Humboldt-Universit?t zu Berlin

Humboldt-Universit?t zu Berlin | Datenschutz | Tokenauswahl bei 2FA

Tokenauswahl bei Zwei-Faktor-Authentifizierung

In Kooperation mit der HU-Informationssicherheit

Einleitung

Eine Zwei-Faktor-Authentifizierung (2FA) ist vereinfacht ausgedrückt eine Erweiterung bestehender Accountdaten (hier: HU-Account) um einen tempor?ren Code, der zus?tzlich für eine erfolgreiche Anmeldung ben?tigt wird. Es k?nnen eigenst?ndige Ger?te (sog. Hardwaretoken) oder Apps für Smartphone, Tablet (sog. Softwaretoken) genutzt werden. ?

In den Ger?ten oder 2FA-Apps werden keine Passw?rter gespeichert. Da Ger?t oder App aber für den Zugriff auf HU-ESS wichtig sind, sollte gleichwohl hierauf sorgsam aufgepasst werden.

Allgemein zum Einsatz von 2FA an der Humboldt-Universit?t siehe?die ausführlichen Erkl?rungen beim CMS.

?

Zur Wahl zwischen Hardware- und Softwaretoken

Den Mitarbeiter:innen der HU steht die Entscheidung frei, Hardwaretoken oder Softwaretoken als Absicherung für den HU-ESS-Zugang zu w?hlen. M?chte jemand keine App auf dem privaten Smartphone installieren, ist er/sie hierzu nicht gezwungen, sondern kann Zugang zu ESS auch über ein zur Verfügung gestelltes Hardwaretoken erhalten.

Um diese Entscheidung zu erleichtern, folgen ein paar Argumente pro/contra, einschlie?lich ein paar Tipps zur Softwareauswahl: ?

?

Hardwaretoken

Ein Hardwaretoken ist ein kleines Ger?t, etwa so gro? wie ein USB-Stick. Es hat nur eine Funktion, n?mlich fortlaufend neue sechsstellige Nummern zu generieren und auf einem kleinen, eingebauten Display anzuzeigen.?Es hat eine eingebaute, nicht ersetzbare Batterie mit einer Laufzeit von mehreren Jahren. Ist die Batterie verbraucht, ist das Hardwaretoken unbrauchbar und als Elektroschott zu entsorgen.

Hardwaretoken k?nnen ab sofort an den CMS-Theken in Adlershof (Erwin-Schr?dinger-Zentrum) und Mitte (Grimm-Zentrum) abgeholt werden. Es ist eine pers?nliche Abholung erforderlich. Hardwaretoken werden nur an Mitarbeiter:innen ausgegeben und auch jeweils nur ein Hardwaretoken pro Mitarbeiter:in. Vor Abgabe wird geprüft, ob Sie Mitarbeiter:in der HU sind (daher bitte einen amtlichen Lichtbildausweis mitbringen).?

?

?Vorteile:?

  • Kein Smartphone erforderlich
  • Keine Installation von Apps auf einem privaten Smartphone erforderlich
  • Keine versehentliche Auswahl datenhungriger Apps?
    (Beispiele datensparsamer Apps)

?

Nachteile:?

  • Zus?tzliches Ger?t, dass mitgenommen/bedacht werden muss
  • Bleibt u.U. leichter am letzten Nutzungsort liegen, da man es nur für einen Anwendungszweck braucht.
  • Hardwaretoken muss pers?nlich an der Servicetheke abgeholt werden.?
  • Geringere Nachhaltigkeit (bei bereits vorhandenem Smartphone/Tablet), Batterie nicht ersetzbar-> Elektroschrott
Softwaretoken

Ein Softwaretoken wird innerhalb einer 2FA-App generiert, welche z. B. auf dem Smartphone installiert ist. Die 2FA-App hat ebenfalls nur die Funktion fortlaufend neue sechsstellige Nummern? zu generieren.

Für den Zugang zu HU-ESS k?nnen alle 2FA-Apps genutzt werden, die auf dem TOTP-Standard beruhen. Auf einen konkreten App-Anbieter kommt es nicht an. Jedoch sind manche Apps eher datensparsam (keine Tracker, wenig Berechtigungen), manche eher datenhungrig (viele Tracker, viele Berechtigungen) ausgestaltet.?

Vorteile:?

  • Smartphone ist meist ohnehin dabei?
  • Soweit ein Smartphone vorhanden ist, kann die App direkt installiert und mit dem Konto verknüpft werden (Anleitungen auf den Seiten des CMS).
  • App kann für weitere 2FA-gesicherte Accounts verwendet werden (z.B. Online-Shopping)

Nachteile:?

  • Ohne funktionierendes Smartphone? (Akku leer) kein Zugriff auf ESS
  • Installation von App ggf. auf privatem Smartphone erforderlich. ??
  • Manche 2FA-Apps sind unter Datenschutzaspekten kritisch zu sehen, da sie Tracker enthalten oder weite Berechtigungen auf dem Smartphone einfordern.

?

Der CMS?nennt einige 2FA-Apps, die datensparsam arbeiten und im Folgenden auf Basis von 金贝棋牌 aus exodus-privacy.eu.org?(externer Link) weiter betrachtet werden.

Alle Apps ben?tigen die Berechtigung auf die Kamera zuzugreifen. Dies ist nachvollziehbar, da über die (Foto)Aufnahme eines QR-Codes die Verknüpfungen mit den Accounts erfolgen. ?

?

2FA-Apps

Google Authenticator (Android)
Sehr verbreitet. Bislang wurde an der App Google Authenticator kein datenschutzseitig bedenkliches Verhalten festgestellt. Es ist keine Verknüpfung mit einem Google-Konto erforderlich. Der Google Authenticator enth?lt keine Tracker.

Aegis Authenticator (Android)
Aegis enth?lt keine Tracker.

FreeOTP+ (Android)
FreeOTP+ ist eine Open-Source-Software, welche keine Tracker enth?lt. An Berechtigungen wird zus?tzlich Zugriff auf den Speicher verlangt.?

?

OTP Auth (iOS)
Nach Auskunft im AppStore erfasst OTP Auth keine pers?nlichen Daten über die App.?

Authenticator (iOS)
Nach Auskunft im AppStore erfasst Authenticator ggf. Daten zum Einkaufsverlauf und zur Ger?teID, jedoch keine weitere Daten zur Person.?

Google Authenticator (iOS)
Gem. Auskunft im AppStore erfasst der Google Authenticator ggf. Daten zur Ger?te ID, jedoch keine weitere Daten zur Person.?

?

Anmerkung:?Bei der Durchsicht sind wir teils auch auf OTP-Apps gesto?en, bei denen diverse Tracker enthalten sind und welche zus?tzliche Daten für den Anbieter oder Dritte erheben ( z. B.: Google Analytics, Facebook Ads). Auch erfordern manche Apps eine Vielzahl zus?tzlicher Berechtigungen, z.B. Standort, Handy-Accounts, 金贝棋牌e, Telefonstatus.

All dies ist – jedenfalls für den HU-ESS-Zugang – nicht erforderlich. Soweit es also keine sonstigen Gründe gibt, k?nnen (sollten) Sie aus Datenschutz und IT-Sicherheitssicht solche Apps meiden.