Seitenvergleich

Was ist Zwei-Faktor-Authentifizierung und wozu wird sie benötigt?

Die Zwei-Faktor-Authentifizierung (2FA) ist ein Schutzmechanismus, um Accountmissbrauch vorzubeugen und die Folgen von Passwortdiebstahl einzudämmen. Accountmissbrauch kann schwerwiegende Folgen für die WU und ihre Angehörige haben: Wenn sich Angreifer*innen erstmal Zugriff auf einen WU-Account verschafft haben, versuchen sie Stück für Stück bis in das Herz unseres Netzwerks vorzudringen. Lösegeldforderungen in Verbindung mit Datenabflüssen, lang andauernden Ausfällen und Einschränkungen der IT-Infrastruktur sind die Worst-Case-Szenarien. Passwortdiebstähle bleiben jedoch oft unbemerkt, sofern sich die Angreifer*innen geschickt anstellen. Dadurch gewinnen Angreifer*innen Zeit, und je mehr Zeit vergeht, desto höher kann der Schaden ausfallen.

Wie funktioniert die Zwei-Faktor-Authentifizierung?

Der Schutz eines Accounts hängt oft einzig und alleine von einem Passwort ab. Passwörter können aber leicht gestohlen oder geknackt werden. Bei der 2FA wird der Schutz eines Accounts auf zwei Faktoren (Passwort + Zahlencode) aufgeteilt:

• Der erste Faktor ist die Information, die nur die autorisierte Person alleine wissen darf (z.B. Accountpasswort).

• Der zweite Faktor ist eine Information, die nur die autorisierte Person alleine besitzen darf (z.B. zeitlich beschränkter Zahlencode, einmalig gültige TANs, biometrische Merkmale …).

An der WU ist der erste Faktor Ihr Accountpasswort und der zweite Faktor ein sechsstelliger, zeitlich eingeschränkt gültiger Zahlencode. Beide Faktoren werden gemeinsam benötigt, um sich erfolgreich zu authentifizieren. Nach der Eingabe des Accountpassworts wird der zweite Faktor eingegeben, der entweder von einer "Authenticator App" bezogen oder per SMS empfangen wird. Ohne den zweiten Faktor schlägt der Login fehl. Dadurch hängt der gesamte Schutz nicht mehr alleine vom Passwort ab.

Anker
wasist2fa wasist2fa

Was ist der zweite Faktor und wie bekomme ich ihn?

Der zweite Faktor ist ein sechsstelliger Zahlencode, der auch "Time-based One-Time Password" (abgekürzt: TOTP oder OTP) genannt wird. Es handelt sich dabei um ein Passwort, welches für den einmaligen Gebrauch gedacht ist, und nur eine kurze Zeitdauer gültig ist. Der TOTP kann entweder von einer "Authenticator App" bezogen oder via SMS empfangen werden.

Es gibt unterschiedliche Authenticator Apps, die aber alle den TOTP auf die gleiche Weise lokal am Gerät und nach international anerkannten, kryptografischen Standards errechnen. Der zweite Faktor wird im Vergleich zur SMS-Variante nicht übermittelt. Die Apps benötigen keine Internet- oder Mobilfunk-Verbindung.

Es gibt Angriffsszenarien, bei denen versucht wird, den TOTP während der Übermittlung abzufangen. Daher sind Authenticator Apps aus Sicherheitsperspektive zu bevorzugen.

Wann gebe ich den zweiten Faktor an?

Anwendungen und Online-Dienste der WU fordern Sie bei Bedarf automatisch auf, einen zweiten Faktor anzugeben. Für die Eingabe Ihres sechsstelligen OTP kann eine der beiden Abfrageseiten angezeigt werden (vgl. Abbildungen unten)

• WU Central Login Page oder

• Seite für Cloud-Dienste (z.B. Azure AD)
  Diese Seite wird angezeigt, wenn Sie – vereinfacht gesagt – Ihre WU E-Mail-Adresse als Benutzernamen für eine von der WU angebotene (Web-)Anwendung angeben. Damit verbunden ist Ihr geschäftlicher Microsoft Account (Englisch: work- and school account), den Sie bereits für MS Teams verwenden.

OTP-Abfragen

Ihr sechsstelliges Einmalpasswort wird entweder durch die WU Central Login Page oder durch die WU-Seite für Cloud Dienste abgefragt.

Authenticator App: Welche soll ich nehmen?

Prinzipiell funktionieren alle Authenticator Apps gleich und errechnen das zeitbasierte Einmal-Passwort nach demselben Industriestandard. Sie können die App für den Bezug des zweiten Faktors daher frei wählen. Die Anleitung zur Zwei-Faktor-Authentifizierung enthält eine Beschreibung zu zwei geläufigen Authenticator Apps:

• PrivacyIDEA Authenticator ist eine App von NetKnights GmbH und gilt als Privacy- und Benutzer-freundliche Open Source Variante.

• Microsoft Authenticator ist eine weit verbreitete Authenticator App der Firma Microsoft und gilt auch als sehr benutzerfreundlich.

Wie richte ich die Zwei-Faktor-Authentifizierung ein?

Anmeldung und Einrichtung der Zwei-Faktor-Authentifizierung erfolgen über das Controlpanel im Menü „Zwei-Faktor-Authentifizierung“. Die Anleitung zur Zwei-Faktor-Authentifizierung unterstützt Sie dabei. Sie benötigen ab diesem Zeitpunkt immer einen zweiten Faktor bei der Anmeldung für das Controlpanel und für VPN.

IT-SERVICES steht Ihnen bei der Einrichtung und bei weiteren Fragen in den IT Sprechstunden zur Verfügung. Bitte beachten Sie die Ankündigungen im Kanal „Allgemein“ in der „Hilfe-Community“.

Muss ich meine private Rufnummer bekanntgeben?

Die private Rufnummer mit der Vorwahl +43 wird ausschließlich dann benötigt, wenn Sie sich für die Variante mit dem Privathandy und der SMS auf die private Rufnummer entscheiden. Wir empfehlen jedoch die Nutzung einer Authenticator App, da sie 1) aus Sicherheitsperspektive zu bevorzugen ist und 2) keine Rufnummer benötigt wird. Lesen Sie dazu mehr im Abschnitt "Was ist der zweite Faktor und wie bekomme ich ihn?".

Was passiert, wenn ich die Zwei-Faktor-Authentifizierung nicht einrichte?

Wenn keine Einrichtung der Zwei-Faktor-Authentifizierung in der vorgesehenen Frist erfolgt, wird der betroffene WU Account aus Sicherheitsgründen deaktiviert. Danach ist kein Zugriff auf jegliche WU Services mehr möglich.

Anker
neuenummer neuenummer

Was passiert, wenn sich meine Rufnummer ändert?

Wenn Sie die SMS-Variante statt der Authenticator App gewählt haben, ist eine mobile Rufnummer im Controlpanel registriert. Sollte sich Ihre Rufnummer ändern, können Sie vor dem Wechsel die angegebene Rufnummer im Controlpanel ändern. Details dazu finden Sie in der Anleitung zur Zwei-Faktor-Authentifizierung.

Was passiert, wenn ich ein neues Mobiltelefon erhalte?

Was passiert, wenn ich mein Handy vergesse, verliere oder wenn es mir gestohlen wird?

Die Zwei-Faktor-Authentifizierung basiert als Schutzmechanismus darauf, dass Ihr Handy weitaus schwieriger zu stehlen ist als Ihr Passwort. Daher benötigen Sie das Handy als Medium für Ihren zweiten Faktor unbedingt bei sich, um sich erfolgreich authentifizieren zu können. Ist Ihr Handy nicht bei Ihnen, können Sie sich nicht einloggen.

Sollten Sie Ihr Handy verloren haben, müssen Sie entweder im IT Support Center persönlich vorbeikommen oder einen Identitätsnachweis (Lichtbildausweis) an hotline@wu.ac.at schicken. Wenn Sie Ihr Diensthandy verloren haben, beachten Sie bitte die Schritte nach dem Verlust eines Diensthandys.

Ich habe mein Passwort eingegeben, der zweite Faktor per SMS ist aber nicht gleich da. Was mache ich jetzt?

Selten, aber doch, kann es passieren, dass der SMS-Versand leichte Verzögerungen hat. In einem solchen Fall warten Sie bitte einen kurzen Moment ab. Die SMS wird Ihnen zeitverzögert nach wenigen Minuten zugestellt.

Ich habe ein SMS mit einem zweiten Faktor erhalten, wollte mich aber nicht anmelden. Was mache ich jetzt?

Wechseln Sie unverzüglich Ihr Passwort im Controlpanel. Ihr Passwort könnte gestohlen worden sein. Kontaktieren Sie unverzüglich das IT Support Center unter +43 1 313 36 - 3000 bzw. unter der Durchwahl 3000 oder schreiben Sie an hotline@wu.ac.at.

What is two-factor authentication and why is it required?

Two-factor authentication

(2FA) is a protection mechanism to prevent account abuse and mitigate the consequences of password theft. Account abuse can have serious consequences for WU and its members: Once attackers have gained access to a WU account, they try to advance piece by piece into the heart of our network. Ransom demands in connection with data leaks, long-lasting outages and restrictions of the IT infrastructure are the worst-case scenarios. However, password thefts often go unnoticed if the attackers are clever. This gives attackers time, and the more time passes, the greater the damage can be.

How does two-factor authentication work?

The protection of an account often depends solely on a password. However, passwords can easily be stolen or cracked. Using 2FA, the protection of an account is split into two factors (password + numeric code):

• The first factor is information that only the authorized person alone is allowed to know (e.g. account password).

• The second factor is information that only the authorized person alone is allowed to possess (e.g. time-limited numeric code, one-time valid TANs, biometric features).

At WU, the first factor is the account password and the second factor is a six-digit numeric code that is valid for a limited time only. Both factors are required together to successfully authenticate. After entering the account password, the second factor is entered, which is either obtained from an "authenticator app" or received via SMS. Without the second factor, the login fails. As a result, the entire protection no longer depends on the password alone.

Image Added

Anker
whatis2fa whatis2fa

What is the second factor and how do I get it?

The second factor is a six-digit numeric code, also called "Time-based One-Time Password" (abbreviated: TOTP or OTP). This is a passcode that is intended for one-time use and is only valid for a short period. The TOTP can either be obtained from an "Authenticator App" or received via SMS.

There are different authenticator apps, but they all calculate the TOTP in the same way locally on the device and according to internationally recognized cryptographic standards. The second factor is therefore not transmitted compared to the SMS alternative. The apps also do not require an Internet or a mobile connection.

There are attack scenarios in which attempts are made to intercept the TOTP during transmission when sent as SMS. Therefore, using authenticator apps is preferred from a security perspective.

When do I submit the second factor?

WU applications and online services automatically prompt you to enter a second factor when needed. To enter your six-digit OTP, you may be presented with one of two prompt screens (see screenshots below):

• WU Central Login Page or

• WU Page for Cloud Services (e.g. authentification using Azure AD)
  You will see this page if - in simplified terms - you enter your WU email address as the username for a (web)application offered by WU. This login is typically associated with your Microsoft business account (i.e. work- and school account) that you already use for MS Teams.

OTP queries

Your six-digit one-time password will be requested either through the WU Central Login Page or through the WU page for Cloud Services.

Image Added

Image Added

Authenticator App: Which one shall I choose?

All authenticator apps work in the same way and calculate the time-based one-time password according to the same industry standard. You can choose freely which authenticator app you want to use for the second factor. The instructions for two-factor authentication describe two common authenticator apps:

• PrivacyIDEA Authenticator is an app from NetKnights GmbH and is considered a privacy- and user-friendly open source variant.

• Microsoft Authenticator is a widely used authenticator app from Microsoft and is also considered very user-friendly.

How do I set up two-factor authentication?

Setup of the two-factor authentication is done via the Controlpanel application using the menu "Two-factor authentication". The instructions for two-factor authentication will support you in this process. From this point on, you will always need a second factor when logging in to the Controlpanel application and using VPN.

IT-SERVICES assists you with the setup and answers any additional questions you may have during online Q&A sessions. Please refer to the announcements in the "General" channel of our "Help Community" for times and dates.

Do I have to disclose my private cell phone number?

Your private cell phone number with the area code +43 is only required if you choose to receive the second factor via SMS on your personal cell phone. However, we recommend using an authenticator app because 1) it is preferable from a security perspective and 2) no phone number is required. Read more in the section "What is the second factor and how do I get it?".

What happens if I do not set up two-factor authentication?

If two-factor authentication is not set up within the scheduled deadline, the affected WU account will be deactivated for security reasons. After that, access to any WU services will no longer be possible.

Anker
newnumber newnumber

What happens when my cell phone number changes?

If you choose the SMS option instead of the authenticator app, you must register a mobile phone number in the Controlpanel application. If your phone number changes, please change the specified phone number in advance in the Controlpanel application. For details, please refer to the instructions for two-factor authentication.

What happens when I receive a new cell phone?

What happens if I forget my cell phone, lose it, or if it gets stolen?

Two-factor authentication as a protection mechanism is based on the idea that your cell phone is far more difficult to steal than your password. Therefore, you need to keep the cell phone with you as a medium for your second factor to authenticate successfully. If your cell phone is not with you, you are not able to log in.

If you have lost your cell phone, you must either come to the IT Support Center in person or send a photo ID as proof of identity to hotline@wu.ac.at. If you have lost your employee cell phone, please follow the steps after losing an employee cell phone.

I have entered my password, but the second factor via SMS is not sent right away. What do I do now?

It may happen rarely, but nevertheless, that the SMS transmission has slight delays. In such a case, please wait for a short moment. The SMS will be delivered to you with a time delay of a few minutes.

I received an SMS with a second factor, but I did not want to log in. What do I do now?

Change your password immediately in the Controlpanel application. Your account password may have been stolen. Contact the IT Support Center immediately at +43 1 313 36 - 3000 or  extension 3000 or write to hotline@wu.ac.at.