skip to main contentskip to main menuskip to footer Universität Bielefeld Play Search

Campus-Support

Umstellungen des BIS Logins

ACHTUNG: Im Anmeldeverfahren zu den BIS Anwendungen finden im Juli und August 2024 verschiedene Änderungen statt! Den aktuellen Status finden Sie hier.


 

Zwei-Faktor-Authentifizierung (2FA)

Wer die Zwei-Faktor-Authentifizierung (2FA) nutzt, gibt bei der Anmeldung jeweils ein zusätzliches Einmal-Passwort an, das sich fortlaufend ändert. Wir setzen als zweiten Faktor einen Code ein, der mit Hilfe eines Passwort-Generators oder eines Smartphones jederzeit neu erzeugt werden kann. Ein etwaiger Angreifer müsste also das persönliche Passwort UND den zweiten Faktor stehlen.

Für Mitarbeiter*innen in den Prüfungsämtern und im Studierendensekretariat ist für die Arbeit in der BIS-Prüfungsverwaltung und in der Studierendenverwaltung die 2FA obligatorisch. Für diesen Personenkreis geben wir bei Bedarf ein "Security Token" aus (es kann auch freiwillig eine Smartphone-App genutzt werden). Für alle anderen Universitätsangehörigen ist die Nutzung momentan freiwillig und erfolgt per Smartphone.

2FA aktivieren

Apps für die 2FA

Um die 2FA nutzen zu können, muss auf Ihrem Smartphone eine App installiert sein, die mit der Universitäts-2FA zusammenarbeitet ("Authenticator App").

Wir empfehlen die Nutzung der Google Authenticator App, die unter Android, iOS oder Windows genutzt werden kann:

Eine Alternative stellt die Sophos Intercept X App dar:

In der App finden Sie oben rechts ein Menü, welches die Einrichtung eines neuen Kontos ermöglicht.

Für Expert*innen:

Unsere 2FA implementiert das ''Time-based One-time Password (TOTP)''- Verfahren nach RFC 6238. Im Prinzip kann daher jedes Gerät bzw. jede App verwendet werden, die diesen Standard unterstützt.

Besitzer*innen eines TOTP-fähigen YubiKeys können diesen ebenfalls mit unserer 2FA nutzen und zwar sowohl mit der Yubico Authenticator-App (Android) wie auch mit der ''Authenticator'' Anwendung für Windows und andere Betriebssysteme. Sollten Sie eine Verwendung dieses Gerätes planen und bei der Konfiguration Probleme haben wenden Sie sich an den BIS-Support.

2FA für den eigenen Zugang einrichten

Auf dieser Seite im PEVZ können Sie sich (nach erfolgreicher Anmeldung) Ihre 2FA selbst einrichten:

So lange Sie die 2FA noch nicht aktiviert haben, finden Sie dort einen Schalter, der die Aktivierung startet. Die Seite zeigt Ihnen dann einen QR-Code an, den Sie mit einer geeigneten ''Authenticator App'' auf Ihrem Smartphone einscannen.

In der ''Google Authenticator App'' tippen Sie dazu oben rechts auf die drei Punkte und im dann folgenden Menü auf 'Konto einrichten' und "Barcode scannen".

Die App wird Ihnen nach erfolgreichem Einscannen eine 6-stellige Zahl zeigen, die von da an alle 30 Sekunden wechselt. Dies ist Ihr '''Sicherheitscode'''. Damit ist die Einrichtung auf dem Smartphone abgeschlossen. Diesen Code brauchen Sie jetzt zum ersten Mal um die Einrichtung der 2FA abzuschließen: Tragen Sie den aktuell angezeigten Wert in Ihrer App in das Eingabefeld unterhalb des QR-Codes im PEVZ ein und schicken Sie das Formular ab.

Falls Sie Probleme beim Einscannen des QR-Codes haben, oder falls Sie ein Gerät verwenden, welches nicht über eine Kamera verfügt, können Sie den grundlegenden Schlüssel für die Einrichtung der App auch manuell eingeben. Dazu wird Ihnen der Schlüssel unterhalb des QR-Codes angezeigt. Die Eingabe dieses langen Textes ist fehlerträchtig und wird daher nur im Ausnahmefall empfohlen.

Die meisten Apps bieten eine entsprechende Option zur manuellen Eingabe zusätzlich zum Scannen des QR-Codes an. Dabei müssen Sie selbst einen Namen für das Konto vergeben ("Uni Login" bietet sich hier an) und meist auch einstellen welches Generierungsverfahren ('zeitbasiert') verwendet wird.

Danach funktioniert Ihre App aber genauso, also ob Sie den QR-Code eingescannt hätten.

Ersatzcodes

Auf die Schnelle: Neue Ersatzcodes

Ihre Ersatzcodes sind fast aufgebraucht und Sie müssen sich neue generieren?

Hier gehts direkt zur Verwaltung Ihrer 2FA: Zwei Faktor Authentifizierung

Wenn Sie die App verwenden

Wenn Sie die Aktivierung der Zwei-Faktor-Authentifizierung erfolgreich abgeschlossen haben, werden Ihnen Ihre '''Ersatzcodes''' angezeigt. Diese kurze Liste von 8-stelligen Codes sollten sie sofort ausdrucken und dann sicher verwahren. Mit den Ersatzcodes können Sie sich auch ohne Smartphone anmelden, was eine sinnvolle Alternative sein kann, wenn der Akku leer ist, Sie Ihr Smartpthone nicht zur Hand haben oder auf ein neues Gerät gewechselt haben.

Die Ersatzcodes können an Stelle der von der Authenticator App erzeugten Sicherheitscodes verwendet werden. Sie '''verbrauchen''' sich dabei, sind also nur ein einziges Mal einsetzbar. Sie sollten unbedingt darauf achten, dass Sie rechtzeitig Codes nachgenerieren - im Zweifelsfall brauchen Sie den letzten Ersatzcode, um sich neue Codes zu generieren, oder die 2FA wieder abzuschalten.

In der Seite mit den Einstellungen zur 2FA finden Sie am rechten Rand einen Link, der Sie in die Seite zur Verwaltung der Ersatzcodes bringt. Dort wird Ihnen die Liste Ihrer noch gültigen Ersatzcodes angezeigt. Sobald Sie einen Code verwenden verschwindet er von der Liste. Sobald Sie alle Codes verbraucht haben ist die Liste leer.

Wenn Sie ein Token verwenden

Um sich Ersatzcodes zu generieren, gehen Sie wir folgt vor;

  • rufen Sie die Seite mit den Einstellungen der Zwei-Faktor Authentifiziereung auf: Zwei Faktor Authentifizierung
  • klicken Sie im Seitenmenü den Link "Ersatzcodes für die Zwei-Faktor Authentifizierung"
  • geben Sie Anmeldenamen, Passwort und den aktuellen ZWeiten Faktor ein
  • Drucken Sie die angezeigten Ersatzcodes aus und verwahren Sie diese sicher!

Mit den Ersatzcodes können Sie sich auch ohne Token anmelden. Sie '''verbrauchen''' sich dabei, sind also nur ein einziges Mal einsetzbar. Sie sollten unbedingt darauf achten, dass Sie rechtzeitig Codes nachgenerieren - im Zweifelsfall brauchen Sie den letzten Ersatzcode, um sich neue Codes zu generieren, oder die 2FA wieder abzuschalten.

 

Wenn Ersatzcodes nicht akzeptiert werden

Wenn Sie bei der Anmeldung mit einem Esatzcode vom System abgewiesen werden, so kann dies abgesehen von einem Tippfehler nur den Grund haben, dass der Code bereits verbraucht wurde. Sie sollten dann einen anderen Code auf Ihrer Liste verwenden. Stellen Sie dabei sicher, dass Sie eine aktuelle Liste von Ersatzcodes verwenden.

Wenn Sie sich sicher sind, dass Sie einen Ersatzcode nicht selbst verwendet haben, dann sollten Sie unbedingt diese Schritte ausführen:

  • Generieren Sie sich neue Ersatzcodes
  • Entfernen Sie alle eingerichteten Vertrauensstellungen von anderen Rechnern
  • Überprüfen Sie in der Seite Meine Aktivitäten ob dort unerklärliche Logins zu sehen sind
  • Nehmen Sie Kontakt zum BIS-Support auf!

Vertrauenswürdige Rechner

Sie können Rechner, die Sie täglich verwenden und die Sie für vertrauenswürdig halten, von der 2FA ausnehmen. Dazu dient eine Option, die Ihnen bei der Eingabe des Sicherheitscodes angeboten wird und die per Voreinstellung nicht ausgewählt ist. Wählen Sie diese Option, so werden Sie erst nach 30 Tagen auf diesem Rechner wieder nach Ihrem Sicherheitscode gefragt. Ihr Passwort müssen Sie natürlich bei jedem Login weiterhin eingeben.

Auf Rechnern, die man sich mit anderen Benutzern teilt, sollte die Option nicht verwendet werden. Dies gilt erst recht für öffentlich nutzbare Rechner. Auf Rechnern, die man nur selten verwendet, lohnt die Nutzung der Option meist nicht und ein potentielles Sicherheitsrisiko wird vermieden.

Der typische Anwendungsfall ist daher der eigene Arbeitsplatzrechner, den man täglich verwendet, bei dem der Zugang durch ein persönliches Passwort geschützt ist und der professionell betreut wird.

Ihre vertrauenswürdigen Rechner können Sie auf dieser Seite verwalten:

 

2FA wieder abschalten

In der Seite zur Verwaltung der 2FA finden Sie auch einen Weg um diese wieder abzuschalten. Dazu müssen Sie allerdings Ihren zweiten Faktor im Zugriff haben, eine Abschaltung allein mit ihrem BIS Passwort ist nicht möglich, selbst wenn es sich um einen vertrauenswürdigen Rechner handelt.

Wenn Sie eine der Personen sind, die von uns ein ''Security Token'' - also ein spezielles Gerät für die Generierung der Sicherheitscodes - erhalten haben, dann können Sie die Zwei-Faktor-Authentifizierung nicht selbst wieder deaktivieren, da hier noch spezielle Konfigurationen auf Systemseite notwendig sind und das Token wieder zurückgegeben werden muss. Bitte wenden Sie sich in diesem Fall an den BIS-Support.

 

2FA auf ein neues Smartphone umziehen

Schalten Sie einmal mit Ihrem alten Smartphone die 2FA ab und richten Sie sie auf dem neuen Gerät erneut ein.

Da bei einer Abschaltung der 2FA auch alle Vertrauensstellungen von Rechnern aufgehoben werden müssen Sie sich nach der Umstellung zunächst wieder an allen Rechnern mit dem zweiten Faktor anmelden. Dabei können Sie die gewünschten Vertrauensstellungen wieder aufbauen. Auch Ihre Ersatzcodes werden neu erstellt.

Wenn man sich ausgesperrt hat

Das Smartphone ging verloren, der letzte Ersatzcode ist verbraucht oder auch wenn Sie Ihr Handy gerade nicht dabei haben und keine Ersatzcodes zur Verfügung haben - wenden Sie sich bitte an den BIS-Support

Zum Seitenanfang