Die am KIT eingesetzten Token

Im Rahmen der Zwei-Faktor-Authentifizierung können am KIT verschiedene Geräte eingesetzt werden. Diese werden im folgenden beschrieben.

App auf dem Smartphone

Mit einer passende App (gemäß RFC 6238) können Smartphones Anmeldecodes für die Zwei-Faktor-Authentifizierung am KIT erzeugen. Dazu ist keine Datenübertragung nötig, die Nutzung ist also ohne Internetverbindung, bespielsweise im Flugmodus, möglich. Angezeigt wird ein 6-stelliger Code zur Anmeldung, der nur eine Minute lang gültig ist.

Der Einsatz enier solchen App hat verschiedene Vorteile

  • Es greifen die üblichen Schutzmaßnahmen des Smartphone vor unberechtigter Nutzung (PIN, Fingerabruck, Face-ID), während ein verlorenes oder gestohlenes Hardwaretoken von einem Fremden ohne weiteres genutzt werden könnte.
  • In der Regel wird das eigene Smartphone seltener vergessen, als ein zusätzlich mitzuführendes Hardware-Token.
  • Die Registrierung ist durch die Nutzenden sehr einfach selbst möglich, während die Verteilung der Hardware-Token einen größeren logistischen Aufwand darstellt. Das gilt nicht nur für die Nutzenden, die passende Token nur am zentralen Servicedesk des SCC oder ggf. bei den Sekretariaten der Organisationseinheiten erhalten können, sondern durch den Aufwand für Vorratshaltung und Verteilung auch im Hintergrund. Insbesondere bei der Arbeit im Homeoffice oder dem verständlichen Wunsch einer Kontaktminimierung ist dies ein nicht zu unterschätzender Vorteil der App-Lösung.
  • Der ökologische Fußabdruck fällt bei einem ohnehin vorhandenen Smartphone geringer aus, als bei einem zusätzlichen Hardware-Token. 

Deshalb möchten wir unseren Nutzenden diese Variante besonders empfehlen.

Allerdings ist bei einem Wechsel des Smartphone darauf zu achten, auch auf dem neuen Geräte die App zur Zwei-Faktor-Authentifizierung einzurichten, bevor das Altgerät außer Betrieb genommen und beispielsweise auf Werkseinstellungen zurückgesetzt wird.

Von uns getestete und unterstützte Apps verlinken wir im Self-Service unter https://my.scc.kit.edu/token 

KIT-Token mit Display für Mitarbeiter

Für Mitarbeiter wurden Token mit Display beschafft, die auf Knopfdruck einen 6-stelligen Code zur Anmeldung anzeigen, der nur eine Minute lang gültig ist. Diese Geräte bieten maximale Flexibilität und sind mit allen Betriebssystemen und Geräten einsetzbar. Die KIT-Token sind in blau gehalten und tragen das KIT-Logo.

Vor dem Hintergrund der Kontaktvermeidung sollte die Ausgabe der Hardware-Token zur Zeit möglichst vermieden werden, der Einsatz einer App auf dem Smartphone ist deshalb zu bevorzugen.

Die Geräte sind manipulationssicher konstruiert, was in diesem Fall leider bedeutet, dass die verbaute Batterie nicht ausgetauscht werden kann. Deshalb ist die Lebensdauer begrenzt.

USB-Token für Mitarbeiter

Alternativ wurden auch Geräte mit USB-Anschluss evaluiert und beschafft. Diese setzen einen frei zugänglichen USB-Anschluss voraus, sind aber ansonsten als USB-Tastaturen ohne besondere Treiberinstallation mit den üblichen Betriebssystemen kompatibel. Sollte im Einzelfall ein KIT-Token mit Display nicht eingesetzt werden können, kann das KIT-Token beim Servicedesk des SCC gegen ein USB-Token umgetauscht werden.

Ausgedruckte Backup-Liste

Jeder Nutzer der Zwei-Faktor-Authentifizierung hat die Möglichkeit, sich eine Backup-Liste mit Einmal-Codes auszudrucken. Diese können im Bedarfsfall (Verlust, Defekt,... des regulären Tokens) verwendet werden. Die Einrichtung einer solchen Liste wird empfohlen, sofern die Liste vor fremdem Zugriff geschützt aufbewahrt werden kann (z. B. in der Brieftasche oder eingeschlossen im Rollcontainer). Diese Backup-TAN-Liste können Sie sich unter "Neues Token" im Reiter "Backup-TAN-Liste" in Ihrer Tokenverwaltung unter https://my.scc.kit.edu/token anlegen.