Zwei-Faktor-Authentifizierung (2FA)

Imagebild 2FA
© amperespy © iStock.com
Verpflichtend für Studierende ab dem 15. April: Anmeldung mit Zwei-Faktor-Authentifizierung

Die Zwei-Faktor-Authentifizierung (2FA) wird an der Hochschule Bielefeld eingeführt und kommt zunächst beim Virtual Private Network (kurz: VPN), später dann auch bei vielen Anwendungen zum Tragen. Bei der Anmeldung an einer mit 2FA gesicherten Anwendung wird dann zusätzlich zu Ihrer HSBI-Kennung ein Einmalpasswort abgefragt, das nach der Verwendung und einer kurzen Zeitspanne seine Gültigkeit verliert. Die DVZ erhöht damit die Sicherheit beim Zugriff auf die Anwendungen und der an der HSBI gespeicherten Daten.

Bei der Zwei-Faktor-Authentifizierung (kurz: 2FA) nutzen Sie als weitere Absicherung neben Ihrem HSBI-Passwort einen zusätzlichen Faktor um sich anzumelden. Ein Faktor ist das geheime Wissen (Passwort Ihrer HSBI-Kennung) und der zweite Faktor ist ein Objekt in Ihrem Besitz (Einmalpasswort-Generator). Durch die Verwendung zweier unterschiedlicher und voneinander unabhängiger Faktoren bei der Anmeldung an den IT-Services wird der Schutz Ihres Benutzerkontos und Ihrer Daten erheblich verbessert. Außerdem sinkt das Risiko von IT-Sicherheitsvorfällen durch kompromittierte Benutzerkonten, die z.B. durch Phishing-E-Mails ausgespäht wurden. Cyberkriminelle müssten an beide Faktoren gelangen, um Dienste oder Benutzerkonten zu hacken oder Daten zu stehlen.

Terminplan der Umsetzung:

Für die folgenden Persongruppen wird die Zwei-Faktor-Authentifizierung umgesetzt, bitte registrieren Sie den zweiten Faktor bis zum genannten Zeitpunkt und machen Sie sich mit der Anwendung vertraut.

  • Beschäftigte (Registrierung ab sofort, verpflichtend ab 01.02.2024)
    Beschäftigte können ab sofort einen zweiten Faktor registrieren. Sobald dieser registriert ist, muss dieser verwendet werden. Verpflichtend für alle Beschäftigten wird die Nutzung ab dem 01.02.2024.
  • Studierende (Registrierung ab sofort, verpflichtend ab 15.04.2024)
    Für Studierende gilt ebenfalls, dass ab sofort ein zweiter Faktor registriert werden kann und dieser bei der Anmeldung am VPN verwendet werden muss. Verpflichtend wird die Nutzung ab Beginn des SoSe 2024.
  • Weitere Personengruppen (Registrierung ab sofort, verpflichtend ab Beginn SoSe 2024)
    Für Weitere Personengruppen gilt analog zu den Studierenden, dass ab sofort ein zweiter Faktor registriert werden kann und dieser bei der Anmeldung am VPN verwendet werden muss. Verpflichtend wird die Nutzung ab Beginn des SoSe 2024.
Bereitstellung für...
  • Beschäftigte
  • Studierende
  • Weitere Personengruppen
2FA Nutzung

Für die Nutzung der 2FA ist es zunächst erforderlich, sich für eine Authentifzierungsmethode auf dem Nutzungsportal 2FA (AEP) der HSBI unter www.hsbi.de/2fa zu registrieren. Nach Anmeldung mit Ihrer HSBI-Kennung haben Sie dort die Möglichkeit, den von Ihnen favorisierten Einmalpasswort-Generator (App oder OTP-Generator, beides ist nicht möglich) auszuwählen, den Sie als zusätzlichen Faktor für die Anmeldung zukünftig nutzen möchten. Nach der Auswahl des Einmalpasswort-Generators muss dieser auf dem Portal registriert werden und wird nun bei jeder Anmeldung am Portal selbst ebenfalls abgefragt.

Anleitung: Registrierung zur Zwei-Faktor- Authentifizierung

Einmalpasswort (OTP: One-Time-Password)

Für die Einrichtung der 2FA wählen Sie auf dem Nutzungsportal 2FA (AEP) unter www.hsbi.de/2fa aus, ob Sie zukünftig das Einmalpasswort über ein eigenständiges Gerät erhalten möchten, dem sog. OTP-Generator oder über die OTP-App auf dem Smartphone. Der Begriff "OTP" steht dabei für "One-Time Password". Bei beiden Authentifizierungsmethoden verliert das Einmalpasswort nach der Verwendung und einer kurzen Zeitspanne seine Gültigkeit und es wird ein neues Einmalpasswort generiert. Informationen zu den beiden Methoden finden Sie in den beiden folgenden Abschnitten.

Bitte beachten Sie, dass Sie vor der Einrichtung der 2FA entweder ein Smartphone OTP-App installiert oder einen OTP-Generator erhalten haben.

OTP-App

Für die Nutzung der 2FA können grundsätzlich alle Authenticator-Apps verwendet werden. Bei der Nutzung auf dem Smartphone empfehlen wir die Authenticator-App "2FAS", die unter Android und iOS genutzt werden kann.  Die Software 2FAS hat ausschließlich die Funktion, fortlaufend neue sechstellige Ziffernfolgen als Einmalpasswort zu generieren, die jeweils 30 Sekunden gültig sind. 2FAS steht Ihnen kostenlos als OpenSource im Google Play Store (für Android-Geräte) wie auch im AppStore (für iOS-Geräte) zum Download zur Verfügung. Die Einrichtung der App auf mehreren Mobilgeräten ist möglich. Authenticator-Apps können ohne Internetverbindung oder Mobilfunknetz genutzt werden. Bitte erstellen Sie nach der Registrierung im Nutzerportal 2FA unbedingt eine Sicherung des zweiten Faktors, für die App 2FAs ist dies in der FAQ beschrieben.

Download: 2FAS im Google Play-Store

Download: 2FAS im Apple App-Store

Anleitung: Registrierung zur Zwei-Faktor- Authentifizierung

OTP-Generator

Sollten Sie nicht im Besitz eines dienstlichen Mobiltelefons sein und/oder keine OTP-App auf Ihrem Smartphone installieren wollen, können Sie einen OTP-Generator erhalten. Der OTP-Generator ist ein kleines Gerät, dass auf Knopfdruck eine sechsstellige Ziffernfolge als Einmalpasswort generiert, die auf einem kleinen Display angezeigt und per Batterie betrieben wird. Der OTP-Generator hat eine Laufzeit von einigen Jahren. 

 

Feitian OTP-Generator

 

Den OTP-Generator erhalten Beschäftigte beim  IT-ServiceDesk. Studierende werden den OTP-Generator zukünftig im HSBI-Shop erwerben können. Die Nutzung alternativer OTP-Generatoren ist nicht möglich, da diese speziell für die Nutzung an der Hochschule vorkonfiguriert sein müssen.

Anleitung: Registrierung zur Zwei-Faktor- Authentifizierung

Kein Zugriff mehr auf OTP-App oder OTP-Generator

Sollten Sie unerwartet keinen Zugriff auf Ihre OTP-App oder Ihren OTP-Generator haben und sich infolge kein Einmalpasswort generieren können, wenden Sie sich bitte an den IT-ServiceDesk. Der IT-ServiceDesk kann Ihnen innerhalb der Servicezeiten ersatzweise ein Einmalpasswort bereitstellen, das einmalig eine Gültigkeitsdauer von 24 Std. hat. 

Authenticator-Apps und Datenschutz

Für die Nutzung der 2FA können alle Authenticator-Apps genutzt werden, wie z.B. Google Authenticator, Microsoft Authenticator, FreeOTP oder Twilio Authy. Bitte beachten Sie aber, dass je nach Anbieter die Authenticator-App auch zusätzliche Daten erhebt, Tracker einsetzt und/oder erweiterte Berechtigungen (z.B. Kontakte, Standort) anfordert. Wir empfehlen Ihnen aus Datenschutzsicht grundsätzlich die Nutzung einer datensparsamen Authenticator-App wie die 2FAS, die zudem unter der quelloffenen OpenSource-Lizenz steht.

Einen Webseite zur Betrachtung von Authenticator-Apps hinsichtlich Tracker und Berechtigungen finden Sie unter https://reports.exodus-privacy.eu.org/de/.

Ab Dezember 2023: Anmeldung im VPN mit 2FA

Als erste von vielen Anwendungen und Systemen wird die 2FA bei der Nutzung des VPN verbindlich, weitere Anwendungen werden in Kürze folgen.
Nach der Registrierung eines zweiten Faktors im Nutzungsportal 2FA (AEP) werden Sie bei der Anmeldung am VPN neben der Eingabe der HSBI-Kennung zur Angabe des Einmalkennworts aufgefordert. Ohne diese Angaben ist der Zugriff auf das VPN nicht möglich.

Anleitung: VPN-Verbindung mit Zwei-Faktor-Authentifizierung herstellen

 

Support

Bei Fragen und Problemen erhalten Sie Unterstützung über den IT-ServiceDesk.

Servicezeit

Der Zwei-Faktor-Authentifizierung steht rund um die Uhr zur Verfügung, Wartungsarbeiten werden im Bereich Aktuelles angekündigt.

FAQs