltung durch die Nutzenden selbst registrierbar.
  • HOTP – HMAC-based One-time Password
    Ähnlich zu TOTP, aber auf Basis eines Zählers, statt der aktuellen Zeit. Daher in Hardware leichter implementierbar.
  • WebAuthn
    Es handelt sich um ein modernes Verfahren für zweite Faktoren. Es wird von vielen Betriebssystemen von Haus aus unterstützt. Dort ist dann z.B. die Nutzung eingebauter Biometrie möglich. Darüber hinaus sind auch Hardware-Implementierungen auf dem Markt verfügbar. Leider ist das Protokoll für Web-Authentifizierung optimiert und für die Anmeldung über Radius oder LDAP z.B. an Servern nur bedingt geeignet.
  • TAN
    Für den Notfallzugriff auf die 2FA-Verwaltung wird Ihnen am Anfang der Registrierung ein TAN-Token erstellt. Diese Einmal-Codes sind nur für den Login in der 2FA-Verwaltung gültig. Sie dienen als Notfallzugang im Falle des Verlustes der anderen Tokens.

Derzeit stellt das HRZ keine Hardware-Token zur Verfügung. Das HRZ hat jedoch einige Hardware-Token getestet. Unsere Erfahrungen dazu finden Sie im nächsten FAQ-Eintrag.

Wenn Sie Ihren Account mit einem Hardware-Token sichern möchten, müssen Sie diesen selbst beschaffen. Sie können diese Hardware-Token selbstständig in der 2FA-Verwaltung mit Ihrem Account verknüpfen.

Für bestimmte, hochkritische Anwendungen kann es erforderlich sein, dass die Zuordnung eines Tokens zu Ihrem Account vom HRZ bestätigt wird. Wenden Sie sich in diesem Fall bitte an .

Die Auswahl des passenden Hardware-Tokens hängt stark von Ihren spezifischen Anforderungen ab. Wir haben einige Token auf dem Markt getestet und möchten hier unsere Erfahrungen teilen.


Ich verwende 2FA nur für Dienste der TU Darmstadt, insbesondere am SSO

Dieses Szenario trifft häufig auf Verwaltungsmitarbeitende zu, die nur relativ selten den zweiten Faktor nutzen müssen. In diesem Fall ist die manuelle Eingabe des zweiten Faktors akzeptabel.

Hierfür empfehlen wir einen TOTP-Token mit Display. Dieser erfordert keine weitere Hardwareanpassung und lässt sich auch mobil verwenden.


Folgende Modelle haben wir erfolgreich getestet:

  • Token2 C302-i (ab ca. 22€)
  • Feitian i34 C200 TOTP (ab ca. 13€)
    Bitte beachten Sie: Die Einrichtung dieses Tokens kann nicht selbstständig vorgenommen werden, sondern ausschließlich mit Unterstützung des HRZ. Weiterführende Informationen zum Vorgehen finden Sie in Kürze hier.


Ich verwende 2FA auch mit externen Diensten (z.B. github) oder häufiger

Dieses Szenario trifft vor allem auf IT-Admins oder Entwickler_innen zu.

Externe Dienste setzen zunehmend auf WebAuthn/Passkeys. Daher empfehlen wir einen Token, der dieses Feature unterstützt. Nachteil ist, dass diese mit dem Endgerät verbunden werden müssen. Daher muss zum einen ein Token passend zum Gerät gewählt werden (USB-A, USB-C, NFC). Zum anderen muss die Arbeitsumgebung evtl. angepasst werden (z.B. ist eine USB-Verlängerung und/oder ein Schlüsselband/Schlüsselrolle in manchen Situationen sinnvoll).

Für einige Dienste (z.B. VPN) ist WebAuthn nicht möglich. Daher muss der Token auch TOTP oder HOTP unterstützen.


Folgende Modelle haben wir erfolgreich getestet. Beide gibt es z.B. auch in einer USB-C-Variante:


Ich habe bereits einen Token oder keiner der obigen Empfehlungen passt zu mir

Grundsätzlich sind alle Token, die WebAuthn sowie entweder TOTP oder HOTP unterstützen, mit unserer Implementierung kompatibel. Wir empfehlen jedoch keine reinen WebAuthn-Token, da ein Login bei z.B. mit LDAP angebundenen Diensten dann nicht möglich ist. Wir haben auch über die genannten Modelle hinaus Erfahrungen gesammelt – sprechen Sie uns gerne an.

Wenn Sie sich für einen Hardware-Token entschieden haben, können Sie diesen eigenständig im System registrieren.

Dafür benötigen Sie einen unterstützten Hardware-Token. Wir gehen davon aus, dass dieser gemäß unserer Empfehlung sowohl WebAuthn als auch HOTP unterstützt.

Außerdem benötigen Sie zur Konfiguration der HOTP-Funktionalität eine herstellerspezifische Anwendung. Z.B. den Yubico Authenticator oder die TOKEN2 T2F2 Companion app. Bitte informieren Sie sich beim Hersteller Ihres Hardware-Tokens, wie dieser konfiguriert werden kann.

  • Zunächst aktivieren Sie 2FA an Ihrem Account entsprechend der obigen Anleitung.
  • Anschließend empfehlen wir, den Hardware-Token zunächst mit WebAuthn auszurollen.
  • Wenn Sie den Token erstmalig auf einer Webseite verwenden, müssen Sie dort auch eine PIN festlegen. Diese wird z. B. beim Registrieren auf einigen Webseiten benötigt.
  • Im nächsten Schritt rollen Sie einen HOTP-Token aus. Nach der Eingabe einer Beschreibung erhalten Sie einen privaten Schlüssel.
  • Mit der herstellerspezifischen Anwendung können Sie Ihren Hardware-Token mit diesem privaten Schlüssel konfigurieren.
  • Nach erfolgreicher Konfiguration müssen Sie dies durch Eingabe des OTP bestätigen. Dies erfolgt in der Regel durch Berührung des Hardware-Tokens. Je nach Konfiguration kann es notwendig sein, den Token für etwa 5 Sekunden lang zu berühren.

Sie können die Vorauswahl gezielt beeinflussen, indem Sie die Beschreibung eines Tokens in der 2FA-Verwaltung anpassen. Fügen Sie z. B. „000 “ an den Anfang der Beschreibung des gewünschten Tokens ein, damit dieses in der Liste ganz oben erscheint und als Standard ausgewählt wird.

Es wird eine Vielzahl gängiger Verfahren unterstützt. Nutzende können nach ihren eigenen Präferenzen wählen, welches Verfahren sie verwenden möchten, und können verschiedene Verfahren auch beliebig kombinieren.

Zukünftig werden auch Passkeys unterstützt werden, allerdings gibt es dafür derzeit noch keine konkrete Roadmap.

Dienste

Aktuell wird der zweite Faktor nach der Registrierung bei allen Anmeldevorgängen am Single-Sign-On (SSO) der TU-Darmstadt abgefragt.

Damit sind alle an den SSO angeschlossenen Dienste automatisch geschützt, z.B. Gitlab, das IDM-Portal oder SAP Fiori.

Bei einigen Anwendungen (Jabber, VPN, Radius) ist eine Authentifizierung nur mit TOTP oder HOTP möglich. Stehen nur andere Token zur Verfügung, scheitert der Login.

Dienste, welche am Active Directory angeschlossen sind (z.B. die Rechneranmeldung und Exchange/Outlook), prüfen den zweiten Faktor aktuell noch nicht. Ebenso Microsoft 365.

Nein. Die Anbindung von TUCaN an das zentrale Single Sign On (SSO) erfolgt im Rahmen eines umfangreichen System-Updates, das vom 2. bis 6. Februar 2026 durchgeführt wird. Bis dahin ist eine Anmeldung mit 2FA für TUCaN nicht möglich.

Ja. Der zentrale VPN-Zugang (Cisco AnyConnect) wird ebenfalls mit der Zwei-Faktor-Authentifizierung (2FA) abgesichert. Für die Nutzenden ist dabei keine zusätzliche Aktion erforderlich. Die 2FA-Absicherung wird im neuen Jahr aktiviert. Die bereits für die jeweilige TU-ID hinterlegten 2FA-Token gelten dann automatisch auch für den VPN-Zugang.

Hier befinden wir uns noch in der Klärung möglicher Umsetzungen. Das IMAP-Protokoll unterstützt technisch keine Zwei-Faktor-Authentifizierung (2FA).

Wahrscheinlich ist eine Umsetzung auf Basis gerätespezifischer Passwörter, wie sie auch bei vielen kommerziellen E-Mail-Providern eingesetzt wird. Eine entsprechende Information erfolgt, sobald der konkrete Umsetzungsweg feststeht.

Wenn Ihr Dienst über SSO angebunden ist, profitiert er bereits von der 2FA-Implementierung. Alle Nutzenden, die 2FA aktiviert haben, werden bei jedem Login nach dem zweiten Faktor gefragt.

Es ist auch möglich, nur Nutzende mit einem zweiten Faktor für Ihren Dienst zuzulassen. Dabei können Sie z. B. festlegen, ob alle Arten von Token erlaubt sind oder nur hardwarebasierte Token. Diese Konfiguration sollte idealerweise in enger Abstimmung mit uns durchgeführt werden. Sprechen Sie gerne an.

Weitere Fragen

Wenn ein HOTP- oder TOTP-Token nicht mehr funktioniert, obwohl es vorher problemlos funktionierte, kann dies unter anderem daran liegen, dass das gemeinsame Wissen zwischen Server und Token nicht mehr übereinstimmt.

Neben dem privaten Schlüssel müssen sich der Server und Token über den aktuellen Zustand einig sein. Bei TOTP-Token ist dies die aktuelle Uhrzeit, bei HOTP-Token die Anzahl der bisherigen Nutzungen.

Es gibt zwar einen gewissen Spielraum, aber wenn die Uhr im TOTP-Token defekt ist oder der HOTP-Token zu häufig zwischen den Authentifizierungen betätigt wurde, kann es sein, dass die Zustände nicht mehr ausreichend übereinstimmen.

In diesem Fall müssen Sie den Token neu synchronisieren. Gehen Sie dafür wie folgt vor:

  • Loggen Sie sich zunächst in die 2FA-Verwaltung ein. Notfalls verwenden Sie dafür einen Ihrer Wiederherstellungscodes.
  • Wählen Sie den defekten Token aus.
  • Geben Sie in den beiden Feldern neben dem Button „Token resynchronisieren“ zwei aufeinanderfolgende OTP-Werte ein. Bei TOTP-Token müssen Sie evtl. einige Sekunden warten bis der nächste Wert angezeigt wird.
  • Klicken Sie anschließend „Token resynchronisieren“.
  • War der Vorgang erfolgreich, erscheint die Meldung „Token wurde erfolgreich resynchronisiert“. Ihr Token funktioniert jetzt wieder.

Es kann passieren, dass Sie Ihren Token verlieren. Ein Hardware-Token kann z. B. verloren gehen oder beschädigt werden, und ein Software-Token kann z. B. durch den Verlust des Geräts oder das Zurücksetzen des Betriebssystems verloren gehen.

In diesem Fall können Sie sich mit dem Wiederherstellungscode, den Sie bei der Registrierung erstellt haben, in der 2FA-Verwaltung anmelden und den alten Token löschen.

Dort können Sie auch einen neuen Token ausrollen.

Nein, SSH darf auch zukünftig ohne 2FA genutzt werden. Das hier verwendete public key cryptography sorgt bereits dafür, dass zwei Faktoren zur Sicherung verwendet werden.

Öffentliche Systeme, die keine Authentisierung benötigen, benötigen auch kein 2FA. Wenn der App-Token nur zur Ratelimitierung da sind, ist das unnötig.

M2M Kommunikation ist von 2FA nicht betroffen. 2FA dient der Sicherung von Nutzeraccounts.

Der Nitro Key ist derzeit inkompatibel und wird daher nicht empfohlen.

Nein, das entspricht nicht der Definition von Zwei-Faktor-Authentifizierung (2FA). Der zweite Faktor muss eindeutig personengebunden sein und darf nicht nur temporär zugeordnet werden.

Es ist jedoch akzeptabel, dass Dienste, deren Erreichbarkeit auf das Netz der TU Darmstadt beschränkt ist, keine 2FA erfordern. Dies liegt daran, dass der Zugang zum Netz der TU Darmstadt grundsätzlich durch 2FA oder vergleichbare Maßnahmen (z. B. gerätespezifische WLAN-Passwörter) abgesichert ist.

Nein, der Timeout ist unabhängig von der Zwei-Faktor-Authentifizierung (2FA) und hat andere technische und sicherheitsrelevante Hintergründe.

Die Verwendung eigener Endgeräte (wie bspw. Smartphones) für die Erzeugung der Einmal-Codes für die 2FA Anmeldung ist grundsätzlich erlaubt.


Studierende, die elektronische Prüfungen (E-Prüfungen) entweder in den PC-Pools der TU Darmstadt oder auf ihren eigenen Endgeräten absolvieren, werden gebeten, mindestens ein TOTP-Token auf einem zweiten Gerät (z. B. Smartphone oder Hardware-Token) bereitzuhalten. Dieser Token wird benötigt, um sich vor Beginn der Prüfung anmelden zu können.


Sollte der eigene Token während der Prüfung ausfallen, stehen Ersatzzugänge zur Verfügung, damit die Teilnahme an der Prüfung weiterhin möglich ist.


Weitere Informationen finden Sie unter Notwendige Zugangsdaten auf den Webseiten der Hochschuldidaktischen Arbeitsstelle (HDA) (wird in neuem Tab geöffnet).