Two-Step Login

Mit Ihrem Unibas-Account haben Sie an 365 Tagen im Jahr und rund um die Uhr Zugriff auf das Netzwerk und die Anwendungen der Universität Basel.

Dabei nutzen Sie gegebenfalls Anwendungen und bearbeiten Daten mit erhöhtem Schutzbedarf, weswegen für alle Benutzeraccounts das 'Two-Step Login' eingeführt wird.

  • Lesen Sie, welche Methoden für die Authentifizierung zur Verfügung stehen.
  • Wählen Sie Ihre bevorzugte Methode aus. Die 'Best Practice' kann Sie bei der Auswahl unterstützen.
  • Aktivieren Sie Ihren Account und konfigurieren Sie die gewünschten Methoden.

Hier gelangen Sie direkt zu den Kurzanleitungen für die Aktivierung von 'Two-Step Login'.

 

 

Methoden
  • Für die Smartphone-Nutzenden ist die PUSH-Methode die bequemste Möglichkeit 'Two-Step Login' zu nutzen. Durch eine einfache Bestätigung der Anfrage können die Nutzenden die Authentifizierung durchführen.
     
  • Den Smartphone-Nutzenden wird auch empfohlen die Mobilnummer zu hinterlegen. Das erleichtert das Wechseln ihres Smartphone.
     
  • Hinterlegen Sie ihre Unibasel Rufnummer. Somit können Sie 'Two-Step Login' auch durchführen, wenn Ihr Smartphone/Mobilgerät nicht einsatzbereit sein sollte.
     
  • Sollten Sie noch auf weitere Rufnummern Zugriff haben (bspw. zweite Rufnummer am Arbeitsplatz oder zu Hause), können Sie auch diese als zusätzliche Nummern hinterlegen.
     
  • Haben Sie mehrere Smartphones oder Tablets im Einsatz, installieren Sie die Authenticator App auch auf diesen Geräten.
Kurz und bündig
  • Ab dem 27. Februar 2023 müssen Sie bei der Verwendung der Microsoft Authenticator App vor der Genehmigung zusätzlich eine 2-stellige Zahl eingeben.
  • Wenn Sie eine andere Two-Step Login Methode (2FA) verwenden (z.B. 6-stelligen OTP-Code, Hardware-Token im Scheckkartenformat, SMS-Code, andere Authenticator App), ändert sich für Sie nichts.
  • Ebenso hat Microsoft die Unterstützung für die Apple Watch aus Sicherheitsgründen per Januar 2023 eingestellt. Sollten Sie diese bisher genutzt haben, müssen Sie die Authenticator App für Apple Watch deaktivieren.
Details und Hintergrundinformationen

Seit Anfang 2022 haben wir an der Universität Basel das Two-Step-Login (2-Faktor-Anmeldung oder auch Multifactor Authentication) im Einsatz. Erfreulicherweise konnten wir feststellen, dass es seit der Einführung keine erfolgreiche Phishing-Attacke bei mit Two-Step-Login geschützten Services mehr gab.
Eine der bequemsten und beliebtesten Two-Step-Login-Anmeldemethoden ist die sogenannte Push-Benachrichtigung mit der Microsoft Authenticator App auf dem Smartphone.

Auch die Cyberkriminellen haben aufgerüstet und versuchen, das Two-Step-Login zu umgehen. Bei dieser sogenannten "MFA Fatigue Attack" (auch "MFA Prompt Bombing" genannt) wird der Anwender mittels mehrfachen wiederholten Anfragen belästigt, bis schliesslich eine solche lästigen Anfrage versehentlich doch bestätigt wird.
Dieses YouTube Video zeigt ein Beispiel hierfür: https://youtu.be/wHhbWUXx95U

Um solchen Attacken entgegenzuwirken, werden die Push-Benachrichtigungen unseres Two-Step-Login ab dem 27. Februar 2023 auf das "Number-Matching" Verfahren umgestellt.

Was bedeutet das für Sie als Anwender*in?

Stellen Sie sicher, dass Sie die aktuellste Version der Microsoft Authenticator App auf Ihrem Smartphone installiert haben. Nur aktuelle Versionen werden das "Number-Matching" Verfahren unterstützen.

Sie werden vor der Bestätigung eine zweistellige Zahl, die Ihnen beim Anmelden angezeigt wird, in der Authenticator App eingeben müssen. Damit wird sichergestellt, dass die Bestätigung nur dann erfolgen kann, wenn Ihnen diese zusätzliche Zahl bekannt ist.

 

Bild Anmeldung PC mit Nummer
Bild Nummer in Authentificator App

Anleitung zum Gerätewechsel

  • Sie wollen ihr Gerät wechseln oder haben dies bereits getan.
  • Sie haben aktuell noch Zugriff auf ihr altes Gerät
  • Sie haben eine andere Login Methode hinterlegt wie SMS, Anruf oder HW-Token

 

Sollten Sie keinen Zugriff mehr haben auf ihr altes Gerät, ist der selbstständige Wechsel nicht mehr möglich, in diesem Fall kontaktieren Sie bitte den Service Desk. Um die Rücksetzung möglichst zügig zu gestalten haben Sie 2 Möglichkeiten:

  1. Sie können uns telefonisch kontaktieren auf +41 61 207 14 11 bitte halten Sie ihre Unicard bereit zur Identifikation
  2. Sie können per E-Mail einen 2 Step Reset anfordern, bitte schicken Sie uns dazu ihr Anliegen sowie ein Scan/Foto der Unicard oder eines gültigen Ausweises zu
BrowserBezeichnungWindows TastenbefehlMacOS Tastenbefehl
SafariPrivate Browsing Command+Shift+n
Google ChromeIncognitoCtrl+Shift+n⌘+Shift+n for Mac
FirefoxPrivate BrowsingCtrl+Shift+p+Shift+p for Mac
EdgeInPrivate BrowsingCtrl+Shift+n+Shift+p for Mac
OperaPrivate Tab / Private WindowCtrl+Shift+n+Shift+n for Mac
BravePrivate BrowsingCtrl+Shift+n+Shift+n for Mac
Internet ExplorerInPrivate BrowsingCtrl+Shift+p⌘+Shift+p for Mac

 

Vorbereitung

Stellen Sie sicher, dass die Microsoft Authenticator App auf Ihrem Smartphone installiert ist, oder installieren Sie die App vom entsprechenden App-Store:

Alternativ zur MS Authenticator App können auch andere Apps verwendet werden.
•    Authy: Apple App Store / Google Play Store
•    Google Authenticator: Apple App Store / Google Play Store
•    FreeOTP Authenticator: Apple App Store / Google Play Store
•    Lastpass: Apple App Store / Google Play Store

Diese Apps bieten nicht alle Funktionalitäten gegenüber der MS Authenticator App (Push Methode). Die Unterstützung beim Einsatz dieser alternativen Apps kann nicht von den IT-Services gewährleistet werden.
 

Aktivierung

  • Öffnen Sie ein neues 'privates' Fenster in Ihrem Browser (Bezeichnung und Vorgehen unterscheiden sich je nach verwendetem Internetbrowser).
  • Kopieren und öffnen Sie den folgenden Link im privaten Browserfenster: https://aka.ms/mfasetup
  • Sie werden auf das Microsoft-Anmeldeportal umgeleitet.
  • Identifizieren Sie sich mit Ihrer Unibas-Mailadresse am Microsoft-Anmeldeportal.
  • Sie werden auf die Anmeldemaske der Universität Basel umgeleitet.
  • Geben Sie Ihr Passwort ein.
  • Bestätigen Sie ihr Login an ihrem alten Gerät.

Für die Bestätigung des Logins auf dem alten Gerät haben Sie mehrere Möglichkeiten

  1. Sie haben eine alternative Loginmethode hinterlegt wie SMS, Anruf oder HW-Token.
  2. Sie verbinden ihr altes Gerät mit dem Internet über z.B. ein WLAN und erhalten ihre Push Nachricht insofern Sie dies so eingerichtet hatten.
  3. Sollten Sie keine Möglichkeit haben eine Internetverbindung aufzubauen auf dem alten Gerät folgen Sie bitte folgenden Schritten:

Sobald Sie am Loginscreen bei dem ihnen eine Zahl angezeigt wird klicken Sie bitte auf "Ich kann meine Microsoft Authenticator-App im Moment nicht verwenden."

 

first screen

Anschliessend auf "Verwenden eines Prüfcodes"

Methods

Den Prüfcode finden Sie in dem Sie ihre Authenticator App öffnen und ihr Uni Basel Konto auswählen.

Anschliessend wird ihr der Prüfcode angezeigt. Dazu ist keine Internetverbindung notwendig.

OTP

Nachdem Sie nun erfolgreich angemeldet sind können Sie ihre alte Login Methode über "Löschen" (1) entfernen und über "Anmeldemethode hinzufügen" (2) den Authenticator auf ihrem neuen Gerät hinzufügen.

Eine detaillierte Anleitung dazu finden Sie hier: https://its.unibas.ch/de/tsl 

changemethod

FAQ's zu "Two-Step Login"

Kann ich mehrere Smartphones registrieren?

Ja, Sie können mehrere Smartphones registrieren.

ANTWORT EINBLENDEN
FRAGE EINBLENDEN
Mein Smartphone wird nicht durch die Microsoft Authenticator- App unterstützt. Was kann ich tun?

Sie können eine alternative TOTP-fähige Authenticator-App verwenden (z.B. FreeOTP, Google Authenticator). Mit diesen Apps steht Ihnen nur die Authentifizierung mit dem Software-Token zur Verfügung.

Selbstverständlich können Sie auch die Authentifizierung mit SMS wählen.

ANTWORT EINBLENDEN
FRAGE EINBLENDEN
Muss ich meine Gruppen/Funktionsmailbox auch mit Two-Step absichern?

Das Two-Step login prozedere ist nur für Persönliche Benutzerkonten angedacht. Sog. Gruppenmailboxen und/oder Funktionsmailboxen sind nicht betroffen und benötigen kein Two-Step.

ANTWORT EINBLENDEN
FRAGE EINBLENDEN
Muss ich mich bei jeder Anwendung mit 'Two-Step Login' anmelden?

Es wird die Funktionalität von 'Single Sign-on' (SSO) verwendet. Dies bedeutet, dass das Login bei anderen Anwendungen (die durch 'Two-Step Login' geschützt sind) mit demselben Browser entfällt, wenn man mit dem Browser bereits einmal mit 'Two-Step Login' angemeldet ist. Spätestens nach 24 Stunden erfolgt aber eine erneute Authentifizierung.

ANTWORT EINBLENDEN
FRAGE EINBLENDEN

Service Desk

IT-Services
Spitalstrasse 41, 3. OG
CH-4056 Basel
Tel. +41 61 207 14 11
E-Mail support-its@unibas.ch