Humboldt-Universität zu Berlin

Humboldt-Universität zu Berlin | Datenschutz | Tokenauswahl bei 2FA

Tokenauswahl bei Zwei-Faktor-Authentifizierung

In Kooperation mit der HU-Informationssicherheit

Einleitung

Eine Zwei-Faktor-Authentifizierung (2FA) ist vereinfacht ausgedrückt eine Erweiterung bestehender Accountdaten (hier: HU-Account) um einen temporären Code, der zusätzlich für eine erfolgreiche Anmeldung benötigt wird. Es können eigenständige Geräte (sog. Hardwaretoken) oder Apps für Smartphone, Tablet (sog. Softwaretoken) genutzt werden.  

In den Geräten oder 2FA-Apps werden keine Passwörter gespeichert. Da Gerät oder App aber für den Zugriff auf HU-ESS wichtig sind, sollte gleichwohl hierauf sorgsam aufgepasst werden.

Allgemein zum Einsatz von 2FA an der Humboldt-Universität siehe die ausführlichen Erklärungen beim CMS.

 

Zur Wahl zwischen Hardware- und Softwaretoken

Den Mitarbeiter:innen der HU steht die Entscheidung frei, Hardwaretoken oder Softwaretoken als Absicherung für den HU-ESS-Zugang zu wählen. Möchte jemand keine App auf dem privaten Smartphone installieren, ist er/sie hierzu nicht gezwungen, sondern kann Zugang zu ESS auch über ein zur Verfügung gestelltes Hardwaretoken erhalten.

Um diese Entscheidung zu erleichtern, folgen ein paar Argumente pro/contra, einschließlich ein paar Tipps zur Softwareauswahl:  

 

Hardwaretoken

Ein Hardwaretoken ist ein kleines Gerät, etwa so groß wie ein USB-Stick. Es hat nur eine Funktion, nämlich fortlaufend neue sechsstellige Nummern zu generieren und auf einem kleinen, eingebauten Display anzuzeigen. Es hat eine eingebaute, nicht ersetzbare Batterie mit einer Laufzeit von mehreren Jahren. Ist die Batterie verbraucht, ist das Hardwaretoken unbrauchbar und als Elektroschott zu entsorgen.

Hardwaretoken können ab sofort an den CMS-Theken in Adlershof (Erwin-Schrödinger-Zentrum) und Mitte (Grimm-Zentrum) abgeholt werden. Es ist eine persönliche Abholung erforderlich. Hardwaretoken werden nur an Mitarbeiter:innen ausgegeben und auch jeweils nur ein Hardwaretoken pro Mitarbeiter:in. Vor Abgabe wird geprüft, ob Sie Mitarbeiter:in der HU sind (daher bitte einen amtlichen Lichtbildausweis mitbringen). 

 

 Vorteile: 

  • Kein Smartphone erforderlich
  • Keine Installation von Apps auf einem privaten Smartphone erforderlich
  • Keine versehentliche Auswahl datenhungriger Apps 
    (Beispiele datensparsamer Apps)

 

Nachteile: 

  • Zusätzliches Gerät, dass mitgenommen/bedacht werden muss
  • Bleibt u.U. leichter am letzten Nutzungsort liegen, da man es nur für einen Anwendungszweck braucht.
  • Hardwaretoken muss persönlich an der Servicetheke abgeholt werden. 
  • Geringere Nachhaltigkeit (bei bereits vorhandenem Smartphone/Tablet), Batterie nicht ersetzbar-> Elektroschrott
Softwaretoken

Ein Softwaretoken wird innerhalb einer 2FA-App generiert, welche z. B. auf dem Smartphone installiert ist. Die 2FA-App hat ebenfalls nur die Funktion fortlaufend neue sechsstellige Nummern  zu generieren.

Für den Zugang zu HU-ESS können alle 2FA-Apps genutzt werden, die auf dem TOTP-Standard beruhen. Auf einen konkreten App-Anbieter kommt es nicht an. Jedoch sind manche Apps eher datensparsam (keine Tracker, wenig Berechtigungen), manche eher datenhungrig (viele Tracker, viele Berechtigungen) ausgestaltet. 

Vorteile: 

  • Smartphone ist meist ohnehin dabei 
  • Soweit ein Smartphone vorhanden ist, kann die App direkt installiert und mit dem Konto verknüpft werden (Anleitungen auf den Seiten des CMS).
  • App kann für weitere 2FA-gesicherte Accounts verwendet werden (z.B. Online-Shopping)

Nachteile: 

  • Ohne funktionierendes Smartphone  (Akku leer) kein Zugriff auf ESS
  • Installation von App ggf. auf privatem Smartphone erforderlich.   
  • Manche 2FA-Apps sind unter Datenschutzaspekten kritisch zu sehen, da sie Tracker enthalten oder weite Berechtigungen auf dem Smartphone einfordern.

 

Der CMS nennt einige 2FA-Apps, die datensparsam arbeiten und im Folgenden auf Basis von Informationen aus exodus-privacy.eu.org (externer Link) weiter betrachtet werden.

Alle Apps benötigen die Berechtigung auf die Kamera zuzugreifen. Dies ist nachvollziehbar, da über die (Foto)Aufnahme eines QR-Codes die Verknüpfungen mit den Accounts erfolgen.  

 

2FA-Apps

Google Authenticator (Android)
Sehr verbreitet. Bislang wurde an der App Google Authenticator kein datenschutzseitig bedenkliches Verhalten festgestellt. Es ist keine Verknüpfung mit einem Google-Konto erforderlich. Der Google Authenticator enthält keine Tracker.

Aegis Authenticator (Android)
Aegis enthält keine Tracker.

FreeOTP+ (Android)
FreeOTP+ ist eine Open-Source-Software, welche keine Tracker enthält. An Berechtigungen wird zusätzlich Zugriff auf den Speicher verlangt. 

 

OTP Auth (iOS)
Nach Auskunft im AppStore erfasst OTP Auth keine persönlichen Daten über die App. 

Authenticator (iOS)
Nach Auskunft im AppStore erfasst Authenticator ggf. Daten zum Einkaufsverlauf und zur GeräteID, jedoch keine weitere Daten zur Person. 

Google Authenticator (iOS)
Gem. Auskunft im AppStore erfasst der Google Authenticator ggf. Daten zur Geräte ID, jedoch keine weitere Daten zur Person. 

 

Anmerkung: Bei der Durchsicht sind wir teils auch auf OTP-Apps gestoßen, bei denen diverse Tracker enthalten sind und welche zusätzliche Daten für den Anbieter oder Dritte erheben ( z. B.: Google Analytics, Facebook Ads). Auch erfordern manche Apps eine Vielzahl zusätzlicher Berechtigungen, z.B. Standort, Handy-Accounts, Kontakte, Telefonstatus.

All dies ist – jedenfalls für den HU-ESS-Zugang – nicht erforderlich. Soweit es also keine sonstigen Gründe gibt, können (sollten) Sie aus Datenschutz und IT-Sicherheitssicht solche Apps meiden.