Studo unterstützt den TOTP-Standard (Time-Based One-Time Password Algorithm), der in RFC 6238 definiert ist. Dieser Standard wird von vielen Hochschulen benutzt, um die Sicherheit des Logins an der Hochschule zu verbessern. Bei dieser gängigen Art der 2-Faktor-Authentifizierung (2FA) werden einzigartige numerische Passwörter mit einem standardisierten Algorithmus generiert. Diese zeitbasierten Passwörter sind offline verfügbar und bieten auf benutzerfreundliche Art eine erhöhte Kontosicherheit.
Du findest den Studo Authenticator im Seitenmenü der Studo App. Stelle sicher, dass du die Studo App auf Version 4.45 oder höher aktualisiert hast, um diese Funktion zu nutzen.
Der TOTP-Standard wird auch oft als MFA, 2FA via QR-Code, OTP, Login with Google Authenticator oder Login mit Microsoft Authenticator bezeichnet. Kurz zusammengefasst wird in diesem Standard beschrieben, wie ein TOTP-Code generiert wird, und wie der QR-Code angezeigt werden muss, damit der TOTP-Code mit allen kompatiblen Authenticator-Apps benutzt werden kann. Studo Authenticator kann durch die Unterstützung des genannten TOTP-Standards auch viele andere Anwendungen mit Zwei-Faktor-Authentifizierungen benutzen. Bekannte Dienste, die den TOTP-Standard unterstützten, sind: 1Password, Amazon, Apple/iCloud, Coinbase, Discord, Dropbox, Facebook, Firefox Account, GitHub, GitLab, GMX, Google/Gmail/YouTube, LastPass, LinkedIn, Microsoft/OneDrive/Outlook/Xbox, Nintendo, OwnCloud, PayPal, PlayStation Network, Protonmail, Slack, TeamViewer, Twitch, Zoom.
Um maximale Kompatibilität zu gewährleisten, unterstützt Studo dabei die Signatur-Algorithmen SHA-1, SHA-256 und SHA-512; Code-Längen von 6-8 Ziffern; und Zeit-Längen von 1s-3600s. Wenn ein anderer Algorithmus bzw. Konfigurations-Wert benötigt wird, kontaktiere uns bitte im Studo Support.
Die verbreitetste Art der TOTP-Unterstützung ist dabei, dass eine Authenticator-App (Google Authenticator, Microsoft Authenticator, privacyIDEA, Studo Authenticator o.Ä.) am Smartphone eingerichtet wird, in dieser die TOTP-Codes generiert werden.
Wenn für dich aus Security- bzw. Privacy-Gründen ein vollständiger zweiter Faktor relevant ist, empfehlen wir, ein eigenständiges 2FA-Device zu benutzen, das ausschließlich zum Generieren von TOTP-Code benutzt wird und keinen Internetzugang hat. Dadurch lässt sich eine komplette Kategorie an Angriffsvektoren ausschließen. Der Nachteil dabei ist, dass die 2FA-Hardware im Gegensatz zu den 2FA-Software-Apps nicht kostenlos ist. Hersteller dieser Hardware ist z.B. das Schweizer Unternehmen Token2, oder das Britische Unternehmen Microcosm, oder das Irische Unternehmen Protectimus. Beachte dabei, dass die Hardware den Standard RFC 6238 mit den Parametern/Algorithmen unterstützen muss, die du für den jeweiligen Login benötigst.
Werden die TOTP-Codes synchronisiert?
Aus Datenschutz- und Sicherheitsgründen verbleiben die Informationen, wie die numerischen Passwörter generiert werden, nur auf deinem Gerät lokal verschlüsselt gespeichert (Technisch gesprochen: Das TOTP-Secret). Du kannst den QR-Code als Backup benutzen, um die TOTP-Codes auf mehreren Geräten gleichzeitig zu nutzen bzw. sie von einem Gerät auf ein anders zu transferieren: Speichere dabei vor dem Scannen des QR-Codes, den du für die Einrichtung der 2-Faktor-Authentifizierung benutzt, an einem sicheren Ort.
Hast du Probleme bei der Benutzung der numerischen Passwörter?
Da die numerischen Passwörter zeitbasiert sind, ist es zwingend notwendig, dass die Uhrzeit des Geräts, an dem Studo Authenticator benutzt wird, exakt eingestellt ist. Eine Abweichung von nur 1 Minute bedeutet bereits, dass die generierten Codes falsch sind. Bitte benutze daher in den Android bzw. iOS Systemeinstellungen die Option "Zeit automatisch einstellen" oder synchronisiere die Uhrzeit deines Geräts auf die Sekunde genau.
Warum gibt es an meiner Hochschule nun 2-Faktor-Authentifizierung?
Eine 2-Faktor-Authentifizierung (2FA) macht deinen Hochschul-Account aus mehreren Gründen sicherer:
Durch die 2-Faktor-Authentifizierung gehört zu deinen Hochschul-Zugangsdaten nicht nur dein Passwort, sondern auch ein Code, der sich kontinuierlich ändert. Solltest du im Zuge einer Phishing-Attacke deine Zugangsdaten unabsichtlich auf einer böswilligen Webseite eingeben, wäre dieser Zugang also nur wenige Sekunden lang gültig. Das gleiche gilt, wenn du beim Eingeben deiner Zugangsdaten beobachtet werden würdest: Auch hier hätten Angreifer*innen nur wenige Sekunden Zeit, um deinen Zugang nutzen zu können. Für ein realistisches Angriffs-Szenario reicht das meist nicht aus. Weitere Informationen zu Phishing findest du unter: https://faq.studo.com/en/articles/3759285-phishing-and-spam-mails.
Außerdem hilft dir 2FA bei sogenannten Password-Reuse-Attacken: Wenn Benutzernamen, E-Mails und Passwörter nach dem Hack eines Systems veröffentlicht oder verkauft werden, werden diese oft auch auf deiner Hochschule ausprobiert. Du kannst zum Beispiel unter https://haveibeenpwned.com/ prüfen, ob deine E-Mail-Adresse schon einmal Teil eines Data Breach war. (Beachte bitte, dass die auf dieser Website untersuchten Data Breaches keinen Vollständigkeitsanspruch haben.) Wäre nun deine E-Mail-Adresse mit demselben Passwort, das du auch für deine Hochschule benutzt, in einem Data Breach, so könnten Angreifer*innen sich damit einfach bei deinem Hochschul-Account einloggen. Dank 2-Faktor-Authentifizierung geht das aber nicht, da den Angreifer*innen der 2-Faktor-Code fehlen würde. Weitere Informationen zu Password-Reuse-Attacken findest du unter: https://www.dashlane.com/blog/how-password-reuse-leads-to-vulnerabilities.
Dadurch, dass alle Nutzer*innen an einer Hochschule eine 2-Faktor-Authentifizierung haben müssen, wird das System als Gesamtes sicherer. Somit wird das Risiko für Phishing nochmals gesenkt und dein persönlicher Account noch besser geschützt.
Du bist vielleicht daran interessiert, diesen Artikel zu lesen, wenn du nach auth, 2FA, MFA, oder QR Code suchst