Ein Authenticator dient, wie der Name schon sagt, zur Verifikation einer Person, eines Endgerätes oder eben des RZ-Accounts. Dies kann durch Einmalpasswörter, Fragen (Challenge-Response) oder andere Methoden geschehen, die den Besitz des genehmigten Smartphones bestätigen.

HINWEIS: Der Yubico Authenticator funktioniert nur, in Kombination mit einem YubiKey.

Der Yubico Authenticator ist eine App, die auf ein beliebiges Smartphone installiert werden kann, um Einmalpasswörter (OTPs) zu generieren. Das bedeutet, dass dieser wie der Google- oder Microsoft Authenticator bei einer Authentisierung fungiert.

Authenticator-App-Link

Der Google Authenticator ist wohl der bekannteste und der meistgenutzte Service, wenn es um 2-Faktor-Authentisierung geht. Diese Authenticator App kann wie der Microsoft oder FreeOTP Authenticator ohne zusätzlichen Token (Yubikey oder ähnliche) verwendet werden.

Google-Authenticator-Link

Anleitungen zur Einbindung des persönlichen Nutzerzertifikates (z.B. DFN PKI) in PDF Readern und den Prozess der Erstellung einer digitalen Signatur zum Unterschreiben von PDF-Dokumenten finden sie hier beispielhaft für folgende Programme.

Es empfiehlt sich, von offizieller Seite der Firma Yubikco, schon am Anfang einen 2. YubiKey zu registrieren, um dem Verlust des Hauptschlüssels vorzubeugen. Hochschulintern lässt sich so ein Backup-YubiKey von mehreren Nutzern:innen als Sicherung benutzen um den Zugriff auf sensible Informationen der Hochschule zu gewährleisten. Die Kapazitäten, bezüglich der Anzahl an Accounts die darauf gespeichert werden können, variieren von Modell zu Modell und Art des Identifikationsverfahrens deshalb empfiehlt es sich unter folgendem Link die Möglichkeiten zu prüfen. Da z.B.auf einem 'YubiKey 5 NFC' 32 TOTP Accounts gleichzeitig gehalten werden können, ist es bei größeren Abteilungen sinnvoll mehrere Backup-Keys zu benutzen.

Eine weitere Sicherungsmöglichkeit wäre die Verwendung eines Passwort-Managers, der die Backup-Codes für die Anwendungen beinhaltet. 

Bei einige Anwendungen können Administratoren:innen temporär die 2FA entfernen um in der Folge einen neuen 2. Faktor zu registrieren. Wenden Sie sich dazu an [Bitte aktivieren Sie Javascript]

Nach Möglichkeit aktivieren Sie eine dritte Authentisierungsmöglichkeit bei Anwendungen die einen dritten Faktor anbieten, wie eine Wiederherstellungs E-Mail Adresse, SMS oder Backupcodeliste.

Wird auch der Backup-Key verloren, muss damit gerechnet werden, dass alle einige Benutzerkonten auf die der YubiKey als 2FA Möglichkeit registriert wurde, unzugänglich geworden sind.

Deswegen muss der Backup-Key an einem sicheren Orte gelagert werden. An der Hochschule eignen sich Abteilungs- oder Fakultätssafes dafür. Ebenfalls sinnvoll wäre eine Dokumentierung des Zuganges zu diesen Lagerorten damit nachverfolgt werden kann wer Zugriff zu den Backup-Keys hatte.

Bitte beachten Sie auch die Backup-Prozeduren der unterschiedlichen Hersteller: YubiKey-Backup-Link

Authenticator Software:

Ein Authenticator generiert TOTPs (Time-based One Time Passwords), zumeist eine 6 stellige Ziffernfolge, mittels eines Algorithmus'. Das Gerät mit dieser Software wird in der Regel mittels einem QR-Code (über die Kamera am Smartphone) mit ihrem Konto verbunden. Sobald der QR-Code gescannt wird, erzeugt der Authenticator ein temporäres Passwort welches nach Ablauf einer gewissen Zeit (i.d.R. 30 Sek.) erneuert wird. So gelingt der Zugang zu ihrem Konto nur, wenn Sie das Gerät, das den TOPT erzeugt, im Zugriff haben und dieses TOTP eingeben.

Authenticator Hardware:

Falls Sie im Besitz eines YubiKeys sind, dient dieser als Authenticator. Nach dem erfolgreichen Einstellen des YubiKeys, reicht ein einfaches Einstecken in den Computer, um die Kontoanmeldung zu authentifizieren.

OTPs sind Passwörter sind nur 1x gültig und werden über kryptorafische Algorhythmen erzeugt. So kann verhindert werden, dass abgefangene Passwörter von Hackern missbraucht werden können.

Die gängiste Variante sind TOTPs, dabei werden zusätzlich alle 30 Sekunden neue weniger komplexe Passwörter (zumeist 6-stellige Ziffernfolgen) erzeugt.

Details dazu finden Sie auf Wikipedia - TOTP Algorhythmus.

Für die Erzeugung von TOTPs werden sogenannte Authenticator Apps (s.o.) verwendet. Dazugehörige komplexe Backup Codes sind OTPs, die nach einmaliger Verwendung verfallen.

Wenn Sie 2FA bei ihrem Konto aktiviert haben, werden Sie bei einem Anmeldeversuch zusätzlich zu ihrem Passwort, nach so einem Code gefragt. Deswegen müssen Sie im Besitz des ihrem Benutzerkontos zugeordneten Authenticators sein. So müssen sie 2 Dinge wissen um Zugang zu ihrem Konto zu erlangen. Wobei das 2. Wissen über einen ihnen zugeordneten Token (Smartphone oder USB Key, wie YubiKey) erzeugt wird.

Nein, es ist auch möglich einen anderen der oben genannten Authentikatoren zu benutzen. Oftmals gibt es noch die Authentisierung mit Hilfe der SMS-TAN oder der E-Mail. Das Prinzip der Authentifizierung ist jedoch das gleiche. Sie haben Ihr Smartphone im Besitz und es wird einmalig ein Passwort generiert oder Ihnen zugeschickt, welches Sie zusätzlich zu Ihrem gewohnten Passwort eingeben, um Zugang zu Ihrem Konto zu bekommen.

YubiKeys lassen sich leicht unter diesem Link bestellen. Es empfiehlt sich von der offiziellen Seite diese Hardware Token zu bestellen, da mögliche Falschware über Drittanbieter im Umlauf sein könnte. Dies ist zwar unwahrscheinlich, jedoch lässt sich dieses  Risiko so umgehen.

•  Hardware Token (z.B. YubiKey),
• Authenticator-Apps (z.B. FreeOTP),
• SMS-TAN,
• Push Notification (Apps von Banken)
• Smartcards
• und die Authentikation über E-Mail.

Ja, grundsätzlich kann die 2-Faktor-Authentisierung so eingestellt werden, dass mehrere Möglichkeiten verwendet werden können.

Zudem können Sie zusätzlich einen Passwort Manager benutzen, der ein Master-Passwort braucht, um ihre Passwörter zu entschlüsseln. Dieser Passwort Manager verwendet verschlüsselte Passwörter für alle Konten die man benutzt. Um dann letzendlich mehr Sicherheit zu haben, kann man das Master-Passwort mit einem Hardware Token absichern. So wird der physische Faktor der Authentisierung miteinbezogen.

Ein Passwort Manager dient dazu, konplexe und lange Passwörter zu generieren und zu speichern.
Die Datenbank der generierten Passwörter wird verschlüsselt und kann nur durch ein Master-Passwort entschlüsselt werden. Das einzige Passwort das Sie sich merken müssen ist das Master-Passwort. Somit umgehen Sie die Gewohnheit das gleiche Passwort für mehrere Konten zu benutzen und erhöhen ihre IT-Sicherheit. Zusätzlich können Sie das Master-Passwort mit anderen Hardware Authentikatoren absichern um von dem physischen Sicherheitsfaktor zu profitieren.

Allerdings verlieren Sie alle Passwörter, wenn sie ihr Master-Passwort vergessen oder die Datenbank der Passwörter verlieren.

Dazu empfiehlt sich die App Keepassxc.