FAQ zur 2-Faktor-Authentisierung (2FA)

Brauche ich einen 2. Token?

Nein, zwingend notwendig ist ein 2. Token nicht, aber wenn Sie z. B. Ihren Token verlieren oder vergessen, ist es sinnvoll, einen 2. Token zu haben, bspw. auch, wenn Sie ein neues Mobiltelefon bekommen und keinen Zugriff mehr auf Ihr altes haben.
Der 2. Token kann dann auch auf einem nichtmobilen Gerät installiert werden, da Sie ihn im Normalfall nur brauchen um einen neuen Token auf einem neuen mobilen Gerät zu aktivieren.
Wenn Sie dann kein 2. Token haben, können Sie das Problem nicht selbst lösen, sondern müssen sich an den IT-Support wenden.

Wenn Sie über kein 2. Gerät verfügen, können Sie auch den angezeigten QR-Code ausdrucken und sicher verwahren. Mit dem ausgedruckten QR-Code können Sie auch später einen neuen Token aktivieren.

Ich habe den 2. Faktor aktiviert, werde aber nicht danach gefragt?

Es kann bis zu 1 Stunde dauern, bis die Systeme synchronisiert sind, auf der privacyIDEA-Seite können Sie aber sofort nach Aktivierung überprüfen, ob Ihr Token funktioniert.
Sollte der 2. Faktor in den SSO-Systemen aber nach 24 Stunden noch nicht abgefragt werden, dann wenden Sie sich bitte an den IT-Support.

Mein Token funktioniert nicht, was kann ich tun?

Haben Sie im Zuge der Aktivierung auch den letzten Schritt, die Verifizierung durchgeführt?
Wenn nein, dann rufen Sie den IT-Support unter der DW 7000 an und geben Sie den Code durch, den Ihr Token anzeigt, dann kann die Verifizierung für Sie auch nachträglich durchgeführt werden.
Wenn ja (oder Ihr Token bereits funktioniert hat), dann überprüfen Sie, ob die Zeit auf Ihrem Gerät richtig eingestellt ist: Wenn auch das korrekt ist, dann verwenden Sie unsere Support-Seite um das Problem zu melden, wir raten auch auf jeden Fall einen 2. Token einzurichten!

Brauche ich den 2. Faktor auch vor Ort an der TU Graz?

Wenn Sie sich an Systemen anmelden wollen, die an das SSO-System angebunden sind, brauchen Sie auch vor Ort an der TU Graz einen 2. Faktor, das kann aber auch die ID Austria oder die Desktop-App sein.

Ich verwende schon die ID Austria, brauche ich noch eine 2FA-Lösung?

Wenn Sie VPN nicht verwenden, sondern sich nur per SSO anmelden müssen, dann reicht die ID Austria, die in unsere SSO-Systeme integriert ist.
Es ist aber sinnvoll zusätzlich die 2FA-Lösung der TU Graz zu aktivieren, falls es Verfügbarkeitsprobleme mit der ID Austria geben sollte.

Werden Daten zur TU Graz übertragen, wenn ich mein privates Smartphone verwende?

Nein, es werden zu keinem Zeitpunkt Daten zur TU Graz übertragen, auch die Telefonnummer ist für die 2-Faktor-Authentisierung nicht relevant.
Im Zuge der Aktivierung werden beim Scannen des QR-Codes Daten vom Server auf das Smartphone übertragen, damit das Smartphone zeitbasiert Ihren individuellen Code berechnen kann. Diese Berechnung erfolgt dann lokal am Smartphone, d. h. es ist nicht einmal eine Internetverbindung notwendig.

Entstehen bei der Nutzung der App (am privaten Mobiltelefon) Kosten?

Nein, die empfohlenen Apps sind gratis und bei der Nutzung entstehen auch keine Kosten, weil keine Datenübertragung stattfindet, die Berechnung des Einmal-Kennworts erfolgt lokal am Smartphone, Tablet etc.
Das bedeutet auch, dass das Smartphone, Tablet etc. keine Internetverbindung braucht, nur die Zeit muss mit der Zeit des Servers synchron sein (unterschiedliche Zeitzonen werden berücksichtigt): Natürlich braucht die App etwas Speicherplatz und bei der Verwendung wird minimal Strom verbraucht.

Wie oft muss man sich anmelden?

Die Einführung des 2. Faktors ändert nichts daran, wie oft Sie sich anmelden müssen, das bleibt ganz genau so, wie bisher, nur muss im Zuge jeder Anmeldung im SSO-System in einem weiteren Fenster auch der zweite Faktor eingegeben werden.
Da es sich dabei um ein Einmal-Kennwort (OTP) handelt, kann der 2. Faktor nicht im Browser abgespeichert werden.

Welche App kann verwendet werden?

Alle Apps, die die Methoden an der TU Graz unterstützen, sind geeignet.
Wir empfehlen (und unterstützen) folgende Apps:
(Mit Ihrem Smartphone oder Tablet scannen Sie einfach den jeweiligen QR-Code)
  1. privacyIDEA für
    • Android 5.0 oder höher
    • iOS/iPadOS 14.1 oder höher
    • macOS 11.0 oder höher mit M1- oder M2-Chip
    • Android ohne Google-Play-Store
  2. FreeOTP für
  3. FreeOTP+ für

Weitere Apps

Ab Mitte März 2024 sind auch Apps, die nur SHA1 unterstützen, möglich.

Für SSO-Anmeldungen kann die ID Austria als alternative 2-Faktor-Lösung eingesetzt werden.

Funktioniert die App auch im Ausland?

Wichtig ist, dass Sie die Zeit entweder automatisch beziehen oder nur die Zeitzone und nicht die Zeit händisch umstellen, dann funktioniert die App auch im Ausland in einer anderen Zeitzone.

Wie kann ich einen Token in der App schützen?

Sie sollten die Token in der App schützen, damit nicht jemand Zugriff erhält, wenn das Mobiltelefon unversperrt ist.
In der App privayIdea wischen Sie dazu das entsprechende Token nach Links und aktivieren dann Sperren.

Token sperren

Nun ist Ihr Token durch Fingerabdruck etc. gesichert und wird damit zu einer Multi-Faktor-Auhentisierung (MFA), statt des Codes werden nun nur 6 Punkte angezeigt:

Code gesperrt

Erst wenn Sie den Token anklicken und z.B. mit Fingerabdruck freischalten, wird Ihnen der Code angezeigt:

Code freigegeben

Wie sichere ich mich ab, dass ich (immer) Zugriff auf ein Einmal-Kennwort habe?

  • Wir empfehlen Ihnen, wenn möglich, mindestens ein zweites Gerät (2. Smartphone, Smartwatch, Tablet etc.) als Backup zu verwenden und auf diesem Gerät einen weiteren Token zu aktivieren.
    Zur Information:
    • Es stehen pro Benutzer*in jeweils 4 Token zur Verfügung.
    • Alle Token können als 2. Faktor verwendet werden.
  • Wichtig zu wissen: Solange Sie noch Zugriff auf einen Ihrer Token haben, können Sie sich damit auf der privacyIDEA-Webseite anmelden und dort einen neuen QR-Code zur Aktivierung einer 2FA-App generieren (siehe nächster Punkt).

Wie viele Token kann ich anlegen?

Es stehen Benutzer*innen jeweils 4 TOTP-Token zur Verfügung. Diese können gleichzeitig aktiv sein und beliebig bei einer Anmeldung verwendet werden.

Kann ich einen Token löschen?

Nein, eine Löschung von Token durch den Benutzer*innen ist nicht möglich, weil nach (irrtümlicher) Löschung des letzten Tokens auch der Zugang zu allen mit 2. Faktor abgesicherten Systemen verloren geht.
Eine Löschung von Token kann über die Webseite https://2fa.tugraz.at im Reiter Support beantragt werden.

Ich habe bereits 4 Token und will einen davon tauschen?

Wenn Sie bereits 4 Token haben und nun aber zu einem die Hardware (z. B. das Smartphone) tauschen wollen, müssen Sie zuerst das Token, das zu dieser Hardware gehört, löschen:
  1. Voraussetzung: Sie haben noch einen weiteren aktiven Token.
  2. Lassen Sie den bestehende Token (bitte die Seriennummer oder Beschreibung angeben) löschen.

    Seriennummer

Danach können Sie mit einem aktiven Token einen weiteren Token aktivieren.

Ich habe mehrere Token, welcher muss verwendet werden?

Alle Token sind Ihnen zugeordnet und Sie können jeden davon verwenden, auch abwechselnd.

Was mache ich, wenn ich keinen Zugriff auf einen Token habe?

Wenn Sie z. B. Ihr Smartphone zu Hause vergessen haben und keinen Zugriff auf einen Token haben, können Sie wie folgt vorgehen:
  • Innerhalb der TU Graz verwenden Sie normalerweise weder VPN noch RDS sondern nur SSO und in allen mit SSO verbundenen Systemen können Sie auch die ID Austria zur Anmeldung verwenden, falls Sie darauf (z. B. auf einem anderen Smartphone) Zugriff haben.
  • Sonst holen Sie sich beim IT-Support am ZID-Servicepoint in der BMT gegen Vorlage eines amtlichen Lichtbild- bzw. Mitarbeiterausweises leihweise einen Hardware-Token. Ein Pfand von 10 Euro ist dafür zu hinterlegen.
    Das sogenannte Pairing – also die Bindung des Hardware-Tokens zu Ihnen als Person – wird unmittelbar vom IT-Support eingerichtet.
    Nach Abschluss des Pairings können Sie die 2FA sofort mithilfe des Hardware-Tokens durchführen.

Schützt mich der 2. Faktor immer?

Nein, gegen eine Man-in-the-Middle-Attacke (MitM) schützt der 2. Faktor nicht. D. h. wenn es jemand schafft, dass Sie sowohl Ihren Usernamen, Ihr Kennwort und Ihren 2. Faktor auf einer gefälschten Seite eingeben, dann hat der Angreifer einige Sekunden Zeit sich mit diesen Daten selbst anzumelden und damit z. B. Zugriff auf all Ihre E-Mails zu bekommen, das kann auch voll automatisch ablaufen.
Es ist daher weiter unbedingt notwendig, dass Sie genau darauf achten, wo Sie Ihre Daten eingeben!

Gibt es zugehörigen Support?

Der IT-Support kann bei Fragen und Problemen unterstützen. Benutzer*innen können sich insgesamt 4 Token, entweder auf demselben Gerät in einer oder mehreren Apps einrichten bzw. auf verschiedenen Geräten (z. B. Smartphone und Tablet). Damit kann ein Verlust eines Tokens/Geräts durch Benutzer*innen selbst abgefangen werden.

Ist ein stabiler Betrieb garantiert?

Die Server der 2-Faktor-Lösung privacyIDEA sind hoch verfügbar ausgeführt und werden in einer ebenfalls hochverfügbaren virtuellen Infrastruktur betrieben.
Alle Systeme, die den 2. Faktor nutzen (dies sind der VPN-Zugang, der Remote Desktop-Zugang RDS und die Single-Sign-On-Systeme) sind ebenso in einem hochverfügbaren Setup ausgeführt.

Wie steht es mit der Verfügbarkeit der Token?

Registrierungscodes für Token werden einmalig ausgerollt. Bei der 2FA-Aktivierung wird eine Bindung des Tokens zu einem/einer Benutzer*in hergestellt – diesen Vorgang nennt man Pairing. Nach Abschluss des Pairings liegt die Verantwortung über die Verfügbarkeit des Tokens bei den Benutzer*innen, da die Benutzer*innen nun ein Gerät (Smartphone, Hardware-Token) in ihrem Besitz haben, das den benötigten Code generiert.
Verliert oder zerstört der/die Benutzer*in dieses Gerät, ist die Verfügbarkeit nicht mehr gegeben und der Zugang zu den angebundenen IT-Systemen ohne einen aktiven Token nicht mehr möglich, nur die mit SSO verknüpften Systeme lassen auch eine Anmeldung mit der der ID Austria zu.

Welche Methode wird bei den Token eingesetzt?

An der TU Graz werden zeitbasierte Einmal-Kennwörter (TOTP) mit einer Länge von 6 Ziffern verwendet.

Wie kann ich erkennen, welcher Software-Token am Smartphone welchem Service zugeordnet ist?

Jeder Token hat eine einzigartige Seriennummer, diese wird sowohl in der App am Smartphone oder Tablet als auch bei der Tokenübersicht des Benutzers auf der privacyIDEA-Webseite angezeigt.
Im Zuge der Aktivierung (aber auch danach noch) können Sie für die Token Bezeichnungen/Beschreibungen setzen, damit Sie diese eindeutig zuordnen können, z. B. Telefon, Tablet, PC im Büro etc.
Darüber hinaus erkennen Sie jeden Token, welchen Sie für die TU Graz verwenden, an der Bezeichnung ZID TU Graz.

Bezeichnung

Brauche ich für jedes Gerät einen eigenen Token?

Nein, im Prinzip reicht ein einziger Token für alle Geräte.
Sie sollten sich aber zumindest einen 2. Token zulegen, damit Sie bei Verlust des ersten Token noch arbeitsfähig bleiben.

Ist der Registrierungscode öfter verwendbar?

Nein, der Registrierungscode, welchen Sie per E-Mail erhalten haben oder der Ihnen im „Accountstatus“ in TUGRAZonline angezeigt wurde, erlaubt nur eine einmalige Anmeldung auf der privacyIDEA-Webseite.
Wird die 2FA-Aktivierung nicht vollständig abgeschlossen, haben Sie keinen Token zur Verfügung. Sie müssen dann beim ZID-Servicepoint einen neuen Registrierungscode beantragen. Dazu müssen Sie einen amtlichen Lichtbildausweis vorlegen. Fehlt dagegen nur die Verifizierung des Tokens, kann das auch per Telefon (DW 7000) erfolgen.

Wie viele Fehlversuche habe ich?

Die 2FA wird nach 10 Fehlversuchen gesperrt, danach muss man das über den IT-Support wieder freischalten lassen.

Ich habe kein Smartphone, wie komme ich zum 2. Faktor?

Obwohl es empfohlen ist ein Smartphone zu verwenden, gibt es auch die Möglichkeit am Desktop/Notebook ein Programm zu installieren, das die Codes berechnet.
Zusätzlich gibt es auch die Möglichkeit eine Hardwarelösung (in Form eines Schlüsselanhängers: Hardware-Token) zu verwenden.

Meine Smartphone-Kamera ist defekt, wie komme ich zum 2. Faktor?

Im Prinzip ist keine Kamera erforderlich, diese erleichtert nur das Einrichten des Token: Per QR-Code wird zwischen dem Server und dem Token ein Geheimnis geteilt und Informationen über die Art des Tokens, das kann man aber auch selbst eintragen.

Wenn Ihnen auf der PrivacyIDEA-Seite der QR-Code angezeigt wird, erscheint auch ein Link „hier“, in dem das Geheimnis enthalten ist: otpauth://totp/…?secret=xxx…xxx&algorithm=….
Starten Sie die privacyIDEA-App, tippen Sie auf das entsprechende Symbol

Token hinzufügen

und tragen Sie dann das Geheimnis und die entsprechenden Parameter ein:

Geheimnis eintragen

Wie komme ich zu einem Hardware-Token?

Mitarbeiter:innen der TU Graz können Hardware-Token dienstags und donnerstags, jeweils von 8:00-16:00, gegen Vorlage eines Lichtbildausweises (Mitarbeiter:innenausweis oder amtlicher Lichtbildausweis) am ZID-Servicepoint (Stremayrgasse 16/EG) abholen.
Besitzen Sie ein Smartphone als „Diensthandy“, können Sie keinen kostenlosen Hardware-Token bekommen, sondern sind verpflichtet eine App am Diensthandy zur Verwaltung ihrer Token zu verwenden.
Wenn Sie einen Token erwerben wollen, können Sie das Geld dienstags oder donnnerstags in der Hauptkassa (OU Finanzen, Rechnungswesen) einzahlen, donnerstags auch am ZID-Servicepoint. (Geregelt durch die „Richtlinie zur Führung von Kassen“.)

Studierende und Mitarbeiter:innen von Einmietungen können Hardware-Token im „Copyshop“ in der Stremayrgasse 16/KG erwerben.

Wie lange hält die Batterie im Hardware-Token?

Je nach Nutzungshäufigkeit 3 - 5 Jahre.

Kann ich Hardware-Token mit Kollegen teilen?

Nein, auch Hardware-Token werden Ihnen individuell zugeordnet (Pairing).

Kann ich meinen bestehenden Hardware-Token verwenden?

Wenn der Token die Bedingungen erfüllt und Sie das „Geheimnis“ (Seed) kennen, können wir den Token in unser System integrieren.

Kann ich meinen FIDO-Token verwenden?

Wenn der FIDO2-Token mit der ID Austria kompatibel ist und dafür aktiviert wurde, kann man damit in unseren SSO-Systeme (nicht aber in VPN) über den Link „ID Austria“ einsteigen.

Funktioniert der Code in beiden SSO-Systemen?

Die TU Graz verwendet derzeit 2 verschiedene SSO-Systeme: sso.tugraz.at und auth.tugraz.at. Die Codes sind in beiden Systemen gültig, da es aber Einmal-Kennwörter sind, muss man - wenn man sich in beiden Systemen anmelden will - im 2. System auf einen neuen Code warten.

Welche Programme werden nur mehr über VPN funktionieren?

Für alle Services sind Ausnahmen zu beantragen.

Ändert sich bei eduroam etwas?

Nein.

Ändert sich beim Anlegen von TUGRAZonline-Accounts etwas?

Nein. Die neuen Benutzer*innen bekommen in der Welcome-E-Mail einen Hinweis, wo Sie in TUGRAZonline Ihren Registrierungscode finden (im Accountstatus im Bereich 2FA). Damit man in TUGRAZonline einsteigen kann, können neue Benutzer*innen 7 Tage lang ohne 2. Faktor per SSO einsteigen.

Wie kommen Gäste zum 2. Faktor?

Gäste bekommen normalerweise keinen Zugriff zu den Systemen der TU Graz, die durch den 2. Faktor geschützt sind.
MItarbeiter*innen von Partnerfirmen, die z. B. Wartungszugänge brauchen, müssen sich registrieren und können dann einen VPN-Zugang beantragen.

Ich bin Mitarbeiter:in einer Einmietung, habe die 2FA aktiviert, werde aber nicht nach dem 2. Faktor gefragt?

Derzeit werden alle Personen mit Mitarbeiter-Accounts mit 2FA ausgestattet, Mitarbeiter:innen von Einmietungen, welche noch einen Mitarbeiter-Account haben, aber nur mehr eine Zuordnung zur Einmietung in TUGRAZonline, müssen 2FA (ausser für VPN) noch nicht verwenden.
Bevor diese Accounts auf verpflichtende Nutzung für SSO umgestellt werden, werden sie vom ZID kontaktiert werden.

Warum lande ich auf der englischsprachigen Version von privacyidea.tugraz.at?

Weil das in Ihrem Browser in den Spracheinstellungen so definiert ist.

Brauche ich den 2. Faktor bei OAuth2?

Ja, wir werden die kommenden Anmeldungsmöglichkeiten mit OAuth2, die wir hauptsächlich dort planen, wo kein 2. Faktor möglich ist und die Verwendung von VPN zu kompliziert erscheint, ebenfalls mit dem 2. Faktor absichern.

Was bedeutet „passwortloses Anmelden“?

Der nächste Schritt in der Absicherung von Accounts ist der passwortlose Zugang, dazu wurde ein neuer Standard Passkeys definiert, der auf dem FIDO-Standard basiert und automatisch (im Hintergrund) eine Art von PKA etabliert.
Es ist damit zu rechnen, dass immer mehr Anbieter diesen neuen Standard implementieren und auch wir beobachten das.