Zwei-Faktor-Authentifizierung (2FA)

Was ist Zwei-Faktor-Authentifizierung und wozu wird sie benötigt?

Die Zwei-Faktor-Authentifizierung (2FA) ist ein Schutzmechanismus, um Accountmissbrauch vorzubeugen und die Folgen von Passwortdiebstahl einzudämmen. Accountmissbrauch kann schwerwiegende Folgen für die WU und ihre Angehörige haben: Wenn sich Angreifer*innen erstmal Zugriff auf einen WU-Account verschafft haben, versuchen sie Stück für Stück bis in das Herz unseres Netzwerks vorzudringen. Lösegeldforderungen in Verbindung mit Datenabflüssen, lang andauernden Ausfällen und Einschränkungen der IT-Infrastruktur sind die Worst-Case-Szenarien. Passwortdiebstähle bleiben jedoch oft unbemerkt, sofern sich die Angreifer*innen geschickt anstellen. Dadurch gewinnen Angreifer*innen Zeit, und je mehr Zeit vergeht, desto höher kann der Schaden ausfallen.

Wie funktioniert die Zwei-Faktor-Authentifizierung?

Der Schutz eines Accounts hängt oft einzig und alleine von einem Passwort ab. Passwörter können aber leicht gestohlen oder geknackt werden. Bei der 2FA wird der Schutz eines Accounts auf zwei Faktoren (Passwort + Zahlencode) aufgeteilt: Der erste Faktor ist die Information, die nur die autorisierte Person alleine wissen darf (z.B. Accountpasswort), und der zweite Faktor ist eine Information, die nur die autorisierte Person alleine besitzen darf (z.B. zeitlich beschränkter Zahlencode, einmalig gültige TANs, biometrische Merkmale …).
An der WU ist der erste Faktor das Accountpasswort und der zweite Faktor ein sechsstelliger, zeitlich eingeschränkt gültiger Zahlencode. Beide Faktoren werden gemeinsam benötigt, um sich erfolgreich zu authentifizieren. Nach der Eingabe des Accountpassworts wird der zweite Faktor eingegeben, der entweder von einer "Authenticator App" bezogen oder per SMS empfangen wird. Ohne den zweiten Faktor schlägt der Login fehl. Dadurch hängt der gesamte Schutz nicht mehr alleine vom Passwort ab.

Was ist der zweite Faktor und wie bekomme ich ihn?

Der zweite Faktor ist ein sechsstelliger Zahlencode, der auch "Time-based One-Time Password" (abgekürzt: TOTP oder OTP) genannt wird. Es handelt sich dabei um ein Passwort, welches für den einmaligen Gebrauch gedacht ist, und nur eine kurze Zeitdauer gültig ist. Der TOTP kann entweder von einer "Authenticator App" bezogen oder via SMS empfangen werden.

Es gibt unterschiedliche Authenticator Apps, die aber alle den TOTP auf die gleiche Weise lokal am Gerät und nach international anerkannten, kryptografischen Standards errechnen.
Der zweite Faktor wird daher im Vergleich zur SMS-Variante nicht übertragen. (Die Apps benötigen auch keine Internet- oder Mobilfunk-Verbindung.) Es gibt Angriffsszenarien, bei denen versucht wird, den TOTP auf diesem Übertragungsweg abzufangen. Daher ist die Variante mit der Authenticator App aus Sicherheitsperspektive zu bevorzugen.

Wann gebe ich den zweiten Faktor an?

Anwendungen und Online-Dienste der WU fordern Sie bei Bedarf automatisch auf, einen zweiten Faktor anzugeben.
Für die Eingabe Ihres sechsstelligen OTP kann eine der beiden Abfrageseiten angezeigt werden (vgl. Abbildungen unten)

• WU Central Login Page oder

• Seite für Cloud-Dienste (z.B. Azure AD)
  Diese Seite wird angezeigt, wenn Sie – vereinfacht gesagt – Ihre WU E-Mail-Adresse als Benutzernamen für eine von der WU angebotene (Web-)Anwendung angeben. Damit verbunden ist Ihr geschäftlicher Microsoft Account (Englisch: work- and school account), den Sie bereits für MS Teams verwenden.

OTP-Abfragen

Ihr sechsstelliges Einmalpasswort wird entweder durch die WU Central Login Page oder durch die WU-Seite für Cloud Dienste abgefragt.

Authenticator App: Welche soll ich nehmen?

Prinzipiell funktionieren alle Authenticator Apps gleich und errechnen das zeitbasierte Einmal-Passwort nach demselben Industriestandard. Es ist also jedem freigestellt, die App für den Bezug des zweiten Faktors frei zu wählen. Die Anleitung zur Zwei-Faktor-Authentifizierung enthält eine Beschreibung zu zwei geläufigen Authenticator Apps:

• PrivacyIDEA Authenticator ist eine App von NetKnights GmbH und gilt als Privacy- und Benutzer-freundliche Open Source Variante.

• Microsoft Authenticator ist eine weit verbreitete Authenticator App der Firma Microsoft und gilt auch als sehr benutzerfreundlich.

Wie richte ich die Zwei-Faktor-Authentifizierung ein?

Anmeldung und Einrichtung der Zwei-Faktor-Authentifizierung erfolgen über das Controlpanel im Menü „Zwei-Faktor-Authentifizierung“. Die Anleitung zur Zwei-Faktor-Authentifizierung unterstützt Sie dabei. Sie benötigen ab diesem Zeitpunkt immer einen zweiten Faktor bei der Anmeldung für das Controlpanel und für VPN.

IT-SERVICES steht Ihnen sehr gerne bei der Einrichtung und bei weiteren Fragen in den IT Sprechstunden zur Verfügung. Bitte beachten Sie die Ankündigungen im Kanal „Allgemein“ in der „Hilfe-Community“.

Muss ich meine private Rufnummer bekanntgeben?

Die private Rufnummer mit der Vorwahl +43 wird ausschließlich dann benötigt, wenn Sie sich für die Variante mit dem Privathandy und der SMS auf die private Rufnummer entscheiden. Wir empfehlen jedoch die Nutzung einer Authenticator App, da sie 1) aus Sicherheitsperspektive zu bevorzugen ist und 2) keine Rufnummer benötigt wird. Lesen Sie dazu mehr im Abschnitt "Was ist der zweite Faktor und wie bekomme ich ihn?".

Was passiert, wenn ich die Zwei-Faktor-Authentifizierung nicht einrichte?

Wenn keine Einrichtung der Zwei-Faktor-Authentifizierung in der vorgesehenen Frist erfolgt, wird der betroffene WU Account aus Sicherheitsgründen deaktiviert. Danach ist kein Zugriff auf jegliche WU Services mehr möglich.

Was passiert, wenn sich meine Rufnummer ändert?

Sollten Sie die SMS-Variante anstatt der Authenticator App wählen, ist eine mobile Rufnummer im Controlpanel zu registrieren. Sollte sich Ihre Rufnummer ändern, können Sie vorab die angegebene Rufnummer im Controlpanel wechseln. Details dazu finden Sie in der Anleitung zur Zwei-Faktor-Authentifizierung.

Was passiert, wenn ich ein neues Mobiltelefon erhalte?

Was passiert, wenn ich mein Handy vergesse, verliere oder wenn es mir gestohlen wird?

Die Idee der Zwei-Faktor-Authentifizierung als Schutzmechanismus ist, dass Ihr Handy weitaus schwieriger zu stehlen ist als Ihr Passwort. Daher benötigen Sie das Handy als Medium für Ihren zweiten Faktor unbedingt bei sich, um sich erfolgreich authentifizieren zu können. Ist Ihr Handy nicht bei Ihnen, können Sie sich nicht einloggen.
Sollten Sie Ihr Handy verloren haben, müssen Sie entweder im IT Support Center persönlich vorbeikommen oder einen Identitätsnachweis (Lichtbildausweis) an hotline@wu.ac.at schicken. Wenn Sie Ihr Diensthandy verloren haben, beachten Sie bitte die Schritte nach dem Verlust eines Diensthandys.

Ich habe mein Passwort eingegeben, der zweite Faktor per SMS ist aber nicht gleich da. Was mache ich jetzt?

Selten, aber doch, kann es passieren, dass der SMS-Versand leichte Verzögerungen hat. In einem solchen Fall warten Sie bitte einen kurzen Moment ab. Die SMS wird Ihnen zeitverzögert nach wenigen Minuten zugestellt.

Ich habe ein SMS mit einem zweiten Faktor erhalten, wollte mich aber nicht anmelden. Was mache ich jetzt?

Wechseln Sie unverzüglich Ihr Passwort im Controlpanel. Ihr Passwort könnte gestohlen worden sein. Kontaktieren Sie unverzüglich das IT Support Center unter +43 1 313 36 - 3000 bzw. unter der Durchwahl 3000 oder schreiben Sie an hotline@wu.ac.at.

What is two-factor authentication and why is it required?

Two-factor authentication (2FA) is a protection mechanism to prevent account abuse and mitigate the consequences of password theft.
Account abuse can have serious consequences for WU and its members: Once attackers have gained access to a WU account, they try to advance piece by piece into the heart of our network. Ransom demands in connection with data outflows, long-lasting outages and restrictions of the IT infrastructure are the worst-case scenarios. However, password thefts often go unnoticed if the attackers are clever. This gives attackers time, and the more time that passes, the greater the damage can be.

How does two-factor authentication work?

The protection of an account often depends solely on a password. However, passwords can easily be stolen or cracked. In 2FA, the protection of an account is divided into two factors (password + numeric code): The first factor is the information that only the authorized person alone is allowed to know (e.g. account password), and the second factor is information that only the authorized person alone is allowed to possess (e.g. time-limited numeric code, one-time valid TANs, biometric features ...).
At WU, the first factor is the account password and the second factor is a six-digit numeric code that is valid for a limited time. Both factors are required together to successfully authenticate. After entering the account password, the second factor is entered, which is either obtained from an "authenticator app" or received via SMS. Without the second factor, the login fails. As a result, the entire protection no longer depends on the password alone.

What is the second factor and how do I get it?

The second factor is a six-digit numeric code, also called "Time-based One-Time Password" (abbreviated: TOTPor OTP). This is a password that is intended for one-time use and is only valid for a short period. The TOTP can either be obtained from an "Authenticator App" or received via SMS.

There are different Authenticator apps, but they all calculate the TOTP in the same way locally on the device and according to internationally recognized cryptographic standards.
The second factor is therefore not transmitted compared to the SMS alternative. (The apps also do not require an Internet or a mobile connection.) There are attack scenarios in which attempts are made to intercept the TOTP on this transmission path. Therefore, the option with the Authenticator app is to be preferred from a security perspective.

When do I submit the second factor?

WU applications and online services automatically prompt you to enter a second factor when needed. To enter your six-digit OTP, you may be presented with one of two prompt screens (see screenshots below)

• WU Central Login Page or

• WU Page for Cloud Services (e.g. authentification using Azure AD)
  You will see this page if - in simplified terms - you enter your WU email address as the username for a (web)application offered by WU. This login is typically associated with your Microsoft business account (i.e. work- and school account) that you already use for MS Teams.

OTP queries

Your six-digit one-time password will be requested either through the WU Central Login Page or through the WU page for Cloud Services.

Authenticator App: Which one shall I choose?

All Authenticator apps work in the same way and calculate the time-based one-time password according to the same industry standard. Every employee is free to choose the app for the second factor. The instructions for two-factor authentication includes a description of two common Authenticator apps:

• PrivacyIDEA Authenticator is an app from NetKnights GmbH and is considered a privacy- and user-friendly open source variant.

• Microsoft Authenticator is a widely used authenticator app from Microsoft and is also considered very user-friendly.

How do I set up two-factor authentication?

Login and setup of the two-factor authentication is done via the Controlpanel in the menu "Two-factor authentication". The instructions for two-factor authentication will support you in this process. From this point on, you will always need a second factor when logging in for the control panel and VPN. IT-SERVICES will be very happy to assist you with the setup and answer any further questions you may have during Q&A sessions. Please note the announcements in the "General" channel of our "Help Community".

Do I have to disclose my private cell phone number?

The private cell phone number with the area code +43 is only required if you choose the option with the private cell phone and the SMS to the private phone number. However, we recommend using an Authenticator app because 1) it is preferable from a security perspective and 2) no phone number is required. Read more in the section "What is the second factor and how do I get it?".

What happens if I do not set up two-factor authentication?

If two-factor authentication is not set up within the scheduled deadline, the affected WU account will be deactivated for security reasons. After that, access to any WU services will no longer be possible.

What happens when my cell phone number changes?

If you choose the SMS option instead of the Authenticator app, you must register a mobile phone number in the control panel. If your phone number changes, you can change the specified phone number in the Controlpanel in advance. For details, please refer to the instructions for two-factor authentication.

What happens when I receive a new cell phone?

What happens if I forget my cell phone, lose it, or if it gets stolen?

The idea of two-factor authentication as a protection mechanism is that your cell phone is far more difficult to steal than your password. Therefore, you necessarily need the cell phone with you as a medium for your second factor to authenticate successfully. If your cell phone is not with you, you are not able to log in.
If you have lost your cell phone, you must either come to the IT Support Center in person or send proof of identity (photo ID) to hotline@wu.ac.at. If you have lost your employee cell phone, please follow the steps after losing an employee cell phone.

I have entered my password, but the second factor via SMS is not there right away. What do I do now?

It may happen rarely, but nevertheless, that the SMS transmission has slight delays. In such a case, please wait for a short moment. The SMS will be delivered to you with a time delay of a few minutes.

I received an SMS with a second factor, but I did not want to sign up. What do I do now?

Change your password in the Controlpanel immediately. Your password may have been stolen. Contact the IT Support Center immediately at +43 1 313 36 - 3000 or  extension 3000 or write to hotline@wu.ac.at.