Passkey (MFA-Lösung für Webanwendungen)
Informationen zu Passkey
Um Onlinedienste und Anwendungen in Anspruch zu nehmen, bei denen viele persönliche Daten hinterlegt werden können, braucht man eine möglichst sichere Form der Authentisierung. Damit soll sichergestellt werden, dass nur eine berechtigte Person Zugriff zu einem Account und den damit verbundenen Funktionen erhält. Bestanden persönliche Zugangsdaten früher lediglich aus einem Anmeldenamen in Kombination mit einem Passwort, gibt es heutzutage zusätzlich viele weitere und sichere Möglichkeiten der Anmeldung an einen Account (Online-Konto).
Deswegen führt Otto-Friedrich-Universität Bamberg den sogenannten Passkey ein. Passkey ist eine Methode zur passwortfreien Authentifizierung, die mehr Sicherheit und auch Bequemlichkeit bieten soll als herkömmliche Passwörter. Diese Methode kann allein oder als sogenannter zweiter Faktor eingesetzt werden.
Das funktioniert wie folgt: Wenn Sie mit Ihrem Nutzerkonto auf einen Onlinedienst der Universität zugreifen möchten, müssen Sie zuerst bestätigen, dass dies tatsächlich Ihr Nutzerkonto ist. Momentan werden dazu BA-Nummer und das dazugehörige Kennwort genutzt.
Einen Passkey richten Sie einmalig und mit wenigen Klicks in den Sicherheitseinstellungen einer Webseite ein. Wenn Sie sich von fortan einloggen möchten, wählen Sie nur ihr Nutzerkonto noch aus und bestätigen den Login etwa mit Ihrem Fingerabdruck oder einem Gesichtsscan. Die übrigen sicherheitsrelevanten Berechnungen laufen im Hintergrund ab und sind für Sie als Nutzende nicht sichtbar.
Passkey einrichten
Passkey verwalten
Die Verwaltung der Passkeys erfolgt über das IAM-Portal (iam.uni-bamberg.de). Unter dem Menüpunkt Passkeys verwalten können Sie Ihre Passkeys deaktivieren oder löschen. Bitte beachten Sie, dass der entsprechende Passkey umgehend gelöscht werden muss, falls das Gerät verloren geht oder gestohlen wird.
FAQ
BSI (Bundesamt für Sicherheit in der Informationstechnik)
Generell empfiehlt das BSI (Bundesamt für Sicherheit in der Informationstechnik) die sogenannte Multi-Faktor-Authentifizierung (Zwei-Faktor-Authentisierung). Bei dieser zweistufigen Abfrage wird neben dem Passwort zusätzlich z.B. die Eingabe eines Codes (verschickt auf ein anderes Gerät in Ihrem Besitz), ein Fingerabdruckscan oder ein USB-Token zur Identifikation gefordert. Wichtig ist, sich vor Nutzung einer Anwendung, eines Dienstes oder Geräts über die mögliche Verwendung einer Multi-Faktor-Authentisierung zu informieren. Sie erhöht das Maß an Sicherheit um ein Vielfaches.
Technischer Hintergrund der FIDO-Allianz
Hinter Passkey steckt die FIDO-Allianz. FIDO ist eine Abkürzung und steht für Fast Identity Online. Die Allianz etabliert Industriestandards, die von allen Beteiligten genutzt werden sollen. Eine solche Entwicklung ist Passkey – eine offene und herstellerunabhängige Möglichkeit zur Nutzerauthentisierung, die gleichermaßen von Wirtschaft und Staat hervorgebracht wurde. Passkey stellt dabei den Standard dar, den Hersteller und Anbieter nun in ihre Produkte einbauen können. Zur FIDO-Allianz gehören zahlreiche internationale Tech-Unternehmen und seit 2015 auch das BSI.
Warum muss für jedes Gerät ein eigener Passkey ausgerollt werden?
Der Passkey bietet einen hohen Schutz gegen aktuell bekannte Phishing-Methoden. Das liegt zum einen daran, dass Anwenderinnen und Anwender ihre Zugangsinformationen nicht mehr versehentlich weitergeben können, Passkeys auf Phishing-Webseiten nicht funktionieren und schwache Passwörter im Optimalfall gar nicht mehr zum Einsatz kommen. Der Client prüft sowohl bei der Registrierung als auch bei jedem weiteren Anmeldeversuch, ob die Webseite bzw. der Webdienst auch derjenige ist, für den er sich versucht auszugeben. Auf diese Weise kann ein Passkey nur für den korrekten Zugang genutzt werden, für welchen er generiert wurde.
Fehlermeldung: Ohne Bestätigung
Wenn beim Schritt "Passkey ausrollen" das Popup-Fenster die Bestätigung nicht zulässt, erscheint die untenstehende Fehlermeldung und der Passkey muss neu konfiguriert werden.
Komplette Passkey Deaktivierung
Im IAM-Portal können Sie unter dem Menüpunkt Passkeys verwalten Ihre Passkeys deaktivieren oder löschen.
Fehlermeldung: Passkey funktioniert nicht
Sollten Sie die Fehlermeldung bei der Validierung der Passkeys erhalten, bitten wir Sie, das Fenster erneut zu öffnen und sich mit dem Passkey anzumelden. Sollte dies nicht erfolgreich sein, starten Sie bitte den Webbrowser neu. Sollte auch dies nicht erfolgreich sein, nutzen Sie bitte die Codematrix-Anmeldung.
Informationen zu Codematrix
Codematrix ist eine eigene Art der Authentifizierung für Web-Anwendungen durch Shibboleth, die für alle als Notfallauthentifizierung verwendet wird oder wenn die Passkey Anmeldung eingerichtet werden muss.
Informationen zu MFA
Mehrfaktorauthentifizierung (MFA) ist eine Methode zur Identitätsüberprüfung, bei der Benutzer*innen mindestens einen Authentifizierungsfaktor zusätzlich zu einem Kennwort oder mindestens zwei Authentifizierungsfaktoren (2FA) anstelle eines Kennworts angeben müssen.