Zwei-Faktor-Authentifizierung (2FA) bei Conditional Access
This information is available in German and English.
🇦🇹 Deutsche Version | 🇬🇧 English Version
🇦🇹 Deutsch
Anleitungen zur Einrichtung von 2FA finden Sie im Abschnitt Verfügbare 2FA-Methoden & Einrichtung auf dieser Seite.
Schutzfunktion
Die Zwei-Faktor-Authentifizierung (2FA) ist ein Schutzmechanismus, um Accountmissbrauch vorzubeugen und die Folgen von Passwortdiebstahl einzudämmen. Accountmissbrauch kann schwerwiegende Folgen für die WU Wien und ihre Angehörigen haben: Lösegeldforderungen in Verbindung mit Datenabflüssen, lang andauernde Ausfälle oder Einschränkungen der IT-Infrastruktur sind die Worst-Case-Szenarien. Passwortdiebstähle bleiben oft unbemerkt, sofern sich die Angreifer*innen geschickt anstellen. Je mehr Zeit vergeht, desto tiefer dringen Angreifer*innen in die IT-Infrastruktur vor - und desto höher kann der Schaden für die WU Wien ausfallen.
Funktionsweise
Mit 2FA verwenden Sie zwei voneinander unabhängige Informationen (=Faktoren), um sich bei IT-Diensten anzumelden:
Erster Faktor: nur die autorisierte Person alleine darf diese wissen (z.B. Accountpasswort).
Zweiter Faktor: nur die autorisierte Person alleine darf diese besitzen (z.B. zeitlich beschränkter Zahlencode, biometrische Merkmale …).
Sie benötigen beide Faktoren gemeinsam, um sich erfolgreich zu authentifizieren:
Sie verwenden ein leicht merkbares und sicheres Passwort.
Sie verwenden einen Token in Ihrem Besitz, der einen zeitlich beschränkt gültigen Zahlencode (=OTP) erzeugt. Mit diesem Code bestätigen Sie Ihre Identität zusätzlich zum Passwort.
Als Token können Sie z.B. eine Authenticator-App auf Ihrem Smartphone oder ein kleines physisches Gerät (“Hardware-Token”) nutzen. Jeder Token muss zuerst mit Ihrem WU-Account verknüpft werden, damit er später einen gültigen OTP liefert.
Anwendungen und Online-Dienste der WU Wien fordern Sie bei Bedarf automatisch auf, einen zweiten Faktor anzugeben.
Was ist OTP bzw. TOTP?
Der zweite Faktor ist eine Ziffernfolge, die für den einmaligen Gebrauch gedacht ist, und nur eine kurze Zeitdauer gültig ist. Englisch bezeichnet man das als "Time-based One-Time Password" (abgekürzt: TOTP oder OTP).
Das OTP wird z.B. durch Authenticator Apps nach international anerkannten, kryptografischen Standards errechnet. Die Apps benötigen dafür keine Internet- oder Mobilfunk-Verbindung, daher sind sie aus Sicherheitsperspektive zu bevorzugen.
Achten Sie darauf, Ihr Mobilgerät immer auf die aktuelle Uhrzeit und Zeitzone Ihres Aufenthaltsortes einzustellen. Stimmen diese Einstellungen nicht, wird das OTP als falsch bewertet.
Die Übermittlung des OTP per SMS gilt als unsicher. Potentielle Angriffe nutzten bereits Schwachstellen im technischen Übermittlungsprotokoll für SMS, SIM-Diebstahl, Schadsoftware am Mobiltelefon oder Social Engineering bei Mobilfunk-Vertriebspartnern.
Verfügbare 2FA-Methoden & Einrichtung
Anwendungen und Online-Dienste der WU Wien fordern Sie bei Bedarf automatisch auf, einen zweiten Faktor anzugeben. Die Art der Abfrage ist abhängig von Ihren registrierten Anmeldemethoden bzw. Ihren hinterlegten Präferenzen auf der Microsoft-Seite My Sign-Ins.
Neue WU-Accountinhaber*innen werden bereits bei der ersten Verwendung Ihres WU-Accounts durch einen Prozess geleitet, um einen zweiten Faktor einzurichten.
Bestehende Mitarbeiter*innen der WU Wien, die noch keinen Token bei Microsoft registriert haben, werden nach der Umsetzung von Conditional Access beim ersten Login automatisch zum Anlegen eines neuen Tokens aufgefordert.
Sollte es beim ersten Login nach der Umstellung auf Conditional Access zu einem Problem bei der Anmeldung kommen, öffnen Sie die Seite
My Sign-Ins in einem privaten Browserfenster.
(1) Microsoft Authenticator-App
Wenn Sie die Microsoft Authenticator App als zweiten Faktor registriert haben, erfolgt üblicherweise ein Nummernabgleich in der App auf Ihrem Smartphone bzw. Tablet.
Vorteile der Microsoft Authenticator-App
Die Sicherheit Ihrer Anmeldung unter Windows 11 wird damit erhöht.
Zusätzlich können Sie Windows Hello für eine bequeme biometrische Anmeldung am Notebook nutzen (Gesichtserkennung, Fingerabdruck).
(2) Andere Authenticator-App
Wenn Sie eine andere Authenticator-App als zweiten Faktor registriert haben, werden Sie zur Eingabe eines sechsstelligen OTP (=Code) aufgefordert.
Diese Anmeldemethode unterstützt keine biometrische Anmeldung auf Ihrem zentral verwalteten Gerät. Windows Hello (Fingerprint, Face-ID) ist damit nicht nutzbar.
Die biometrische Anmeldung mit Windows Hello setzt voraus, dass Sie die Microsoft Authenticator-App für den zweiten Faktor verwenden.
(3) Hardware-Token
Wenn Sie einen (von IT-SERVICES ausgegebenen) Hardware-Token als zweiten Faktor registriert haben, werden Sie zur Eingabe eines sechsstelligen OTP (=Code) aufgefordert.
Neue Mitarbeiter*innen an der WU benötigen Unterstützung im IT Support Center (D2, Eingang C - Lageplan) wenn sie einen Hardware-Token für 2FA bei der Ersteinrichtung ihres WU Accounts verwenden möchten.
Anmeldemethoden verwalten
Anmeldung und Einrichtung der Zwei-Faktor-Authentifizierung erfolgen über die Webseite My Sign-Ins . Dort verwalten Sie auch Ihre bestehenden Token - Microsoft bezeichnet diese als Anmeldemethoden.
Sie können neue Anmeldemethoden hinzufügen
(z.B. eine zweite Authenticator-App auf einem anderen Smartphone registrieren als Backup)Sie können bestehende Anmeldemethoden löschen
(z.B. wenn Sie Ihr altes Smartphone durch ein neues Gerät austauschen. Ihr neues Smartphone müssen Sie jedoch zuvor als neuen Token anmelden)Sie können Ihre Standard-Anmeldemethode ändern
Die wählbaren Optionen sind ev. abhängig von bereits registrierten Anmeldemethoden (Tokens)Benachrichtigung = Nummernabgleich mit der Microsoft Authenticator App
Code = sechsstelliger OTP durch eine Authenticator-App oder einen Hardware-Token
Vorgehen beim Wechsel des Mobilgeräts
Wichtig!
Bereits registrierte Token in der Authenticator-App werden nicht automatisch auf Ihr neues Gerät übertragen!
Geben Sie Ihr altes Mobilgerät erst dann weiter, nachdem Sie eine Authenticator-App des neuen Mobilgeräts auf der Webseite registriert haben.
Registrieren Sie Ihr neues Mobilgerät auf der Webseite
Löschen Sie auf Ihrem alten Mobilgerät den Token1) aus der Authenticator-App. Eventuell müssen Sie sich dafür authentifizieren.
1) Token sind Dinge oder Informationen, die nur Sie besitzen. Der Eintrag in der Authenticator-App für Ihren WU-Account wird daher ebenfalls als Token bezeichnet.Löschen Sie abschließend auf der Webseite
Setzen Sie Ihr altes Gerät zurück, bevor Sie es an jemand anderen weitergeben (oder bei IT-SERVICES zurückgeben).
Fehlender Token (Authenticator-App, Hardware-Token)
2FA basiert als Schutzmechanismus darauf, dass Dinge in Ihrem Besitz schwieriger zu stehlen sind als Ihr Passwort. Haben Sie Ihr Authentifizierungsmedium (Smartphone, HW-Token) verloren, können sie sich nicht einloggen. Ein Login scheitert auch, wenn Sie Ihre Authenticator-App oder Ihren Hardware-Token nicht registriert haben (vgl. Verfügbare 2FA-Methoden & Einrichtung).
Verlorenes Authentifizierungsmedium
Kontaktieren Sie bitte den IT-Support und übermitteln Sie einen überprüfbaren Identitätsnachweis (z.B. gültigen Lichtbildausweis). Kontakt: hotline@wu.ac.at.
Sie erhalten vom IT-Support weitere Informationen zu den nächsten Schritten.
Löschen Sie mit Hilfe der Antwort vom IT-Support den Token, den Sie verloren haben. Gehen Sie dafür auf die Webseite
Stellen Sie sicher, dass Sie einen neuen Token registriert haben, bevor Sie von der Microsoft-Seite ausloggen.
Gestohlenes Authentifizierungsmedium
Führen Sie bitte die Schritte unter dem Punkt Authentifizierungsmedium verloren aus (vgl. oberhalb).
Folgen Sie zusätzlich den Schritten auf der Seite Verlust Ihres WU Mobilgeräts, wenn es sich um ein WU-Gerät handelt.