Passwortlose Anmeldung an unseren Webseiten

Die passwortlose Anmeldung an den KIT-Webseiten ist das empfohlene Anmeldeverfahren. Es ist nicht nur sehr komfortabel, sondern durch das verwendete Verfahren (Passkey, Webauthn) gleichzeitig besonders sicher. Es ist die aktuelle Weiterentwicklung der etablierten Zwei-Faktor-Authentifizierung (2FA) .

Zur passwortlosen Anmeldungen werden zunächst persönliche Geräte (Notebook, Handy, ...) unter https://my.scc.kit.edu/token mit dem eigenen Konto verknüpft. Anschließend muss das Gerät zur Anmeldung nur noch entsperrt werden (Fingerabdruck, Gesichtserkennung, PIN), die Anmeldung selbst erfolgt passwortlos.

Dieses Verfahren ersetzt in einem Schritt die Eingabe der Nutzerkennung, des Passworts und auch die Nutzung eines zweiten Faktors. Die gängigen Browser auf den verbreiteten Betriebssystemen sind von uns getestet und unterstützt.

Sollten Sie für spezielle VPN-Konfigurationen eine Multi-Faktor-Authentifizierung benötigen, müssen Sie zusätzlich eines der anderen Verfahren einrichten, da die passwortlose Anmeldung mit Passkeys nur für unsere Webseiten verfügbar ist. 

Weitere Dokumentation finden Sie auf der Einrichtungsseite für Passkeys.

Zwei-Faktor-Authentifizierung (2FA) für VPN

Die Anmeldung an unseren Webseiten und am VPN-Dienst ist auch mit Nutzerkennung, Passwort und einem zweiten Faktor in Form eines Einmal-Codes möglich. Dieser spezielle Code kann am einfachsten über eine Handy-App erzeugt werden, außerdem unterstützen wir weiterhin auch Hardware-Token sowie Yubikey. 

Authenticator-App auf dem Smartphone

Mit einer passenden App (gemäß RFC 6238) können Smartphones Anmeldecodes für die Zwei-Faktor-Authentifizierung am KIT erzeugen. Dazu ist keine Datenübertragung nötig, die Nutzung ist also ohne Internetverbindung, beispielsweise im Flugmodus, möglich. Angezeigt wird ein 6-stelliger Code zur Anmeldung, der eine Minute lang gültig ist.

Der Einsatz einer solchen App hat verschiedene Vorteile gegenüber den ebenfalls angebotenen Hardware-Token.

• Es greifen die üblichen Schutzmaßnahmen des Smartphone vor unberechtigter Nutzung (PIN, Fingerabdruck, Face-ID), während ein verlorenes oder gestohlenes Hardwaretoken von einem Fremden ohne weiteres genutzt werden könnte.
• In der Regel wird das eigene Smartphone seltener vergessen, als ein zusätzlich mitzuführendes Hardware-Token.
• Die Registrierung ist durch die Nutzenden sehr einfach selbst möglich, während die Verteilung der Hardware-Token einen größeren logistischen Aufwand darstellt. Das gilt nicht nur für die Nutzenden, die passende Token nur am zentralen Servicedesk des SCC oder ggf. bei den Sekretariaten der Organisationseinheiten erhalten können, sondern durch den Aufwand für Vorratshaltung und Verteilung auch im Hintergrund. Insbesondere bei der Arbeit im Homeoffice oder dem verständlichen Wunsch einer Kontaktminimierung ist dies ein nicht zu unterschätzender Vorteil der App-Lösung.
• Der ökologische Fußabdruck fällt bei einem ohnehin vorhandenen Smartphone geringer aus, als bei einem zusätzlichen Hardware-Token.

Deshalb möchten wir unseren Nutzenden diese Variante besonders empfehlen, sofern die passwortlose Anmeldung (z.B. für VPN) nicht genutzt werden kann.

Apps, die den RFC 6238 Standard implementieren, sind z.B.: Google Authenticator, Microsoft Authenticator oder FreeOTP.

KIT-Token mit Display für Mitarbeitende

Für Mitarbeitende wurden Token mit Display beschafft, die auf Knopfdruck einen 6-stelligen Code zur Anmeldung anzeigen, der eine Minute lang gültig ist. Diese Geräte bieten maximale Flexibilität und sind mit allen Betriebssystemen und Geräten einsetzbar.

Die Geräte sind manipulationssicher konstruiert, was in diesem Fall leider bedeutet, dass die verbaute Batterie nicht ausgetauscht werden kann. Deshalb ist die Lebensdauer begrenzt. 

Yubikey für Mitarbeitende

Diese Option setzt einen frei zugänglichen USB-Anschluss voraus und ist ohne besondere Treiberinstallation mit den üblichen Betriebssystemen kompatibel. Sollte im Einzelfall die anderen Alternativen nicht eingesetzt werden können, können Mitarbeitende beim Servicedesk des SCC ein solches Gerät erhalten. 

Ausgedruckte Backup-Liste

Alle Nutzenden der Zwei-Faktor-Authentifizierung haben die Möglichkeit, eine Backup-Liste mit Einmal-Codes auszudrucken. Diese können im Bedarfsfall (Verlust, Defekt,... des regulären Tokens) verwendet werden. Die Einrichtung einer solchen Liste wird empfohlen, sofern die Liste vor fremdem Zugriff geschützt aufbewahrt werden kann (z. B. in der Brieftasche oder eingeschlossen im Rollcontainer). Wie allen anderen Verfahren wird auch die Backup-TAN-Liste in der Tokenverwaltung unter https://my.scc.kit.edu/token angelegt.

Voraussetzungen

Sowohl die passwortlose Anmeldung, als auch die Anmeldung mit zweitem Faktor können auf allen Webseiten eingesetzt werden, die die zentralen Single-Sign-On-Dienste des KIT (Shibboleth, ggf. mittelbar über bwIDM) verwenden.