Anmeldung mit Zwei-Faktor-Authentifizierung
Inhaltsverzeichnis
- Allgemeines
- 1. Schritt: Handy-App herunterladen und installieren
- 2. Schritt: Einmalige Aktivierung der alternativen Zwei-Faktor-Authentifizierung
- 3. Schritt: Herstellen einer "Verbindung" zwischen dem QR-Code und Ihrem Handy
- 4. Schritt: Verwendung der alternativen Zwei-Faktor-Authentifizierung
- Was kann man bei Verlust seines Handys tun?
- Aktivierung der Zwei-Faktor-Authentifizierung ohne ID Austria
- Wichtige Hinweise für die Verwendung der Zwei-Faktor-Authentifizierung
Allgemeines
Für den Zugriff auf das Portal Tirol von außerhalb des Landesnetzes (also etwa über Privatgeräte oder auch über das Diensthandy) gelten besonders strenge Sicherheitsanforderungen. Aus diesem Grund ist für den gesamten Bereich der Tiroler Landesverwaltung sowie für die Gemeindeverwaltung flächendeckend die Nutzung einer Zwei-Faktor-Authentifizierung (2FA) zwingend erforderlich. Konkret bedeutet dies, dass für Anmeldungen am Portal Tirol neben Benutzername und Passwort ein zusätzlicher (zweiter) Faktor verlangt wird, und zwar in Form der ID Austria oder einer sogenannten One-Time-Passwort-Lösung.
Im Folgenden wird die Aktivierung einer One-Time-Passwort-Lösung als alternative Zwei-Faktor-Authentifizierung beschrieben.
Was bedeutet "Zwei-Faktor-Authentifizierung"?
Bei der "herkömmlichen" Anmeldung am Portal Tirol mit Benutzername und Passwort gibt es nur einen Faktor, das Wissen. Wer weiß, wie Benutzername und Passwort lauten, kann sich somit anmelden. Der Nachteil dieser Anmeldemöglichkeit liegt darin, dass sich auch (unbefugte) Dritte problemlos anmelden können, wenn sie über diese Informationen verfügen.
Bei der Zwei-Faktor-Authentifizierung gibt es neben dem Wissen einen zweiten Faktor, das ist der Besitz. Das bedeutet, dass es bei dieser Anmeldemethode nicht ausreicht, etwas zu wissen (z.B. ein Passwort) um sich anzumelden, sondern dass man dazu im Besitz eines zweiten Faktors sein muss. Ein klassisches Beispiel ist die Bankomatkarte und der zugehörige PIN-Code. Man braucht beide Faktoren (Besitz der Karte und das Wissen darüber, wie der PIN-Code lautet), damit man damit Geld beheben kann.
Es gibt verschiedene technische Möglichkeiten, wie eine solche Zwei-Faktor-Authentifizierung umgesetzt werden kann. Eine davon ist die vom Land Tirol schon seit langem genutzte Anmeldung mittels ID Austria die von der Firma A-Trust im Auftrag des Bundesministeriums für Finanzen betrieben wird. Erfahrungsgemäß kann es zu Ausfällen bei diesen Services kommen, die nicht im Einflussbereich des Landes Tirol liegen.
Um gewährleisten zu können, dass sich Mitarbeiterinnen und Mitarbeiter des Landes Tirol jederzeit sicher mittels Zwei-Faktor-Authentifizierung am Portal Tirol anmelden können, auch wenn die Dienste der ID Austria gerade nicht zur Verfügung stehen, wurde im Portal Tirol eine alternative Zwei-Faktor-Authentifizierung zusätzlich zur ID Austria umgesetzt.
Diese Form der Anmeldung basiert - ähnlich wie bei der ID Austria - auf dem Prinzip der Einmalverschlüsselung. Das bedeutet, dass für jeden Anmeldevorgang ein neuer Code eingegeben werden muss, der nur zeitlich begrenzt gültig ist. Der technische Begriff dafür lautet Time-based One-time Password Algorithmus (TOTP) und beschreibt ein Verfahren zur Erzeugung von zeitlich limitierten Einmalkennwörtern.
Unter welchen Voraussetzungen kann diese alternative Zwei-Faktor-Authentifizierung verwendet werden?
Um die alternative Zwei-Faktor-Authentifizierung am Portal Tirol selbst freischalten bzw. aktivieren zu können, benötigt man zunächst
- Benutzername/Passwort, um sich am Portal Tirol anzumelden UND
- ID Austria zur einmaligen Aktivierung der Zwei-Faktor-Authentifizierung UND
- eine passende Authentifikator-App
1. Schritt: Handy-App herunterladen und installieren
Es gibt eine Reihe von Apps, die Einmalverschlüsselung anbieten/unterstützen. Der Authentifizierungsvorgang funktioniert im Wesentlichen bei allen verfügbaren Apps gleich.
Diese können im App Store (für Handys mit iOS von Apple) bzw. im Google Play Store (für Handys mit Android-Betriebssystem) heruntergeladen und anschließend am Handy installiert werden. Eine Suche nach "2 Faktor Authentifizierung" oder "Zwei Faktor Authentifizierung" liefert eine große Auswahl verfügbarer Apps (auch für Windows Phones gibt es diese Apps).
Die gängigsten Apps am Markt sind:
- FreeOTP Authenticator (datenschutzfreundliche, einfache Open-Source-Anwendung, kein Benutzerkonto erforderlich, funktioniert allerdings nur eingeschränkt auf Apple-Geräten, zur Datenschutzerklärung)
- Microsoft Authenticator (datenschutzfreundliche, einfache Anwendung, kein Benutzerkonto erforderlich, zu den FAQ (Frage 2 zu datenschutzrechtlichen Informationen))
- Google Authenticator (einfache Anwendung, kein Benutzerkonto erforderlich, zur - sehr vage gehaltenen - Datenschutzerklärung)
- Cisco Duo (einfache Anwendung, kein Benutzerkonto erforderlich, zur Datenschutzerklärung (auf Englisch))
- Authy (etwas anspruchsvollere Anwendung, Anlage eines Benutzerkontos erforderlich, zur Datenschutzerklärung (auf Englisch))
Lesen Sie sich die Datenschutzerklärungen der jeweiligen Anbieter durch bevor Sie sich für ein Produkt entscheiden, um sich darüber zu informieren, wie Ihre Daten verarbeitet werden.
Das Land Tirol kann naturgemäß keine Gewähr dafür leisten, dass die von Ihnen eingegebenen Daten vom jeweiligen Anbieter rechtmäßig verarbeitet werden.
Laden Sie sich nun die App Ihrer Wahl über den App Store bzw. den Google Play Store herunter. Unter Umständen müssen Sie der App bereits vor dem Herunterladen Zugriff auf Fotos/Medien/Dateien bzw. die Kamera erlauben.
2. Schritt: Einmalige Aktivierung der alternativen Zwei-Faktor-Authentifizierung
2.1 Anmeldung am Portal Tirol mittels ID Austria
Um die alternative Zwei-Faktor-Authentifizierung zu aktivieren, brauchen Sie zumindest die Sicherheitsklasse 2.
Diese erreichen Sie, indem Sie sich zunächst mit der ID Austria am Portal Tirol anmelden.
Wenn Sie noch nicht über eine Handysignatur verfügen, können Sie diese unter Vorlage eines gültigen amtlichen Lichtbildausweises unter ausbildungscenteroffice@tirol.gv.at beantragen.
Achtung: Auch wenn Sie sich an einem Rechner, der im Landesnetz hängt (also einem "Bürorechner") oder von zuhause auf einem Landeslaptop mit VPN oder an einem privaten Rechner mit Citrix-Zugang anmelden, müssen Sie die Anmeldung mit ID Austria durchführen.
Wie Sie sich mittels ID Austria anmelden können, finden sie hier: Anmeldung mit ID Austria.
Nach erfolgter Anmeldung mittels ID Austria ist im Portal Tirol die erreichte Sicherheitsklasse im Kopfbereich neben Ihrem Benutzernamen ersichtlich. Ob neben Ihrem Namen 2 oder 3 aufscheint, ist für das weitere Vorgehen ohne Belang.
Im nächsten Schritt öffnen Sie bitte das Benutzermenü rechts oben im Portal (durch Klick auf das weiße Dreieck rechts neben Ihrem Benutzernamen) und wählen Sie den Menüpunkt "Zwei-Faktor-Authentifizierung" aus.
2.2 Generierung des QR-Codes für die Zwei-Faktor-Authentifizierung
Auf der Maske "Zwei-Faktor-Authentifizierung" klicken Sie bitte auf die Schaltfläche "Anmeldung mit Zweitem Faktor erzeugen".
3. Schritt: Herstellen einer "Verbindung" zwischen dem QR-Code und Ihrem Handy
Damit Sie sich in weiterer Folge mittels der alternativen Zwei-Faktor-Authentifizierung am Portal Tirol anmelden können, ist eine "Verbindung" zwischen dem erzeugten QR-Code im Portal und Ihrem Handy notwendig.
1. Öffnen Sie dazu nun die von Ihnen ausgewählte App auf Ihrem Handy und fügen Sie ein neues Konto hinzu:
- FreeOTP Authenticator: Klicken Sie auf das QR-Code-Symbol oben in der Menüleiste.
- Microsoft Authenticator: Bestätigen Sie die angezeigte Datenschutzinformation mit "OK". Klicken sie nun auf "QR-Code scannen".
- Google Authenticator: Klicken Sie auf "Starten", dann zweimal "Überspringen" und dann auf "Fertig". Nun können sie ein Konto hinzufügen. Wählen dazu Sie "Barcode scannen" aus.
- Cisco Duo: Klicken sie rechts oben auf die Schaltfläche "+".
- Authy: Legen Sie zunächst über das Menü "Account Setup" ein Benutzerkonto an und wählen Sie im nächsten Schritt, ob das angegebene Telefon mittels Telefonanruf oder SMS verifiziert werden soll. Wird SMS ausgewählt, erhält man kurz darauf ein SMS vom Absender "Authmsg" mit einem 6-stelligen Code. Damit ist die Registrierung abgeschlossen, dieser Code muss nirgends eingegeben werden. Klicken Sie nun auf die drei übereinander angeordneten Punkte rechts oben in der App und wählen Sie den Untermenüpunkt "Add Account" (Konto hinzufügen) aus. Nun klicken Sie auf die blau hinterlegte Schaltfläche "Scan QR Code".
2. Unter Umständen werden Sie auf Ihrem Handy nun aufgefordert, der App Zugriff auf Ihre Handykamera zu geben. Dies ist erforderlich, da die Kamera für das Einscannen des QR-Codes benötigt wird.
3. Scannen Sie nun den QR-Code aus dem Portal Tirol ein, indem Sie den Aufnahmebereich der Kamera auf den im Portal eingeblendeten QR-Code richten.
4. Die App "liest" nun den eingescannten QR-Code und richtet für das Portal Tirol automatisch ein neues Konto ein. Je nach verwendeter App können Sie dem neuen Konto nach Belieben einen eigenen Namen geben und/oder ein kleines Bild als Symbol auswählen.
5. Die App erzeugt nun automatisch ein "Token", das ist ein Eintrag, welcher laufend neue Passwörter (in Form von 6-stelligen PIN-Codes) erzeugt.
6. Damit Sie die Anmeldung mit Zweitem Faktor aktivieren und in weiterer Folge verwenden können, geben Sie im Portal Tirol im Feld "Aktivierungscode" den aktuell generierten 6-stelligen PIN-Code ein, der in der App angezeigt wird und klicken Sie anschließend auf die Schaltfläche "Aktivierungscode für Anmeldung mit Zweitem Faktor senden".
Die in der App angezeigten PIN-Codes gelten jeweils nur 30 Sekunden und werden nach Ablauf dieser Zeit jeweils durch einen neuen Code ersetzt.
Wenn der Code nur noch wenige Sekunden gültig ist, warten Sie am besten kurz, bis dessen Gültigkeit abgelaufen sind und geben dann den nächsten PIN-Code ein, sobald er in der App eingeblendet wird.
So haben Sie wiederum 30 Sekunden Zeit, um die Aktivierung erfolgreich abschließen zu können.
Die alternative Zwei-Faktor-Authentifizierung ist nun im Portal aktiviert.Damit ist die "Verbindung" zwischen dem QR-Code und Ihrem Handy abgeschlossen und Sie können die App und das Portal jetzt schließen.
4. Schritt: Verwendung der alternativen Zwei-Faktor-Authentifizierung
Wenn Sie die alternative Zwei-Faktor-Authentifizierung im Alltag als Alternative zur ID Austria nutzen möchten, melden Sie sich zunächst wie gewohnt mit Benutzername und Passwort am Portal Tirol an.
Sie werden nun auf eine zusätzliche Anmeldemaske weitergeleitet wo Sie zwischen der "Anmeldung mit Eingabe eines zweiten Faktors" und der "Anmeldung ohne zweiten Faktor" auswählen können.
1. Anmeldung mit Eingabe eines zweiten Faktors im Bedarfsfall
Zur Eingabe eines zweiten Faktors, öffnen Sie bitte Ihre App am Handy und wählen Sie das Konto für die Anmeldung am Portal Tirol aus. Die App zeigt Ihnen nun einen sechsstelligen Code, der 30 Sekunden gültig ist und anschließend durch einen neuen Code ersetzt wird.
Geben Sie den gerade angezeigten Code ein und klicken Sie auf die Schaltfläche "Zwei-Faktor-Authentifizierung durchführen". Die erreichte Sicherheitsklasse im Portal Tirol wird dabei um 1 erhöht, Sie verfügen dann entweder über Sicherheitsklasse 2 (bei Anmeldung über einen privaten Rechner zuhause) oder Sicherheitsklasse 3 (bei Anmeldung an einem Rechner, der im Landesnetz hängt (also einem "Bürorechner") oder von zuhause auf einem Landeslaptop mit VPN oder an einem privaten Rechner mit Citrix-Zugang).
2. Anmeldung ohne zweiten Faktor
Wenn Sie stattdessen die Funktion "Zwei-Faktor-Authentifizierung überspringen" auswählen, gelangen Sie wie immer auf das Portal Tirol. Die erreichte Sicherheitsklasse bleibt unverändert: Sicherheitsklasse 1 (bei Anmeldung über einen privaten Rechner zuhause) oder Sicherheitsklasse 2 (bei Anmeldung an einem Rechner, der im Landesnetz hängt (also einem "Bürorechner") oder von zuhause auf einem Landeslaptop mit VPN oder an einem privaten Rechner mit Citrix-Zugang).
3. Anmeldung mit zwingender Eingabe eines zweiten Faktors
Sie haben die Möglichkeit, selbst festzulegen, ob eine Anmeldung am Portal Tirol zwingend unter Verwendung des zweiten Faktors erfolgen soll. Dazu wählen Sie über das Benutzermenü rechts oben im Portal (durch Klick auf das weiße Dreieck rechts neben Ihrem Benutzernamen) den Menüpunkt "Zweiter Faktor" aus und setzen Sie einen Haken unter "Zwei-Faktor-Anmeldung erforderlich".
Ab der nächsten Anmeldung im Portal ist dadurch neben der Eingabe von U-Nummer und Passwort auch die Eingabe des zweiten Faktors zwingend erforderlich.
Mit diesem kleinen Mehraufwand bei der täglichen Anmeldung am Portal Tirol können Sie selbst einen wesentlichen Beitrag zur Erhöhung der Datensicherheit im Land Tirol leisten!
Was kann man bei Verlust seines Handys tun?
Sollten Sie Ihr Handy mit der Authentifizierungs-App verlieren oder sollte dieses gestohlen werden, brauchen Sie sich keine Sorgen um die Sicherheit ihrer Zwei-Faktor-Authentifizierung machen.
Durch den Verlust Ihres Handys ist der Zugang zum Portal Tirol grundsätzlich nicht in Gefahr, soweit Sie Ihren Benutzernamen und Ihr Passwort stets geheim gehalten haben.
Es wird jedoch sicherheitshalber empfohlen, im Portal Tirol die Anmeldung mittels Zwei-Faktor-Authentifizierung zu deaktivieren und anschließend mit Ihrem neuen Handy wieder zu aktivieren.
Dazu melden Sie sich zunächst mit der ID Austria am Portal Tirol an. Falls die App Digitales Amt ebenfalls auf dem gleichen Handy installiert gewesen ist und sie somit auch keinen Zugriff auf die ID Austria haben, finden Sie Informationen über die weitere Vorgehensweise im FAQ: Kontoverwaltung, Passwort, Verlust.
Anschließend öffnen Sie im Portal Tirol das Benutzermenü rechts oben (durch Klicken auf das weiße Dreieck rechts neben Ihrem Benutzernamen) und wechseln Sie auf den Reiter "Zwei-Faktor-Authentifizierung". Sie sollten nun zu jener Seite kommen, auf der Sie bereits die erstmalige Aktivierung der Zwei-Faktor-Authentifizierung abgeschlossen haben.
Drücken Sie nun den Button "Zwei-Faktor-Authentifizierung entfernen". Somit wird eine Anmeldung mittels Zwei-Faktor-Authentifizierung deaktiviert.
Achtung
Hierzu müssen Sie mit der ID Austria angemeldet sein.
Zum Reaktivieren der Zwei-Faktor-Authentifizierung mit Ihrem neuen Handy müssen Sie die weiter oben beschriebenen Schritte (1 bis 4) einfach noch einmal durchführen.
Um allenfalls Ihr bereits mit der Authentifizierungs-App verbundenes Gerät erneut verwenden zu können, müssen Sie vorher den alten Eintrag (Token) in der Authentifizierungs-App löschen bzw. entfernen.
Aktivierung der Zwei-Faktor-Authentifizierung ohne ID-Austria
In dringenden Fällen können sich Personen, die eine Zwei-Faktor-Authentifizierung benötigen, aber noch nicht über eine ID Austria verfügen, zur Aktivierung auch an den Servicedesk der DVT unter 3399 wenden.
Wichtige Hinweise für die Verwendung der Zwei-Faktor-Authentifizierung
Damit die Identifizierung mittels Zwei-Faktor-Authentifizierung reibungslos funktioniert, muss darauf geachtet werden, dass alle Uhren der betroffenen Geräte bzw. Systeme synchron sind.
Das heißt, die Uhren vom
- Mobilgerät, auf welchem der 6-stellige PIN Code erzeugt wird (Handy, Tablet, etc.),
- Gerät, auf welchem man sich am Portal Tirol anmelden möchte (PC, Laptop, Tablet, etc.)
müssen dieselbe Zeit anzeigen.
Es wird empfohlen, dass man sich die Uhrzeit und Zeitzone am Mobilgerät (Handy, Tablet, etc.) vom Netzbetreiber automatisch generieren lässt:
- Android
Unter Einstellungen → System → Datum und Uhrzeit die Aktion "Datum und Uhrzeit automatisch einstellen" aktivieren - iOS (Apple)
Unter Einstellungen → Allgemein → Datum & Uhrzeit die Aktion "Automatisch einstellen" aktivieren
Bei Laptops und PCs wird empfohlen, sich die Uhrzeit und Zeitzone ebenfalls automatisch generieren zu lassen.
In der Regel wird dies automatisch über einen Zeitserver gemacht. Sollten die Einstellungen dennoch nicht passen, können unter Einstellungen → Zeit und Sprache alle notwendigen Anpassungen vorgenommen werden.