Multi-Faktor-Authentifizierung (MFA) an der Universität Ulm

Um das gesamte Serviceangebot der Universität Ulm nutzen zu können, müssen sich Mitglieder der Universität an unterschiedlichen Stellen mit ihrem kiz-Account authentifizieren. Über diese Authentifizierung wird sichergestellt, dass nur berechtigte Personen auf das Serviceangebot der Universität sowie ihre persönlichen Daten zugreifen können.

Da die Kombination aus Nutzername und Passwort für die Authentifizierung nur solange einen ausreichenden Schutz bietet, wie diese geheim sind, versuchen Cyberkriminelle vermehrt per Phishing-E-Mails u.A. diese zu erlangen. Um dem entgegen zu wirken erfolgt bei der Multi-Faktor-Authentifizierung (MFA) der Identitätsnachweis neben dem bekannten Benutzername und Passwort über einen zusätzlichen unabhängigen Faktor. Hierdurch wird der Zugriffsschutz deutlich erhöht. An der Universität Ulm werden für die MFA in einem zweistufigen Verfahren zunächst Nutzername und Passwort und in einem zweiten Schritt ein zeitbasiertes Einmalpasswort (TOTP) geprüft.

Welche Logins werden durch die MFA abgesichert?

Die Einführung der MFA an der Universität Ulm erfolgt in zwei Stufen:

Stufe 1 (vom 01.08.2024 - 31.10.2024):
Zunächst werden die Verwaltung der digitalen Identitäten und der Zugriff auf das Netzwerk der Universität abgesichtert

  • IDM (Identitätsverwaltungssystem der Universität Ulm)
  • VPN (Zugang zum Campusnetz)

Stufe 2 (01.11.2024):
Durch die Anbindung des zentralen Shibboleth Identitätsproviders (IdP) wird der Zugriff auf diverse weitere Systeme abgesichert, z.B.:

  • E-Rechnung
  • b-ite Bewerberportal
  • Anmeldung Hochschulsport

Das kiz arbeitet beständig an der Anbindung weiterer zentraler Systeme wie der Lernplattform Moodle.

Wer ist betroffen?

Gem. eines Beschlusses des Präsidiums der Universität Ulm ist die Nutzung der MFA ab dem 01.11.2024 für alle Mitglieder der Universität Ulm verpflichtend.

Wie kann ich die MFA nutzen?

Je nach Personengruppe können die folgenden Verfahren für die Erzeugung eines zweiten Faktors genutzt werden:

Übersicht Personengruppen

Grundsätzlich wird die Nutzung einer Authenticator-App auf einem Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.

Grundsätzlich wird die Nutzung einer Authenticator-App auf einem dienstlichen oder privaten Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.

Für Beschäftigte der Zentralen Universitätsverwaltung ist für die Generierung von TOTPs die Nutzung eines Hardware-Tokens vorgeschrieben.

Grundsätzlich wird die Nutzung einer Authenticator-App auf einem Smartphone oder Tablet empfohlen. Sollten Sie kein solches Gerät besitzen, können über den Servicepoint "Ausleihe" in der Bibliotheks-Zentrale Hardware-Tokens erworben werden.

Sollte ein Zugriff auf das Verwaltungsnetz oder das GLT-Netz der Universität benötigt werden, muss über die zuständige Führungskraft ein Hardware-Token beantragt werden:

FAQ

Um einen verlorenen Software- / Hardware-Token zurück zu setzen müssen Sie ihr IDM-Passwort zurücksetzen. Dies können Sie mit Ihrer Chipkarte sowie der Chipkarten-PIN an den bekannten SB-Terminals (Uni-Ost: Eingang Süd und Eingang Nord, Uni-West: Foyer Bibliotheks-Zentrale) selbständig erledigen. Sollte es Ihnen aus wichtigen Gründen nicht möglich sein das Passwort selbstständig zurückzusetzen können Sie sich auch an den Helpdesk des kiz wenden. Dieser sendet Ihnen nach erfolgter Identitätsprüfung ein neues Initialpasswort für den Login am IDM zu.

Wichtig: Nach dem Zurücksetzen des IDM-Passworts können Sie sich einmalig mit dem zugeteilten Initialpasswort ohne zweiten Faktor nur am IDM anmelden. Es ist erforderlich, dass Sie sich neben der Änderung des IDM-Passworts in der gleichen Sitzung auch einen neuen zweiten Faktor (Software / Hardware-Token) zuweisen und aktivieren. Ohne diesen können Sie sich nicht mehr am IDM anmelden und müssen die Passwortzurücksetzung erneut durchführen. Sollten Sie nicht mehr im Besitz des Hardware-Tokens sein, müssen sich sich zunächst einen entsprechenden Ersatz beschaffen.

Nein, aus Sicherheitsgründen kann immer nur ein aktiver Software- oder Hardware-Token genutzt werden. Die Aktivierung eines weiteren Tokens über das IDM deaktiviert automatisch den bestehenden Token.

Für den Umzug von Software-Tokens können Sie entweder die in den Authenticator-APPs vorgesehenen Optionen nutzen oder Sie können sich erneut im IDM anmelden und sich auf Ihrem neuen Endgerät einen neuen Software-Token generieren und aktivieren. Dieser neue Token ersetzt Ihren bestehenden Token, der seine Gültigkeit damit verliert.

Für die Authentisierung an der vom kiz betriebenen MFA-Lösung können ausschließlich vom kiz erzeugte oder verwaltete Tokens genutzt werden. Es ist nicht möglich dezentral erworbene Tokens oder Tokens von Dritten zu importieren.

Private Endgeräte sollten im Allgemeinen nicht für dienstliche Zwecke verwendet werden. Dies wird beispielsweise auch in den Online-Kursen zur Awareness vermittelt. Allerdings sind aus Gründen der Praktikabilität Ausnahmen von dieser allgemeinen Regel vorgesehen. So dürfen Soft-Tokens auch auf privaten Endgeräten (i.d.R. Smartphone) eingerichtet und damit verwendet werden. Dadurch entsteht, wenn überhaupt, kein nennenswert höheres Risiko. Sollten Sie aus anderen Gründen ein privates Gerät dafür nicht verwenden wollen, so müssen Sie sich beim kiz ein Hardware-Token besorgen, was für Beschäftigte kostenlos ist. Im Hinblick auf den reinen Sicherheitsaspekt ist das aber nicht erforderlich.

Die Module zur Awareness sind von uns eingekauft und können daher nicht in allen Details abweichende Regelungen an der Universität Ulm wiedergeben.

Nein, ein TOTP (zeitbasiertes Einmalpasswort) wird 2 Mal pro Minute erzeugt und gilt jeweils für 30 Sekunden. Während der Gültigkeit des TOTP kann es nur einmalig verwendet werden. Sollten Sie innerhalb kurzer Zeit mehrere TOTPs benötigen, müssen Sie leider aufgrund von technischen Restriktionen nach der erfolgreichen Nutzung eines TOTPs ein paar Sekunden warten, bis ein neuer TOTP generiert wurde (maximal 30 Sekunden).

TOTPs werden zeitbasiert zweimal pro Minute erzeugt und können während Ihrer Gültigkeit nur einmalig genutzt werden. Bei der erfolgreichen Zuweisung eines Tokens wird der aktuelle TOTP verbraucht und kann nicht erneut verwendet werden. Das bedeutet, dass Sie für einen erneuten Test des Tokens bzw. die nächste Verwendung für einen Login bis zur Erzeugung eines neuen TOTPs warten müssen (maximal 30 Sekunden).

Kommunikations- und Informationszentrum (kiz)

Kontaktieren Sie uns bei Fragen und Problemen zu den Services des kiz:

Sprechzeiten
Montag - Donnerstag
09:00 - 12:00 Uhr
13:00 - 15:30 Uhr

Freitag
09:00 - 12:00 Uhr

Telefon
+49 (0) 731 / 50 - 30000

Telefax
+49 (0) 731 / 50 - 1230000

Rückruf beauftragen
helpdesk(at)uni-ulm.de
Support-Portal (Uni intern)
[mehr]

An den Service-Points können Sie uns persönlich aufsuchen.

[mehr]

Self Service Funktionen des Identitätsmanagementsystems (IDM): Berechtigungen verwalten, Dienste abonnieren, Passwörter ändern etc.

IDM Self Services
[mehr]

Recherche im Bibliotheksbestand nach Monografien, Lehrbücher, Zeitschriften, Hochschulschriften, E-Books, E-Journals, Nationallizenzen, sowie im Bestand des institutionellen Repositoriums OPARU:

Bibliothekskatalog::lokal

Etwa 400 Stichwörter führen Sie direkt zu einer einschlägigen Web-Seite des kiz. Wenn Sie ein Stichwort vermissen, geben Sie uns Nachricht an das Team Public Relations.

A-Z-Liste

An wen kann ich mich bei Problemen wenden?

Bei Problemen und Fragen wenden Sie sich bitte an: helpdesk(at)uni-ulm.de