Zweifaktor-Authentifizierung
Wozu 2FA?
Zwei-Faktor-Authentifizierung beschreibt die Authentifizierung mit einem zusätzlichen Merkmal neben dem klassischen Benutzernamen und Passwort. Hierdurch wird verhindert, dass unbefugte Dritte Zugang zu Daten oder Funktionen der BTU erhalten, wenn sie auf kriminelle Weise (z.B. durch Phishing) Kenntnis persönlicher Zugangsdaten erlangt haben. Mit 2FA wird nach der Eingabe von Benutzername und Passwort auf einer zusätzlichen Authentifizierungsseite ein weiteres, individuelles und nur kurzzeitig gültiges Einmalpasswort abgefragt. Dieses kann mithilfe einer Token-Gerator-App oder mit einem einem Hardware-Token erstellt werden, wodurch sichergestellt ist, dass der Anmeldende im Besitz eines bestimmten Gerätes steht.
Die Authentifizierungsseite, auf der Sie das erzeugte Einmalpasswort (hier "Token" genannt) eingeben müssen, sieht so aus:
Welche Authenticator-App sollte ich verwenden?
Es stehen in den App-Stores der Hersteller eine Reihe von Authenticator-Apps zur Verfügung. Zudem unterstützen auch viele Passwortmanager, z.B. KeepassXC oder Bitwarden die Einbindung von 2FA Token.
Wenn Sie noch keine App für andere 2FA-Zwecke nutzen, können Sie z.B. eine der folgenden Apps installieren, welche für die Anmeldung an der BTU aber auch vielen anderen Webseiten geeignet sind:
- Android: Aegis Authenticator, Free OTP+, Authenticator Pro
- Android und iOS: 2FA Authenticator, TOTP Authenticator
Ich bin ein neuer Mitarbeiter und habe meinen BTU-Account noch nicht aktiviert.
Entscheiden Sie sich zuerst für eine Variante der 2FA. Falls Sie eien Authenticator-App verwenden wollen, installieren Sie diese aus dem entsprechenden App-Store und Sie können sofort loslegen.
Falls Sie einen Hardware-Token benötigen, melden Sie sich bitte während der Telefonzeit (Mo-Fr. 08-15) oder per Email beim Helpdesk der BTU. Dort kann ein Hardwaretoken ausgegeben werden.
Aktivieren Sie Ihren BTU-Account über das Web-Portal: https://www.b-tu.de/account/m-activate
Sie benötigen dafür Ihre BTU-Pin und einen Freischaltcode.
Ihre persönlichen Aktivierungsdaten erhalten Sie von der Abteilung Personal - mit den Nutzungsbedingungen zum BTU-Account. Bitte beachten Sie die Hinweise auf dem Begleitmaterial zum frühestmöglichen Einrichtungszeitpunkt.
Ihr BTU-Account ist bereits für Sie angelegt. Sie werden nun aufgefordert, ein sicheres Passwort zu wählen.
Nun werden Sie zur Auswahl des 2FA Authenticators geleitet.
Für die Zweifaktorauthentifizierung an den zentralen Webdiensten der BTU müssen Sie nun das Verfahren für die Erzeugung der Einmalpasswörter auswählen. Sie können zwischen der Softwarelösung (siehe: Welche Authenticator-App sollte ich verwenden?) oder dem Hardwaretoken wählen.
Wenn Sie einen Hardwaretoken besitzen, geben Sie die Seriennummer ein. Es können nur Token verwendet werden, die von der BTU für Ihre Mitarbeiter ausgegeben wurden.
Wenn Sie eine Software verwenden wollen, lassen Sie das Feld leer und gehen weiter zu Schritt 2.
Wenn Sie sich für die Softwarelösung entschieden haben, scannen Sie mit Ihrem Smartphone nun den QR-Code.
Sie werden nun aufgefordert, mit Ihrer App ein neues Einmalpasswort zu generieren.
Die 2FA-Einrichtung wird nun bestätigt.
Einmalig wird eine Seite mit Notfallcodes und einem QR-Code angezeigt. Sie können diesen QR-Code mit Ihrer Authenticator-App scannen, wenn Sie statt des Hardware-Tokens lieber Ihr Smartphone zur Erzeugung von Einmalpasswörtern nutzen möchten.
Merken Sie sich Ihre Notfallcodes gut - speichen Sie diese z.B. in Ihrem Passwortmanager ab. Ein Notfallcode kann als Ersatz für ein Einmalpasswort genutzt werden, zum Beispiel, wenn Sie einen neuen Authenticator einrichten müssen. Jeder Notfallcode ist, wie die token-erzeugten Einmalpasswörter, nur einmal gültig!
Drucken Sie sich diese Seite aus und verwahren Sie sie an einem sicheren, nur Ihnen zugänglichen Ort!
Wenn Sie nun auf "Weiter" klicken, sehen Sie alle Informationen zu Ihrem BTU-Account, wie Nutzernamen (login), Gültigkeit des Passwortes, E-Mail-Adressen und 2FA Device.
Ihr BTU-Account ist nun aktiviert und 2FA eingerichtet.
Mein BTU-Account ist schon aktiviert, wie wird die 2FA eingerichtet?
Melden Sie sich am Web-Portal des BTU-Accounts an: https://www.b-tu.de/account/ und wählen "2FA Token verwalten“.
Für die Zweifaktorauthentifizierung müssen Sie nun ein Verfahren für die Erzeugung von Einmalpasswörtern auswählen.
Sie können zwischen der Softwarelösung (siehe: Welche Authenticator-App sollte ich verwenden?) oder dem Hardwaretoken wählen.
Wenn Sie einen Hardwaretoken besitzen, geben Sie hier die Seriennummer (Rückseite des Gerätes) ein.
Möchten Sie eine Software verwenden, lassen Sie bitte das Feld frei und gehen Weiter.
Scannen Sie nun mit Ihrer gewählten App den QR-Code und generieren Sie danach ein Einmalpasswort, um die korrekte Funktion zu prüfen.
Das sechsstellige Einmalpasswort ist nur für kurze Zeit (30 Sekunden) gültig. Falls das Einmalpasswort verschwindet, bevor Sie es eingeben konnten, müssen Sie ein neues generieren.
Wenn Sie neben dem Hardware-Token eine Smartphone-App zur Erzeugung der Einmalpasswörter nutzen möchten, installieren Sie eine geeignete App und scannen den QR-Code. Anschließend erzeugen Sie ein Einmalpasswort zur Überprüfung und gehen Weiter.
Bestätigung der 2FA-Einrichtung
Einmalig wird eine Seite mit Notfallcodes, einem Link zu einer Testseite und einem QR-Code angezeigt. Sie können diesen QR-Code mit Ihrer Authenticator-App auf Ihrem Smartphone scannen, wenn Sie statt des Hardware-Tokens lieber Ihr Smartphone zur Erzeugung von Einmalpasswörtern nutzen möchten.
Merken Sie sich Ihre Notfallcodes gut - speichen Sie diese z.B. in Ihrem Passwortmanager ab. Ein Notfallcode kann als Ersatz für ein Einmalpasswort genutzt werden, zum Beispiel, wenn Sie einen neuen Authenticator einrichten müssen. Jeder Notfallcode ist, wie die token-erzeugten Einmalpasswörter, nur einmal gültig!
Hinweis: Klicken Sie nicht auf den Link "Zuordnung löschen", denn dadurch wird die eben eingerichtete Registrierung Ihres Hardware-Tokens wieder gelöscht.
Drucken Sie sich diese Seite aus und verwahren Sie sie an einem sicheren, nur Ihnen zugänglichen Ort!
Was passiert bei Verlust des passworterzeugenden Gerätes?
Sollten Sie Ihren Hardware-Token bzw. Ihr Smartphone verlieren, müssen Sie das umgehend im Bereich Nutzerdienste oder an it-support(at)b-tu.de melden, damit die Zuordnung Ihres BTU-Accounts zu diesen Geräten aufgehoben werden kann. Wenn Sie Ihre Notfallcodes oder Ihr alternatives passworterzeugendes Gerät (Smartphone bzw. Hardware-Token) parat haben, können und sollten Sie Ihre Geräte im BTU-Account selbst sperren, bevor Sie den Verlust melden.
Klicken Sie in Ihrem BTU-Account unter "2FA Token verwalten" auf "Zuordnung löschen":
Hinweis: Die Löschung der Zuordnung führt zum Verlust des Zugangs zu Ihrem Konto und allen 2FA-geschützten Diensten.
Nach dem Löschen der Zuordnung wird vom IT-Service eine neue Zuordnung hinzugefügt und ein neuer Token hinterlegt. Bitte melden Sie sich im Bereich Nutzerdienste oder it-support(at)b-tu.de oder kommen Sie zu den Servicezeiten zu uns ins VG1C .
Hardware-Token
Bei Bedarf kann ein Hardware-Token ausgegeben werde. Bitte wenden Sie sich an an die Nutzerdienste bei IT-Services. Sie können dort zu den Hotline-Zeiten einen Token ausgegeben bekommen.
Optimaler Weise empfehlen wir die Vorabstimmung eines Abholunsgzeitfensters. (per Email: it-support(at)b-tu.de oder Telefon: 0355 69 1000 )
Den Hardware-Token kann man als Schlüsselanhänger verwenden und so immer mit sich führen. Wie für Wohnungsschlüssel gilt übrigens auch für Sicherheitstoken: Niemals Adresse oder Namen auf den Schlüssel schreiben!
Ein Drücken des grauen Knopfes erzeugt das erwähnte Einmalpasswort, das maximal 30 Sekunden gültig ist - der kleine vertikale Balken links vom Passwort informiert Sie über den Ablauf der Gültigkeitszeit.
Ansprechpartner
- Technische Fragen z.B. zur Einrichtung: Nutzerdienste bzw. Helpdesk
(T: 69-1000; Mail: it-support(at)b-tu.de)