Zwei-Faktor-Authentifizierung (2FA) bei Conditional Access
- Matthias Harrer
- Werner Hackinsholz
- Fabian Vala
- Joel Sebastian Puthenparambil (Deactivated)
This information is available in German and English.
🇦🇹 Deutsche Version | 🇬🇧 English Version
🇦🇹 Deutsch
Pilotphase
Diese Inhalte sind vorläufig nur für Anwender*innen relevant, die an der Pilotphase teilnehmen (vgl. WU Memo-Artikel Conditional Access).
Bitte prüfen Sie, ob Ihre Organisationseinheit Conditional Access bereits anwendet (d.h. es gibt explizite Informationen per E-Mail oder eine Verständigung durch Ihre Führungskraft).
Anleitungen zur Einrichtung von 2FA finden Sie im Abschnitt Verfügbare 2FA-Methoden & Einrichtung auf dieser Seite.
Schutzfunktion
Die Zwei-Faktor-Authentifizierung (2FA) ist ein Schutzmechanismus, um Accountmissbrauch vorzubeugen und die Folgen von Passwortdiebstahl einzudämmen. Accountmissbrauch kann schwerwiegende Folgen für die WU Wien und ihre Angehörigen haben: Lösegeldforderungen in Verbindung mit Datenabflüssen, lang andauernde Ausfälle oder Einschränkungen der IT-Infrastruktur sind die Worst-Case-Szenarien. Passwortdiebstähle bleiben oft unbemerkt, sofern sich die Angreifer*innen geschickt anstellen. Je mehr Zeit vergeht, desto tiefer dringen Angreifer*innen in die IT-Infrastruktur vor - und desto höher kann der Schaden für die WU Wien ausfallen.
Funktionsweise
Mit 2FA verwenden Sie zwei voneinander unabhängige Informationen (=Faktoren), um sich bei IT-Diensten anzumelden:
Erster Faktor: nur die autorisierte Person alleine darf diese wissen (z.B. Accountpasswort).
Zweiter Faktor: nur die autorisierte Person alleine darf diese besitzen (z.B. zeitlich beschränkter Zahlencode, biometrische Merkmale …).
Sie benötigen beide Faktoren gemeinsam, um sich erfolgreich zu authentifizieren:
Sie verwenden ein leicht merkbares und sicheres Passwort.
Sie verwenden einen Token in Ihrem Besitz, der einen zeitlich beschränkt gültigen Zahlencode (=OTP) erzeugt. Mit diesem Code bestätigen Sie Ihre Identität zusätzlich zum Passwort.
Als Token können Sie z.B. eine Authenticator-App auf Ihrem Smartphone oder ein kleines physisches Gerät (“Hardware-Token”) nutzen. Jeder Token muss zuerst mit Ihrem WU-Account verknüpft werden, damit er später einen gültigen OTP liefert.
Anwendungen und Online-Dienste der WU Wien fordern Sie bei Bedarf automatisch auf, einen zweiten Faktor anzugeben.
Was ist OTP bzw. TOTP?
Der zweite Faktor ist eine Ziffernfolge, die für den einmaligen Gebrauch gedacht ist, und nur eine kurze Zeitdauer gültig ist. Englisch bezeichnet man das als "Time-based One-Time Password" (abgekürzt: TOTP oder OTP).
Das OTP wird z.B. durch Authenticator Apps nach international anerkannten, kryptografischen Standards errechnet. Die Apps benötigen dafür keine Internet- oder Mobilfunk-Verbindung, daher sind sie aus Sicherheitsperspektive zu bevorzugen.
Achten Sie darauf, Ihr Mobilgerät immer auf die aktuelle Uhrzeit und Zeitzone Ihres Aufenthaltsortes einzustellen. Stimmen diese Einstellungen nicht, wird das OTP als falsch bewertet.
Die Übermittlung des OTP per SMS gilt als unsicher. Potentielle Angriffe nutzten bereits Schwachstellen im technischen Übermittlungsprotokoll für SMS, SIM-Diebstahl, Schadsoftware am Mobiltelefon oder Social Engineering bei Mobilfunk-Vertriebspartnern.
Verfügbare 2FA-Methoden & Einrichtung
Anwendungen und Online-Dienste der WU Wien fordern Sie bei Bedarf automatisch auf, einen zweiten Faktor anzugeben. Die Art der Abfrage ist abhängig von Ihren registrierten Anmeldemethoden bzw. Ihren hinterlegten Präferenzen auf der Microsoft-Seite My Sign-Ins.
Neue WU-Accountinhaber*innen werden bereits bei der ersten Verwendung Ihres WU-Accounts durch einen Prozess geleitet, um einen zweiten Faktor einzurichten.
Bestehende Mitarbeiter*innen der WU Wien, die noch keinen Token bei Microsoft registriert haben, werden nach der Umsetzung von Conditional Access beim ersten Login automatisch zum Anlegen eines neuen Tokens aufgefordert.
Sollte es beim ersten Login nach der Umstellung auf Conditional Access zu einem Problem bei der Anmeldung kommen, öffnen Sie die Seite My Sign-Ins in einem privaten Browserfenster.
(1) Microsoft Authenticator-App
Wenn Sie die Microsoft Authenticator App als zweiten Faktor registriert haben, erfolgt üblicherweise ein Nummernabgleich in der App auf Ihrem Smartphone bzw. Tablet.
Vorteile der Microsoft Authenticator-App
Die Sicherheit Ihrer Anmeldung unter Windows 11 wird damit erhöht.
Zusätzlich können Sie Windows Hello für eine bequeme biometrische Anmeldung am Notebook nutzen (Gesichtserkennung, Fingerabdruck).
(2) Andere Authenticator-App
Wenn Sie eine andere Authenticator-App als zweiten Faktor registriert haben, werden Sie zur Eingabe eines sechsstelligen OTP (=Code) aufgefordert.
Diese Anmeldemethode unterstützt keine biometrische Anmeldung auf Ihrem zentral verwalteten Gerät. Windows Hello (Fingerprint, Face-ID) ist damit nicht nutzbar.
Die biometrische Anmeldung mit Windows Hello setzt voraus, dass Sie die Microsoft Authenticator-App für den zweiten Faktor verwenden.
(3) Hardware-Token
Wenn Sie einen (von IT-SERVICES ausgegebenen) Hardware-Token als zweiten Faktor registriert haben, werden Sie zur Eingabe eines sechsstelligen OTP (=Code) aufgefordert.
Neue Mitarbeiter*innen an der WU benötigen Unterstützung im IT Support Center (D2, Eingang C - Lageplan) wenn sie einen Hardware-Token für 2FA bei der Ersteinrichtung ihres WU Accounts verwenden möchten.
Anmeldemethoden verwalten
Anmeldung und Einrichtung der Zwei-Faktor-Authentifizierung erfolgen über die Webseite My Sign-Ins . Dort verwalten Sie auch Ihre bestehenden Token - Microsoft bezeichnet diese als Anmeldemethoden.
Sie können neue Anmeldemethoden hinzufügen
(z.B. eine zweite Authenticator-App auf einem anderen Smartphone registrieren als Backup)Sie können bestehende Anmeldemethoden löschen
(z.B. wenn Sie Ihr altes Smartphone durch ein neues Gerät austauschen. Ihr neues Smartphone müssen Sie jedoch zuvor als neuen Token anmelden)Sie können Ihre Standard-Anmeldemethode ändern
Die wählbaren Optionen sind ev. abhängig von bereits registrierten Anmeldemethoden (Tokens)Benachrichtigung = Nummernabgleich mit der Microsoft Authenticator App
Code = sechsstelliger OTP durch eine Authenticator-App oder einen Hardware-Token
Vorgehen beim Wechsel des Mobilgeräts
Wichtig!
Bereits registrierte Token in der Authenticator-App werden nicht automatisch auf Ihr neues Gerät übertragen!
Geben Sie Ihr altes Mobilgerät erst dann weiter, nachdem Sie eine Authenticator-App des neuen Mobilgeräts auf der Webseite registriert haben.
Registrieren Sie Ihr neues Mobilgerät auf der Webseite My Sign-Ins. Für den Login benötigen Sie noch Ihr altes, bereits registriertes Mobilgerät.
Löschen Sie auf Ihrem alten Mobilgerät den Token1) aus der Authenticator-App. Eventuell müssen Sie sich dafür authentifizieren.
1) Token sind Dinge oder Informationen, die nur Sie besitzen. Der Eintrag in der Authenticator-App für Ihren WU-Account wird daher ebenfalls als Token bezeichnet.Löschen Sie abschließend auf der Webseite My Sign-Ins den Eintrag Ihres alten Mobilgeräts. Damit kann diese Anmeldemethode nicht mehr zur Authentifizierung an der WU Wien verwendet werden.
Setzen Sie Ihr altes Gerät zurück, bevor Sie es an jemand anderen weitergeben (oder bei IT-SERVICES zurückgeben).
Fehlender Token (Authenticator-App, Hardware-Token)
2FA basiert als Schutzmechanismus darauf, dass Dinge in Ihrem Besitz schwieriger zu stehlen sind als Ihr Passwort. Haben Sie Ihr Authentifizierungsmedium (Smartphone, HW-Token) verloren, können sie sich nicht einloggen. Ein Login scheitert auch, wenn Sie Ihre Authenticator-App oder Ihren Hardware-Token nicht registriert haben (vgl. Verfügbare 2FA-Methoden & Einrichtung).
Verlorenes Authentifizierungsmedium
Kontaktieren Sie bitte den IT-Support und übermitteln Sie einen überprüfbaren Identitätsnachweis (z.B. gültigen Lichtbildausweis). Kontakt: hotline@wu.ac.at.
Sie erhalten vom IT-Support weitere Informationen zu den nächsten Schritten.
Löschen Sie mit Hilfe der Antwort vom IT-Support den Token, den Sie verloren haben. Gehen Sie dafür auf die Webseite My Sign-Ins.
Stellen Sie sicher, dass Sie einen neuen Token registriert haben, bevor Sie von der Microsoft-Seite ausloggen.
Gestohlenes Authentifizierungsmedium
Führen Sie bitte die Schritte unter dem Punkt Authentifizierungsmedium verloren aus (vgl. oberhalb).
Folgen Sie zusätzlich den Schritten auf der Seite Verlust Ihres WU Mobilgeräts, wenn es sich um ein WU-Gerät handelt.
🇬🇧 English
Two-factor Authentication (2FA)
Pilot phase
For the time being, this content is only relevant for users participating in the pilot phase (cf. wu memo article Conditional Access)
Please check whether your whole organizational unit already uses Conditional Access (i.e. you have received explicit information by email or a notification by your manager).
Instructions for setting up 2FA are linked in the section Available 2FA Methods & Setup on this page.
Protection purpose
Two-factor authentication (2FA) is a protective mechanism to prevent account abuse and mitigate the consequences of password theft. Account abuse can have serious repercussions for WU Vienna and its members: ransom demands related to data breaches, prolonged outages, or restrictions on IT infrastructure are worst-case scenarios.
Password thefts often go unnoticed if attackers are skillful. The longer time passes, the deeper attackers penetrate the IT infrastructure - and the greater the potential damage to WU Vienna.
How 2FA works
With 2FA, you use two independent pieces of information (=factors) to log in to IT services:
First Factor: only the authorized person alone may know this (e.g., account password).
Second Factor: only the authorized person alone may possess this (e.g., time-limited numeric code, biometric features…).
You need both factors to successfully authenticate:
You use an easily memorable and secure password.
You use a token in your possession that generates a time-limited valid numeric code (=OTP). With this code, you confirm your identity in addition to the password.
As a token, you can use, for example, an authenticator app on your smartphone or a small physical device (“hardware token”). Each token must first be linked to your WU account so that it later provides a valid OTP.
Applications and online services of WU Vienna will automatically prompt you to provide a second factor if necessary.
What is OTP or TOTP?
The second factor is a sequence of digits intended for one-time use and is valid for only a short period. In English, this is referred to as "Time-based One-Time Password" (abbreviated: TOTP or OTP).
The OTP is calculated, for example, by authenticator apps according to internationally recognized cryptographic standards. The apps do not require an internet or mobile connection, making them preferable from a security perspective.
Make sure to always set your mobile device to the current time and time zone of your location. If these settings are incorrect, the OTP will be considered invalid.
The transmission of the OTP via SMS is considered insecure. Potential attacks have already exploited vulnerabilities in the technical transmission protocol for SMS, SIM theft, malware on mobile phones, or social engineering with mobile service partners.
Available 2FA Methods & Setup
Applications and online services of WU Vienna will automatically prompt you to provide a second factor if necessary. The type of query depends on your registered login methods and your stored preferences on the Microsoft page My Sign-Ins.
New WU employees are guided through a process when first using their WU account and set up a second factor during that process.
Existing employees of WU Vienna who have not yet registered a token with Microsoft will be automatically prompted to create a new token after the implementation of Conditional Access during their first login.
If you have problems logging in for the first time after switching to WU’s conditional access framework, open the My Sign-Ins page in a private browser session (inkongnito mode).
(1) Microsoft Authenticator app
If you have registered the Microsoft Authenticator app as your second factor, a number matching usually occurs in the app on your smartphone or tablet.
Advantages of the Microsoft Authenticator app
It increases the security of your login under Windows 11.
You can use Windows Hello for logging in conveniently using the biometric login on your notebook (i.e. facial recognition, fingerprint).
(2) Other Authenticator App
If you have registered a different authenticator app as your second factor you will be prompted to enter a six-digit OTP (=Code).
This login method does not support biometric login on your centrally managed device. Windows Hello (i.e. logging in with fingerprint or face ID) cannot be used with it.
Biometric login with Windows Hello requires that you use the Microsoft Authenticator app for the second factor.
(3) Hardware Token
If you have registered a hardware token issued by IT-SERVICES as your second factor, you you will be prompted to enter a six-digit OTP (=Code).
New employees at WU Vienna need to visit the IT Support Center (building D2, entrance C - show location) if they want to register a hardware token as their first second factor when completing the setup of their new WU account.
Manage Login Methods
Login and setup of Two-Factor Authentication are done through the website My Sign-Ins. There you also manage your existing tokens - Microsoft refers to these as login methods.
You can add new login methods
(e.g., register a second authenticator app on another smartphone as a backup)You can delete existing login methods
(e.g., if you replace your old smartphone with a new device. However, you must first register your new smartphone as a new token)You can change your default login method
The selectable options may depend on already registered login methods (tokens)Notification = number matching with the Microsoft Authenticator App
Code = six-digit OTP via an authenticator app or a hardware token
Procedure for Changing Mobile Devices
Important!
Already registered tokens in the authenticator app will not automatically be transferred to your new device!
Only pass on your old mobile device after you have registered an authenticator app of the new mobile device on the website.
Register your new mobile device on the website My Sign-Ins. For login, you still need your old, already registered mobile device.
Delete the token1) from the authenticator app on your old mobile device. You may need to authenticate for this.
1) Tokens are items or information that only you possess. The entry in the authenticator app for your WU account is also referred to as a token.Finally, delete the entry of your old mobile device on the website My Sign-Ins. This will prevent this login method from being used for authentication at WU Vienna.
Reset your old device before passing it on to someone else (or returning it to IT-SERVICES).
Missing Token (Authenticator App, Hardware Token)
2FA is based as a protection mechanism on the premise that items in your possession are harder to steal than your password. If you have lost your authentication medium (smartphone, HW token), you cannot log in. A login also fails if you have not registered your authenticator app or your hardware token (see section Available 2FA Methods & Setup).
Lost Authentication Medium
Please contact IT support and provide a verifiable proof of identity (e.g., valid photo ID). Contact: hotline@wu.ac.at.
You will receive further information from IT support regarding the next steps.
Using the response from IT support, delete the token that you lost. Go to the website My Sign-Ins to do so.
Ensure that you have registered a new token before logging out from the Microsoft page.
Stolen Authentication Medium
Please follow the steps under the section Lost Authentication Medium (see above).
Additionally, follow the steps on the page Loss of Your WU Mobile Device if the device belongs to (or is managed by) WU Vienna.