Zwei-Faktor-Authentifizierung mit OTP
Die Universität Münster hat sich entschieden, zur Verbesserung der IT-Sicherheit der eigenen Systeme viele Zugänge mit einer sog. Zwei-Faktor-Authentifizierung abzusichern. Dies bedeutet, dass man neben dem Passwort eben noch einen weiteren, zweiten Faktor beibringen muss, damit die Authentifizierung eines Accounts gelingt. Ganz konkret wird zusätzlich ein sogenanntes Einmalpasswort verlangt, das wie eine TAN im Online-Banking fungiert und nur kurze Zeit gültig ist.
Damit der beabsichtigte Schutz vor Abhören der Passworte erreicht wird, wird dieses Einmalpasswort jedesmal bei Bedarf neu erzeugt von einem Gerät oder einer Software auf einem bestimmten Gerät , einem sogenannten OTP-Generator. Dabei steht OTP für 'one-time password', genauer wird hier das Verfahren TOTP (time based one-time password) benutzt.
Dieser OTP-Generator kann eine App auf einem Smartphone oder Tablet sein, aber auch ein Programm auf einem PC, Laptop, Netbook oder auch ein separates kleines Hardware-Gerät ('Token') exklusiv für diesen Zweck, das aussehen kann wie ein kleiner Taschenrecher oder sogar wie eine Kreditkarte.
Bei der erforderlichen Registrierung eines konkreten OTP-Generators für Ihren Account an der Universität Münster erzeugt das IT-Portal zunächst einen geheimen Schlüssel, den Sie dann in Ihrem OTP-Generator bei der Konfiguration abspeichern. Anschliessend ist dieser konkrete OTP-Generator registriert und kann auf Knopfdruck für Sie OTP-Passworte erzeugen.
Am besten registrieren Sie direkt einen weiteren OTP-Generator (vorzugsweise auf einem anderen Gerät), denn wenn Sie diesen ersten OTP-Generator 'verlieren' - zum Beispiel weil Ihr Smartphone geklaut wird oder die Festplatte Ihres Laptops kaputt geht - ist das Zurücksetzen ansonsten aufgrund der ja damit beabsichtigen Steigerung der Sicherheit recht aufwändig und mühsam, i.a. müssten Sie persönlich mit Ausweis bei der CIT erscheinen.
Hingegen können Sie dies ganz selbständig erledigen, wenn Sie zuvor einen zweiten oder sogar dritten OTP-Generator für diesen Zweck registiert haben. Grundsätzlich können Sie viele OTP-Generatoren registrieren, was Vorteile hat beispielsweise, wenn Sie dafür auch Geräte (PC am Arbeitsplatz + PC zu Hause) benutzen, die ortsfest sind und eben nicht mobil.
Im Falle des Verlusts eines OTP-Generators loggen Sie sich einfach schnellstmöglich mit einem der anderen registrierten OTP-Generatoren ein und entfernen die Registrierung des verlustigen OTP-Generators von Ihrem Account.
OTP-Generatoren:
Auf den Seiten der CIT zu OTP gibt es Vorschläge und Anleitungen für OTP-Generatoren für verschiedene Betriebssysteme sowie eine verlinkte FAQ.
Auf den Arbeitsplatzrechnern der Rechtswissenschaftlichen Fakultät können Sie das Programm 'Keepass' aus dem Software-Center installieren. Es dient zwar vorrangig als Passwort-Safe, kann aber auch als OTP-Generator fungieren. Wir haben hier aktuell 'Keepass 2.54' mit dem Plugin 'KeeOtp2' im Angebot. Für die Nutzung auf eigenen Rechnern kann auch 'KeePassXC' empfohlen werden.
Für Keepass2 gibt es bereits eine Anleitung der CIT.
Im Falle des zusätzlich installierten Plugins, kann man bei einem vorhandenen Eintrag (dessen Passwortwert hierfür unwichtig ist) mit Rechtsclick im Kontextmenü die benötigten Funktionen erreichen, zunächst die Erstkonfiguration 'Configure OTP' und danach das Erzeugen der Einmalpasswörter mit 'Copy OTP' für die Zwischenablage zum anschließenden Einfügen bzw. 'Show OTP' zum Abtippen.