--- encoding: UTF-8 charset: utf-8 language: de-DE, en-US content-type: text/plain; charset=utf-8 --- # 2FA-Portal für die Philipps-Universität Marburg ## Offizielle Dienstbeschreibung Der Zwei-Faktor-Authentisierungs-Dienst (2FA-Dienst) der Philipps-Universität Marburg dient der zeitgemäßen, zentralen und sicheren Authentisierung für die bereitgestellten Anwendungen der Universität und damit einer effektiven Erhöhung der Sicherheit für die bereitgestellte IT-Infrastruktur und die darin gespeicherten Daten. Das 2FA-Portal ist das zentrale Werkzeug zur Verwaltung und Ausgabe von Zwei-Faktor-Authentifizierungs-Token (2FA) für Mitarbeiter, Studierende und Gäste der Philipps-Universität Marburg. Es ermöglicht die selbstständige und sichere Generierung, Verwaltung und Aktivierung verschiedener Token-Typen für zusätzliche Sicherheit bei der Anmeldung. ## Was kann ich mit dem Portal tun? ### Token-Typen und Sicherheits-Codes Für die Anmeldung mit 2FA ist neben dem Passwort ein zweiter, unabhängiger Sicherheitsschlüssel (Token) erforderlich. An der Uni Marburg stehen folgende Token-Typen zur Verfügung: - **App-Token (TOTP)**: Eine Smartphone-App generiert zeitbasiert jeweils einen 6- oder 8-stelligen Sicherheits-Code – das ist die empfohlene Methode und wird auf allen Geräten unterstützt - **YubiKey-Token (Hardware)**: Ein Hardware-Sicherheitsschlüssel, der auf Knopfdruck Sicherheits-Codes generiert – besonders sicher und zuverlässig - **TAN-Token (Papier)**: Eine ausgedruckte Liste von Sicherheits-Codes – wird nicht empfohlen und zukünftig nur noch eingeschränkt nutzbar sein **Wichtig für Studierende:** Die APP-Token-Liste, die Sie vom Prüfungsamt für Prüfungsanmeldungen erhalten, ist bereits ein vollständiges APP-Token! Diese Liste kann auch zur Anmeldung am 2FA-Portal selbst verwendet werden. Die Codes funktionieren genauso wie die einer Authentisierungs-App. Der zusätzliche Sicherheits-Code muss bei der Anmeldung an einem 2FA-gesicherten IT-Dienst entweder in ein separates Formularfeld eingetragen oder unmittelbar nach dem Passwort eingegeben werden. ### Token-Limits (pro Person) - **Maximal 10 aktive Tokens** gleichzeitig insgesamt - **Maximal 20 Tokens** insgesamt (aktiv + inaktiv/gelöscht) - **Maximal 8 APP-Token (TOTP)** aktiv - **Maximal 2 TAN-Listen** aktiv - **Maximal 4 Hardware-Tokens (YubiKey)** aktiv Diese Limits verhindern Missbrauch und sorgen dafür, dass das System sicher und übersichtlich bleibt. ### Benutzerfreundliche Funktionen - **Self-Service Token-Verwaltung**: Nach Anmeldung mit einem aktiven Token kannst du weitere App-Token einrichten und bestehende Token (z. B. bei Verlust) sperren - **Backup-Tokens**: Richte am besten ein zusätzliches, sicher aufbewahrtes Backup-Token ein, damit du bei Verlust des Smartphones handlungsfähig bleibst - **Token-Aktivierung**: Per Post versendete Token sind aus Sicherheitsgründen nicht unmittelbar einsatzfähig, sondern müssen vor der ersten Nutzung aktiviert werden - **Verfügbar in zwei Sprachen**: Alles ist auf Deutsch und Englisch verfügbar - **Auf allen Geräten nutzbar**: Funktioniert auf Desktop, Tablet und Smartphone - **Leicht zu kopieren**: QR-Codes und Codes können mit einem Klick kopiert werden - **Für alle Nutzer gemacht**: Extra benutzerfreundlich für Menschen mit Sehbehinderung oder anderen Bedarfen ## Wichtige Infos für Nutzende ### Sicherheit - Laut Standard-Sicherheitsrichtlinien ist **Barrierefreiheit nicht verhandelbar** – das Portal ist für alle Menschen zugänglich - Alle deine Daten werden verschlüsselt übertragen und sicher gespeichert - Die Zwei-Faktor-Authentifizierung kann Hacker daran hindern, dein Konto zu übernehmen ### Token-Empfehlungen - **App-Token sind am sichersten**: Sie funktionieren auch ohne Internet - **TAN-Liste als Backup**: Speichere die Papier-Liste an einem sicheren Ort - **Verlust?**: Jeder Token kann neu erzeugt werden – kontaktiere die IT bei Problemen ## Notfallszenarien & Häufige Probleme ### Was tun bei Tokenverlust oder Diebstahl? 1. **Sofort melden**: E-Mail an 2fa@hrz.uni-marburg.de oder Telefon +49 6421 28-28282 2. **Token wird gesperrt**: Das verlorene Token wird deaktiviert 3. **Neues Token beantragen**: Via Portal oder Online-Formular 4. **Sicherheit überprüfen**: Audit-Log im Portal kontrollieren auf verdächtige Aktivitäten 5. **Je schneller, desto besser**: Schnelles Handeln ist der beste Schutz ### Gerätewechsel - App-Token auf neues Handy übertragen 1. App auf neuem Telefon installieren 2. Mit aktivem Token im 2FA-Portal anmelden 3. Neues App-Token erstellen und QR-Code scannen 4. Mit 8-stelligem Code bestätigen 5. Alte App optional vom alten Handy löschen **Tipp:** Neuen Token erstellen, BEVOR das alte Gerät gelöscht wird! ### Keine Möglichkeit zur Anmeldung (Smartphone verloren, defekt, etc.) - **Backup-Token nutzen**: YubiKey oder TAN-Liste als Notfall-Sicherung - **Token löschen nicht möglich?**: Kontaktieren Sie das HRZ sofort - **Notfall-Formulare**: Für Prüfungsanmeldungen gibt es Sonder-Antragsformulare - **HRZ-Hotline**: +49 6421 28-28282 für Notfälle ### Alternative: Ohne Smartphone 2FA nutzen Laut HRZ-Richtlinien können Sie auch ohne Smartphone 2FA nutzen: - **YubiKey**: Hardware-Token (physischer Schlüssel), keine App nötig - **TAN-Token**: Papier-basierte Liste (nicht auf Dauer empfohlen) - **KeePassXC/Desktop-Manager**: Für Computer-Nutzer ohne Handy - **Kontakt HRZ**: Individuelle Lösungen für Digital-Detox-Anforderungen ### Zukünftige Änderungen (ab Herbst 2026) - **TAN-Tokens werden eingeschränkt**: Nur noch für 2FA-Portal-Anmeldung nutzbar - **Andere Dienste**: TAN-Tokens können nicht mehr bei Marvin, GitLab, ILIAS etc. verwendet werden - **Empfehlung jetzt**: Auf App-Token oder YubiKey wechseln - **Migration-Support**: HRZ hilft bei Umstieg auf sichere Token ### YubiKey Aufbewahrung & Handling - **Für Beschäftigte**: Am Schlüsselbund befestigen (wie Schlüssel und Transponder) - NICHT in der Laptoptasche! - **Immer griffbereit**: Der YubiKey sollte wie Ihr Haustürschlüssel immer dabei sein - **Getrennt vom Passwort**: Nicht zusammen mit Passwort-Listen speichern - **Physischer Schutz**: Vor Feuchtigkeit, Hitze und extremen Beschädigungen schützen - **Backup haben**: Auf Verlust vorbereitet sein mit einem zweiten Token (TAN-Liste oder App-Token) - **Rückgabe**: Token können beim HRZ abgegeben werden, wenn nicht mehr benötigt - **Robustheit**: YubiKey-Hardware ist zuverlässig, langlebig und für den täglichen Gebrauch am Schlüsselbund ausgelegt ### Token verwalten - Löschen & Deaktivieren Im 2FA-Portal unter "Token verwalten": - **Deaktivieren**: Token bleibt sichtbar, funktioniert aber nicht mehr - **Löschen**: Token wird komplett entfernt und ist nicht mehr sichtbar - **Wichtig**: Immer mindestens 1 aktives Token behalten! - **Rückfrage**: Vor Löschung nicht mehr benötigter Tokens - **Support**: HRZ kann bei Problemen helfen ## Wer benutzt das Portal? ### Zielgruppe - **Bedienstete** (Mitarbeiter:innen der Universität) - **Studierende** (Bachelors, Masters, Promotionen) - **Gäste, Partner:innen und Dienstleister:innen** ### Voraussetzungen - Zentrales Benutzerkonto (Uni-Account) - Ein funktionsfähiges Token (TAN-Token, App-Token oder Hardware-Token) ### Token-Beschaffung nach Rolle **Bedienstete**: Erhalten ihren Token (YubiKey) automatisch nach Meldung der Daten aus der Personalabteilung **Studierende**: Erstellen ihren ersten Token während der Accountaktivierung (analog zum Registrierungs-Token) im 2FA-Portal **Gäste, Partner:innen, Dienstleister:innen**: Erhalten ihr Token über den Antrag auf Ausgabe eines Tokens für die Zwei-Faktor-Authentisierung (externe Formulare auf uni-marburg.de) ## Häufig gestellte Fragen (FAQ) ### Allgemeine 2FA-Fragen **Wie erhalte ich mein erstes APP-Token als Student:in?** Als Studierende:r erhalten Sie Ihr APP-Token während der Accountaktivierung direkt im 2FA-Portal. Folgen Sie diesen Schritten: 1. Loggen Sie sich im 2FA-Portal an 2. Wählen Sie 'Initiale Tokenausgabe' für Studierende 3. Installieren Sie die kompatible App (Uni-Marburg-App oder 2FAS) 4. Scannen Sie den QR-Code mit Ihrer Authentisierungs-App 5. Bestätigen Sie die Registrierung mit dem 8-stelligen Code aus der App **Kann ich die APP-Token-Liste vom Prüfungsamt zur Anmeldung nutzen?** Ja! Die APP-Token-Liste, die Sie vom Prüfungsamt oder für Prüfungsanmeldungen erhalten haben, ist bereits ein vollständiges APP-Token. Diese Liste können Sie auch zur Anmeldung am 2FA-Portal selbst verwenden. Die Codes auf der Liste sind identisch mit denen, die eine Authentisierungs-App generieren würde. Wichtig: Bewahren Sie diese Liste sicher auf und nutzen Sie die Codes der Reihe nach. Jeder Code kann nur einmal verwendet werden. **Wie aktiviere ich einen per Post erhaltenen APP-Token?** Wenn Sie einen unaktivierten QR-Code per Post oder in einer Anlaufstelle erhalten haben, folgen Sie diesen Schritten: 1. Installieren Sie die kompatible Authentisierungs-App (Uni-Marburg-App oder 2FAS) 2. Öffnen Sie Ihre App und nutzen Sie die Scan-Funktion 3. Scannen Sie den QR-Code aus dem Brief 4. Besuchen Sie die Aktivierungsseite des 2FA-Portals 5. Akzeptieren Sie die Nutzungsbedingungen 6. Geben Sie Ihren Benutzernamen, Realm und Passwort + 8-stelligen Code ein 7. Klicken Sie 'Weiter' - Ihr Token ist nun aktiv **Wie erstelle ich ein zusätzliches APP-Token, wenn ich bereits 2FA nutze?** Wenn Sie bereits einen aktiven Token besitzen (YubiKey, TAN-Liste oder anderes APP-Token), können Sie jederzeit weitere App-Tokens hinzufügen: 1. Melden Sie sich im 2FA-Portal mit Ihrem Passwort + Code Ihres aktiven Tokens an 2. Gehen Sie im Menü auf 'Tokenausgabe' 3. Wählen Sie 'App-Token' als Tokentyp 4. Scannen Sie den erscheinenden QR-Code mit Ihrer Authentisierungs-App 5. Geben Sie sofort den neuen 8-stelligen Code zur Bestätigung ein 6. Ihr neues App-Token ist aktiviert und einsatzbereit **Welche Authentisierungs-Apps werden unterstützt?** Empfohlen: Uni-Marburg-App, 2FAS Authenticator, Proton Authenticator, KeePassXC. NICHT unterstützt: Google Authenticator und Microsoft Authenticator (unterstützen SHA-512-Algorithmus und 8-stellige Einmalpassworte nicht). Wichtig: Neue Apps generieren 8-stellige Codes (vorher 6-stellig). **Wie benutze ich mein APP-Token zur Anmeldung?** Das APP-Token wird bei der Anmeldung an 2FA-gesicherten Diensten benötigt: 1. Öffnen Sie Ihre Authentisierungs-App 2. Notieren Sie den aktuellen 8-stelligen Code (wird alle 30 Sekunden erneuert) 3. Geben Sie den Code nach Aufforderung ein - bei kombinierter Eingabe: Passwort + Code ohne Leerzeichen, bei getrennter Eingabe: Code in separates OTP-Feld 4. Der Code ist zeitlich begrenzt - verwenden Sie ihn schnell 5. Bei Ablauf: Warten Sie auf den neuen Code und versuchen Sie erneut **Was sind die Backup- und Sicherheitsempfehlungen?** Richten Sie ein zusätzliches, sicher aufbewahrtes Backup-Token ein. Dies könnte sein: Ein zweites APP-Token auf einem anderen Gerät, ein YubiKey als Hardware-Sicherung oder eine TAN-Liste (für Notfälle). Warum Backup? Bei Verlust oder Beschädigung des Smartphones, technischen Pannen oder Datenverlust bleiben Sie handlungsfähig. Lagern Sie Backups sicher in einem Tresor oder Safe. **Wie beantrage ich ein neues APP-Token oder sperre ein bestehendes?** Selbstservice im 2FA-Portal: Melden Sie sich an und gehen Sie auf 'Token verwalten'. Dort können Sie bestehende Tokens sperren/deaktivieren oder neue erstellen. Für spezielle Fälle nutzen Sie die Formulare - Token-Beantragung und Token-Sperrung/Status-Meldung auf der Uni-Website. Studierende nutzen Selbstservice oder Beantragung, Bedienstete erhalten Token von der Personalabteilung, Gäste/Partner beantragen über Formular. **Wer kann mich unterstützen, wenn Probleme auftreten?** Das HRZ (Hochschulrechenzentrum) unterstützt Sie: E-Mail: 2fa@hrz.uni-marburg.de, Telefon: +49 6421 28-28282, Adresse: Hans-Meerwein-Straße 6, 35032 Marburg, Öffnungszeiten: Montag-Freitag, 8:00-17:00 Uhr. Häufige Probleme: Token funktioniert nicht (überprüfen Sie App-Kompatibilität), Code falsch akzeptiert (achten Sie auf kein Leerzeichen), Token verloren (sperren Sie es sofort), Gerät verloren (melden Sie es dem HRZ). **Ich möchte kein Smartphone nutzen - gibt es Alternativen?** Ja! Wenn Sie kein Smartphone nutzen möchten, haben Sie diese Optionen: 1. YubiKey-Token (Hardware-Schlüssel, keine App nötig) - für tägliche Nutzung empfohlen 2. Papier-Token (150 vorgedruckte TANs, persönlich am IT-Servicedesk erhältlich) - nicht für Dauernutzung empfohlen, ideal als Backup oder für seltene Anmeldungen 3. TAN-Token (Selbstdruck) - ab Herbst 2026 nur noch als Backup zum 2FA-Portal nutzbar 4. KeePassXC oder ähnliche Desktop-Manager (für Computer) 5. Kontaktieren Sie das HRZ für Beratung zu Digital-Detox-Lösungen: 2fa@hrz.uni-marburg.de. **Mein Token ist verloren oder gestohlen - was soll ich tun?** Handeln Sie schnell: 1. Melden Sie den Verlust/Diebstahl sofort dem HRZ per E-Mail (2fa@hrz.uni-marburg.de) oder Telefon (+49 6421 28-28282) 2. Das Token wird daraufhin deaktiviert/gesperrt 3. Beantragen Sie ein neues Token (nutzen Sie das Online-Formular oder das 2FA-Portal wenn möglich) 4. Aktivieren Sie das neue Token gemäß Anleitung 5. Überprüfen Sie Ihr Audit-Log im Portal auf verdächtige Aktivitäten. Wichtig: Je schneller Sie handeln, desto besser sind Sie geschützt! **Wie übertrage ich mein App-Token auf ein neues Smartphone?** So wechseln Sie zu einem neuen Gerät: 1. Installieren Sie die Authentisierungs-App (Uni-Marburg-App oder 2FAS) auf dem neuen Telefon 2. Melden Sie sich im 2FA-Portal mit einem aktiven Token an 3. Gehen Sie auf Tokenausgabe und erstellen Sie ein neues App-Token 4. Scannen Sie den QR-Code mit der App auf dem neuen Telefon 5. Geben Sie den 8-stelligen Code zur Bestätigung ein 6. Löschen Sie optional die alte App vom alten Telefon. Wir empfehlen: Erstellen Sie das neue Token, bevor Sie das alte Gerät abgeben oder löschen! **Wie bewahre ich meinen YubiKey sicher auf?** Tipps zur sicheren Aufbewahrung Ihres YubiKey: 1. Beschäftigte: Befestigen Sie den YubiKey am Schlüsselbund (wie Ihren Schlüssel und Transponder) - NICHT in der Laptoptasche aufbewahren! 2. Verwahren Sie ihn getrennt von Ihrem Passwort 3. Schützen Sie ihn vor physischen Beschädigungen (Wasser, extreme Hitze) 4. Nutzen Sie ein Backup-Token (z.B. TAN-Liste oder zweites App-Token) für den Fall eines Verlusts 5. Wenn Sie das Token nicht mehr nutzen, geben Sie es beim HRZ ab. Wichtig: Der YubiKey ist robust und sollte immer griffbereit sein - am besten am Schlüsselbund! **Wie kann ich mein Token löschen oder deaktivieren?** Im 2FA-Portal unter Token verwalten finden Sie zwei Optionen: 1. Deaktivieren (Token bleibt aktivierbar/sichtbar): Klicken Sie auf Deaktivieren - das Token funktioniert nicht mehr 2. Löschen (Token wird entfernt): Nach Deaktivierung können Sie das Token löschen - es wird dann vollständig entfernt. Wichtig: Stellen Sie sicher, dass Sie noch mindestens ein aktives Token haben! Sie können sich ansonsten nicht mehr anmelden. Benötigen Sie Hilfe? Kontaktieren Sie das HRZ. **Was ändert sich ab Herbst 2026 bei selbstgedruckten TAN-Tokens?** Ab Herbst 2026 erhalten selbstgedruckte TAN-Token eine wichtige Einschränkung: 1. Sie können nur noch zur Anmeldung am 2FA-Portal selbst genutzt werden 2. Die Nutzung bei anderen 2FA-geschützten Diensten wird nicht mehr unterstützt 3. Empfehlung: Wechseln Sie jetzt auf ein App-Token (empfohlen) oder beantragen Sie einen YubiKey 4. Kontaktieren Sie das HRZ, wenn Sie Fragen zur Migration haben. Hint: App-Token und YubiKey bieten besseren Schutz! **Warum nutzt das 2FA-Portal SHA-512 und achtstellige Einmalpassworte?** Das HRZ setzt auf starke Sicherheit: 1. SHA-512: Dies ist ein hochsicherer Verschlüsselungsalgorithmus, der deutlich stärker ist als die ältere SHA-1. Er schützt Ihre Einmalpassworte vor unbefugtem Zugriff 2. Achtstellige Codes: Mit 8 Ziffern statt 6 ist die Sicherheit um das 100-fache höher. Das macht es deutlich schwerer, Codes zu erraten oder zu kompromittieren 3. Kombination: SHA-512 + 8-stellige Codes bieten maximalen Schutz für Ihre Accounts. Dies ist der aktuelle Sicherheitsstandard für moderne 2FA-Systeme 4. Langfristige Sicherheit: Das HRZ setzt bewusst gleich auf den höheren Sicherheitsstandard, damit Sie nicht in ein oder zwei Jahren zu einem erneuten Update gezwungen werden. Mit wachsender KI-Leistung und Rechenkapazität müssen wir proaktiv handeln - nicht reaktiv. Dies schützt Sie langfristig vor wiederholten erzwungenen Umstellungen. Wichtig: Google Authenticator und Microsoft Authenticator unterstützen diese neuen Sicherheitsstandards nicht - verwenden Sie stattdessen Uni-App oder 2FAS! **Muss ich den QR-Code nach dem Scannen noch verifizieren?** Ja, die Verifizierung ist essentiell! Nach dem Scannen des QR-Codes müssen Sie den Code SOFORT validieren: 1. Die App zeigt Ihnen einen 8-stelligen Code, der alle 30 Sekunden wechselt 2. Geben Sie diesen Code sofort ein - dies ist die entscheidende Verifizierung 3. Ohne diese Bestätigung wird der Token nicht aktiviert 4. Dies funktioniert bei App-Token sowohl bei der Ersteinrichtung als auch bei jedem neuen Token 5. Bei Ablauf: Wenn der Code während der Eingabe abläuft, keine Sorge - warten Sie auf den nächsten Code und versuchen Sie es erneut. Diese Verifizierung ist wichtig, um sicherzustellen, dass die App wirklich mit Ihrem Token synchronisiert ist! **Was soll ich tun, wenn ich kein funktionsfähiges Token für Marvin oder andere 2FA-Dienste habe?** Wenn Sie sich nicht anmelden können, weil kein Token vorhanden ist: 1. Erster Schritt: Beantragen Sie schnell ein neues Token (Online-Formular oder HRZ) 2. Für Prüfungsanmeldungen: Es gibt ein spezielles Notfall-Antragsformular auf der Uni-Website 3. Kontaktieren Sie das HRZ telefonisch für schnelle Hilfe: +49 6421 28-28282 4. Informieren Sie auch Ihr Prüfungsamt oder Dekanat, falls Fristen betroffen sind 5. Das HRZ kann in Notfällen Lösungen anbieten! Handeln Sie schnell - je früher gemeldet, desto besser! **Kann ich meinen privaten YubiKey als Hardware-Token nutzen?** Ja! Wenn Sie bereits privat einen YubiKey besitzen, unterstützen wir Sie dabei, diesen als Hardware-Token für Ihre universitären Dienste einzurichten: 1. Initialisierung vor Ort: Um Ihren YubiKey sicher mit Ihrem Uni-Account zu verknüpfen, müssen Sie diesen persönlich im IT-Servicedesk abgeben. Wir konfigurieren den Key für Sie mit einem HOTP-Token 2. Schutz der Konfiguration (Slot-Sperre): Während der Einrichtung wird der entsprechende Slot auf Ihrem YubiKey mit einem Passwort gesperrt. Dies verhindert, dass die universitäre Konfiguration versehentlich überschrieben oder gelöscht wird 3. Nutzung: Danach können Sie den YubiKey genau wie ein von der Universität ausgegebenes Gerät nutzen - zur Anmeldung an allen 2FA-geschützten Diensten 4. Rückgabe/Studienende: Wenn Sie die Universität verlassen oder den Slot wieder freimachen möchten, muss der Key erneut zum IT-Servicedesk. Wir entsperren den Slot dann für Sie 5. Voraussetzung: Kontaktieren Sie das HRZ mit Ihrem YubiKey für die Einrichtung: 2fa@hrz.uni-marburg.de **Was ist ein Papier-Token?** Der Papier-Token ist eine rein analoge Lösung für speziell Nutzer:innen, die keine technischen Geräte einsetzen können oder möchten: 1. Kapazität: Ein Papier-Token enthält 150 Einmalpasswörter (achtstellig). Sie können maximal zwei Tokens pro Person erhalten 2. Einsatzbereich: Der Papier-Token dient als analoge Alternative für seltene Logins oder als Ausfallreserve. Aufgrund des hohen manuellen Aufwands ist er NICHT für tägliche, mehrfache Logins empfohlen 3. Bezug: Die Ausgabe erfolgt ausschließlich persönlich gegen Vorlage eines Lichtbildausweises (Personalausweis, Reisepass o.ä.) am IT-Servicedesk 4. Verwendung: Sie streichen verwendete TANs ab und verwenden sie der Reihe nach. Jede TAN kann nur einmal verwendet werden 5. Wichtig: Lagern Sie Ihren Papier-Token sicher auf - er ist ein kostbares Ausfallreserve! ### Anmeldung & Login **Wie funktioniert die Anmeldung mit 2FA?** Zur Anmeldung am 2FA-Portal geben Sie zunächst Ihren Benutzernamen (Student/Staff-Account), den entsprechenden Realm (Benutzergruppe) und Ihr Passwort ein. Direkt nach Ihrem Passwort folgt das Einmalpasswort Ihres Tokens ohne Leerzeichen. Sie können einen dieser drei Token verwenden: Ein APP-Token (6-8 stellige Nummern aus der App), einen YubiKey (durch Drücken der Taste wird eine lange Zeichenfolge generiert, ca. 48 Zeichen), oder einen TAN aus ihrer Liste (Papier- oder TAN-Token, 6-8 Ziffern). **Welche Token-Formate akzeptiert die Anmeldung?** Das 2FA-Portal akzeptiert drei Token-Formate: (1) APP-Token: 6-8 stellige Nummern, die sich alle 30 Sekunden ändern (z.B. über die Uni Marburg-App). (2) YubiKey: Eine lange Zeichenfolge (ca. 48 Zeichen), die durch Drücken der YubiKey-Taste generiert wird. (3) TAN-Token: Eine 6-8 stellige Zahl aus Ihrer Liste (Papier-Token oder TAN-Token). Diese TANs werden nach der Nutzung verbraucht und Sie sollten diese abstreichen. **Wozu ist die Realm-Auswahl notwendig?** Die Realm-Auswahl definiert Ihre Benutzergruppe und damit Ihren Bereich im System. Wählen Sie "students" wenn Sie ein Student/in sind, "staff" für Mitarbeitende der Universität, oder "hrz" für spezielle Nutzer des Hochschulrechenzentrums. Die Auswahl ist wichtig, da jede Gruppe unterschiedliche Berechtigungen und Zugangsoptionen hat. **Warum funktioniert meine Anmeldung nicht?** Die häufigsten Fehler sind: (1) Token abgelaufen: APP-Token und YubiKey-Codes sind zeitgebunden (ca. 30-60 Sekunden gültig). Tragen Sie das Einmalpasswort schnell nach Ihrem Passwort ein. (2) Falscher Token: Nutzen Sie einen ungültigen TAN oder geben Sie den Code falsch ein. (3) Realm falsch: Stellen Sie sicher, dass Sie den richtigen Realm (students/staff/hrz) selected haben. (4) Token deaktiviert: Wenn Ihr Token deaktiviert wurde, kontaktieren Sie den IT-Servicedesk. (5) Leerzeichen: Achten Sie darauf, KEIN Leerzeichen zwischen Passwort und Einmalpasswort einzugeben. **Kann ich APP-Token und TAN-Token gleichzeitig nutzen?** Ja, Sie können mehrere Token-Types gleichzeitig registrieren haben. Bei der Anmeldung geben Sie einfach das Einmalpasswort ein, das Sie zur Hand haben. Empfohlen wird mindestens ein APP-Token als Haupttoken und ein Backup-Token (TAN oder YubiKey). Falls ein Token verloren geht oder nicht mehr funktioniert, können Sie auf Ihr Backup-Token ausweichen. **Warum hat meine alte Papierliste vom Prüfungsamt eine Seriennummer mit "TAN"?** Papierlisten, die früher vom Prüfungsamt ausgegeben wurden, wurden in das zentrale 2FA-System übernommen. Im Import erhielten diese Papierlisten eine pseudo Seriennummer, die aus Kompatibilitätsgründen mit dem Präfix "TAN" beginnt. Diese Seriennummer dient ausschließlich der Identifikation des Tokens im System und kann NICHT zur Anmeldung verwendet werden. Zur Anmeldung nutzen Sie weiterhin die aufgedruckten TANs auf Ihrer Papierliste. ### Token-Aktivierung **Was bedeutet Token-Aktivierung?** Nach der Beantragung eines Tokens erhalten Sie diesen per Post zugesendet, oder auf Wunsch durch Abholung am IT-Servicedesk. Bevor Sie den Token verwenden können, müssen Sie ihn hier aktivieren. Die Seriennummer allein reicht nicht aus – Sie benötigen den physischen Token (YubiKey, TAN-Liste) bzw. den QR-Code (APP-Token). WICHTIG: Die Seriennummer ist KEIN zweiter Faktor und kann nicht zur Anmeldung verwendet werden! ### Registrierungstoken **Was ist ein Registrierungstoken?** Ein Registrierungstoken ist ein temporärer Token (24 Zeichen: Zahlen, Buchstaben, Sonderzeichen), den Sie bei einer Videokonferenz oder Registrierungsveranstaltung erhalten. Mit diesem Token können Sie sich ein dauerhaftes Token (APP-Token oder TAN-Token) beantragen. Der Registrierungstoken ist zeitlich begrenzt und kann nur einmalig verwendet werden. Er kann ausschließlich auf der Registrierungsseite des 2FA-Portals genutzt werden. **Wie erhalte ich einen Registrierungstoken?** Den Registrierungstoken erhalten Sie auf Antrag entweder in einer Videident-Session oder in den Anlaufstellen des HRZ. Sie müssen sich dazu jeweils ausweisen können (Personalausweis, Reisepass oder vergleichbares Ausweisdokument). **Kann ich auch einen TAN-Token mit dem Registrierungstoken beantragen?** Ja, Sie können sich zwar noch einen TAN-Token ausstellen lassen, dieser wird ab Herbst 2026 jedoch voraussichtlich nur noch als Backup-Token genutzt werden können, um sich im 2FA-Portal anzumelden. Wir empfehlen daher die Verwendung eines APP-Tokens. ### Initiale Tokenausgabe (für Studierende) **Für wen ist die initiale Tokenausgabe gedacht?** Die initiale Tokenausgabe ist nur für neue Studierende gedacht, die noch keinen Token besitzen. Das ist in der Regel nur direkt nach der Account-Erstellung der Fall. Alle anderen besitzen bereits einen Token und müssen sich damit am 2FA-Portal anmelden, um ihre Tokens zu verwalten oder weitere Tokens zu erstellen. **Kann ich auch einen TAN-Token bei der initialen Ausgabe ausstellen?** Ja, Sie können sich zwar noch einen TAN-Token ausstellen, dieser wird ab Herbst 2026 jedoch voraussichtlich nur noch als Backup-Token genutzt werden können, um sich im 2FA-Portal anzumelden. Wir empfehlen daher die Verwendung eines APP-Tokens. **Was ist die Zwei-Faktor-Authentifizierung (2FA)?** Die Zwei-Faktor-Authentifizierung (2FA) ist eine zusätzliche Sicherheitsmaßnahme, die Sie vor unbefugtem Zugriff auf Ihre Accounts schützt. Dabei benötigen Sie zusätzlich zu Ihrem Passwort einen zweiten Faktor, z.B. einen Token oder einen Bestätigungscode aus einer App. **Warum ist 2FA wichtig?** Ohne 2FA kann ein Angreifer, der Ihr Passwort kennt, leicht auf Ihre persönlichen Daten zugreifen. Mit 2FA ist dies deutlich schwieriger, da ein zweiter Faktor erforderlich ist, den ein Angreifer nicht einfach erlangen kann. **Welche Arten von Tokens gibt es?** Es gibt verschiedene Arten von Tokens zur 2FA: APP-Token (Authenticator-App), TAN-Token (Papierliste) und YubiKey. Wir empfehlen die Verwendung eines APP-Tokens, da es moderner und sicherer ist. ### Token-Typen und Seriennummern Die Seriennummern von Tokens folgen standardisierten Mustern, die unterschiedliche Token-Typen und deren Geschichte kennzeichnen: **Regex: `^TANS?\d{3,6}$`** - Importierte TAN-Listen vom Prüfungsamt - Herkunft: Diese wurden ursprünglich aus dem HIS-QIS Prüfungssoftware-System des Prüfungsamts in Papierform ausgegeben - Format: Sechstellige Einmalpasswörter - Status: Diese sind legacySysteme aus früheren Prüfungsanmeldungsprozessen - Verwendung: Nach Import haben wir die verbleibenden gültigen Einmalpasswörter übernommen **Regex: `^PITN\w+$`** - Aktuelle TAN-Tokens (selbst ausgerollt) - Generation 1: Sechstellige Einmalpasswörter mit 280 verfügbaren TANs pro Token - Generation 2: Reduziert auf 40 Einmalpasswörter - Generation 3 (aktuell): Zwölf achtstellige Einmalpasswörter pro Token - Prozess: Studierende rollten diese als PDF-Listen selbst aus - Hinweis: Ab Herbst 2026 nur noch für die Anmeldung am 2FA-Portal selbst nutzbar **Regex: `^REG\w+$`** - Registrierungstoken - Format: 24 Zeichen (Zahlen, Buchstaben, Sonderzeichen) - Verwendung: Temporäre Tokens für Videoident-Sessions oder Registrierungsveranstaltungen - Limitierung: Zeitlich begrenzt, nur einmalig verwendbar, exklusiv auf der Registrierungsseite nutzbar **Regex: `^UBAM\d{8}_[12]$`** - YubiKey Hardware-Tokens - Format: UBAM plus Nummer, gefolgt von Slot-Position - Beispiel: UBAM12345678_1 bedeutet YubiKey mit ID 12345678, Slot 1 - Slots: Die letzte Ziffer kennzeichnet den Slot auf dem YubiKey (Slot 1 oder Slot 2) - Verwendung: Hardware-basierte Sicherheitsschlüssel für physische Token-Generierung **APP-Token (TOTP)** - Authenticator-App Tokens - Format: Zeitbasierte Einmalpasswörter (TOTP) - Länge: Moderne Tokens generieren 8-stellige Codes (früher 6-stellig) - Standard: SHA-512 Algorith mus für maximale Sicherheit - Kompatibilität: Uni-Marburg-App, 2FAS, Proton Authenticator, KeePassXC, Yubico Authenticator **Realm-Status und Token-Aktivierung** **\*-rollout Realm** - Tokens im Aktivierungsprozess - Status: Diese Tokens sind noch NICHT im produktiven Realm aktiv - Ablauf: Token wird zunächst im "rollout" Realm ausgegeben - Aktivierung erforderlich: Der Token muss auf der Seite "Tokenaktivierung" mit einem Einmalpasswort und den Zugansdaten aktiviert werden - Realm-Wechsel: Nach erfolgreicher Aktivierung wechselt der Token automatisch vom "rollout" Realm in den produktiven Realm (students, staff, hrz) - Sicherheit: Dieser Prozess garantiert, dass nur der Besitzer des Tokens dieses aktivieren kann ### Tokenausgabe **Welche Token-Arten kann ich hier beantragen?** Sie können hier zwischen APP-Token (Authentisierungs-App) und TAN-Token (Papier-Liste) wählen. Beide Methoden sind sichere Optionen, wobei APP-Token die moderne und empfohlene Variante darstellt. ## Datenschutz & Rechtliches - **Datenschutzerklärung**: Deutschsprachig und Englisch verfügbar - **Barrierefreiheit**: Das Portal entspricht internationalen Zugänglichkeits-Standards - **Impressum**: Kontaktinformationen sind hinterlegt ## Support & Fragen Bei Fragen zum 2FA-Portal oder technischen Problemen kontaktiere das HRZ (Hochschulrechenzentrum) der Uni Marburg: **Helpdesk Email**: 2fa@hrz.uni-marburg.de **Telefon**: +49 6421 28-28282 **Adresse**: Hans-Meerwein-Straße 6, 35032 Marburg Weitere Anleitungen und Hilfe: - Anleitung App-Token - Anleitung YubiKey-Token - Anleitung TAN-Token - FAQ zur 2FA - 2FA ohne Smartphone (Alternative für Gerätelose Nutzer) - Nutzungsbedingungen 2FA