Für Funktionen (z.B. Mailadresse des Instituts, Projekte) ist es ratsam, Berechtigungen nicht direkt an den persönlichen Account einer Person zu binden, sondern eigene Funktionsaccounts anzulegen. Diese Accounts sind von den persönlichen Accounts getrennt, die Person, für die der Antrag gestellt wird, ist jedoch für den Funktionsaccount verantwortlich.

Funktionsaccounts können von mehreren Personen genutzt werden. Die für den Funktionsaccount verantwortliche Person sollte spätestens wenn eine Person den Zugriff nicht mehr haben soll, das Passwort des Accounts ändern.

Informationen zu Zwei-Faktor Authentifizierung bei geteilten Funktionsaccounts finden Sie in den FAQs. 

Die Zugangsdaten für den persönlichen Account werden an das Institut oder Ihre Privatadresse zugestellt. Sollten Sie keine Benutzungsbewilligung erhalten haben wenden Sie sich bitte an zid-benutzerverwaltung@uibk.ac.at.

Die Zugangsdaten für Funktionsaccounts werden an die persönliche Universitäts-Mailadresse der verantwortlichen Person versendet.

In der Regel gelten persönliche Accounts bis zum Ende des Dienstverhältnisses der Person, funktionsbezogene Accounts zwei Jahre ab Erstellung.

Um die Verwaltung zu vereinfachen und den Leiter:innen der Organisationseinheiten einen genaueren Überblick zu verschaffen, versendet der ZID einmal jährlich einen Sammelantrag. Auf dem Sammelantrag werden alle gültigen Funktionsaccounts verzeichnet und zur weiteren Verlängerung oder zur Abmeldung an den ZID übermittelt.

Wenn Accounts von Bediensteten oder Funktionsaccounts zur Abmeldung vorgesehen sind, räumt der ZID üblicherweise eine Frist ein, um Daten zu sichern. Zur Information der Benutzer:innen über den bevorstehenden Ablauf der Nutzungsdauer des Accounts versendet der ZID zwei bzw. bei persönlichen Accounts drei Ablaufwarnungen per E-Mail.

Nach der Sperrung des Accounts bleiben die Daten (E-Mails, Dokumente) noch ein Jahr erhalten, danach werden sie gelöscht.

Regelungen zum Ablauf von persönlichen Accounts nach Beendigung des Dienstverhältnisses (DV)

Mitarbeiter:innen erhalten einen Monat nach Beendigung des DV eine erste Benachrichtigung per E-Mail, in der das genaue Datum des Ablaufs der Nutzungsdauer des Accounts angeführt ist. Die Frist beträgt insgesamt sieben Monate nach Ende des DV für das Stammpersonal und für Lehrbeauftragte. Eine Verlängerung der Nutzungsdauer des Accounts über das in der Mail genannte Datum hinaus ist nicht möglich.

Emeritierte Universitätsprofessor:innen und wissenschaftliches Personal im Ruhestand können den persönlichen Account weiter nutzen und eine Verlängerung nach jeweils fünf Jahren beantragen.

Bei persönlichen Accounts wird ab dem Zeitpunkt der Sperre ein Jahr lang eine automatische Antwortmail versendet, mit dem Hinweis, dass die Mailadresse nicht mehr existiert. Mitarbeiter:innen haben die Möglichkeit dort einen Hinweis auf eine alternative Mailadresse einzutragen. Das kann entweder eine andere persönliche Mailadresse sein oder ein Hinweis auf eine Institutsadresse.
In der Informationsmail zum Ablauf der Nutzungsdauer des Accounts ist ein Link für die Aktivierung dieser Funktion angegeben.
https://lfuonline.uibk.ac.at/public/pvs_public.mail_fwd
Dieser Link ist nur in der Zeitspanne zwischen Versand der ersten Ablaufwarnung und der Sperre des Accounts verfügbar. Die Aktivierung der automatischen Antwort erfolgt erst mit Sperrung des Accounts.
Mailweiterleitungen an andere Mailadressen sind nach der Sperre des Accounts nicht möglich.

Bei einer neuerlichen Anstellung kann die Nutzungsdauer des Accounts entweder mittels Eintrittsworkflow oder mittels Antragsformular verlängert oder der Account entsperrt werden.

Wenn die Anstellung innerhalb der Ablauffrist erfolgt, wird üblicherweise eine entsprechende Benachrichtigung zur Verlängerung der Benutzungsbewilligung versendet, ein gesonderter Antrag ist dann nicht notwendig.

Wichtige persönliche Nachrichten von der Universität (z.B. Termine, Mitteilungen zu Prüfungsergebnissen, etc.) werden an Ihre Mailadresse gesendet. Sie können die Mails über Webmail für Studierende, in einem Mail-Client oder in der Uni-App lesen.

Die Account läuft mit dem Ende der Zulassung zum Studium (Exmatrikulation) ab. Die Zulassung zum Studium erlischt, wenn keine Fortsetzungsmeldung (früher: Inskription) erfolgt.

Nach dem Ende der Zulassungsfrist (30. November für das Wintersemester bzw. 31. März für das Sommersemester, plus einer Bearbeitungsfrist) wird überprüft, welche Studierenden nicht mehr zugelassen sind. Nicht mehr zugelassene Studierende erhalten spätestens 10 Tage vor Ablauf des Accounts eine Ablaufwarnung per E-Mail an die Uni-Mailadresse mit dem genauen Ablaufdatum. Mit diesem Datum wird der Account automatisch gesperrt, eine Verlängerung über diesen Termin hinaus ist nicht möglich.

Der Zugriff auf LFU:online bleibt auch nach der Sperrung des Accounts aktiv. Sie können sich mit Ihrer Kennung und dem zugehörigen Passwort weiterhin anmelden und Ihre Prüfungsdaten etc. abfragen.

Bei einer neuerlichen Zulassung zum Studium wird der Account im Zuge des Zulassungsverfahrens in der Studienabteilung wieder aktiviert. Kennung, Anfangspasswort und Mailadresse bleiben in diesem Fall unverändert. Das Passwort wird bei der Reaktivierung auf das ursprüngliche Anfangspasswort zurückgesetzt. Sollte diese automatische Reaktivierung nicht erfolgt sein, wenden Sie sich bitte an zid-benutzerverwaltung@uibk.ac.at.

Sie erhalten vom ZID ein Anfangspasswort. Ändern Sie dieses so schnell wie möglich und ersetzen Sie es durch ein geeignetes eigenes Passwort.

Bitte beachten Sie hier einige Voraussetzungen zur für ein geeignetes Passwort

• Das Passwort muss mindestens acht Zeichen haben; Umlaute (ä, ö und ü)  und ß dürfen nicht verwendet werden
• Es muss mindestens einen Großbuchstaben enthalten, idealerweise nicht am Anfang des Passwortes
• Es muss mindestens eine Ziffer enthalten
• Wir empfehlen auch den Einsatz von Sonderzeichen; gut geeignet sind  Punkt, Beistrich, Strichpunkt, Fragezeichen, Ausrufezeichen, Minus,  Unterstrich; Sonderzeichen dürfen nicht am Anfang des Passworts stehen

Eine einfache Methode um ein sicheres Passwort zu erstellen: denken Sie sich einen Satz aus und konstruieren Sie daraus das Passwort. Ein Beispiel dafür ist der Satz "Das ist ein sicheres Passwort, oder?".

Daraus ergibt sich folgendes Passwort:

Di1sPw,o?

Das Passwort wird noch sicherer, wenn Sie die Groß- und Kleinschreibung ändern oder von einem Wort mehrere Buchstaben nehmen (ohne dass es dadurch für Sie schwierig zu merken wird), zum Beispiel:

Dis1siPW,o?

Im Idealfall wählen Sie ein Passwort, das Sie sich merken können und nicht aufschreiben müssen. Wenn Sie unsicher sind, ob Sie sich das Passwort merken können, notieren Sie es, aber bewahren Sie es so auf, dass es für niemand anderen zugänglich ist. Ein häufiger Fehler ist es, das Passwort auf einem Zettel zu notieren, der am Computer, am Monitor oder unter der Tastatur befestigt ist.

Hilfreich mit dem sicheren Umgang von Passwörtern sind sogenannte Passwort-Manager.

Ein plattformunabhängiger, freier Passwortmanager ist z.B. KeePassXC.

Beachten Sie, dass es an Ihrem PC auch einen Benutzer "Administrator" gibt. Auch für diesen ist ein sicheres Passwort zu wählen. Sollten Sie Fragen dazu oder Probleme mit Ihrem Administrator-Benutzer haben, wenden Sie sich bitte an den Technischen Support des ZID.

Achten Sie darauf, dass Ihnen niemand zusieht, wenn Sie Ihr Passwort eingeben. Wenn Sie unsicher sind, ob jemand das Passwort gesehen hat, setzen Sie unverzüglich ein neues.

Das Passwort eines persönlichen Accounts darf nur dem/der Besitzer:in der Benutzerkennung bekannt sein, um Missbrauch zu vermeiden.

Eine Weitergabe der Zugangsdaten an Dritte verstößt gegen die Benutzungsregelungen des ZID.

Eine Ausnahme stellen funktionsbezogene Benutzungsbewilligungen dar. Mehr Informationen dazu finden Sie unter Funktionsaccounts.

Es gibt es Web-Dienste, für die Sie einen Account benötigen. Für diese Web-Dienste sollten Sie auf jeden Fall ein anderes Passwort als für die Dienste des ZID verwenden. Passwörter externer Dienste werden über unbekannte und damit potentiell nicht vertrauenswürdige Netzwerke übertragen. Nach Möglichkeit sollten Sie für jeden dieser Dienste ein eigenes Passwort verwenden.

Moderne Browser bieten auch die Möglichkeit, die Passwörter für Sie zu speichern, sodass Sie sich diese nicht mehr merken müssen. Die Passwörter werden aber nun unter Ihrem Account im Browserprofil gespeichert. Wenn jemand Zugriff auf Ihren Account erlangt, ist es ein Leichtes, diese Passwörter zu erfahren. Deshalb sollten Sie, wenn Sie diese Funktion des Web-Browsers verwenden, besonders auf die Sicherheit Ihres Accounts achten und ein Master-Passwort für den Browser-Passwort-Safe vergeben.

Ein plattformunabhängiger, freier Passwortmanager ist KeePassXC.

Unter GNU/Linux fehlt im Moment eine Implementierung eines FIDO2 Platform authenticators, daher können die in gängiger Hardware verbauten TPM Chips nicht als zweiter Faktor verwendet werden. Dies führt dazu, dass Sie im Moment unter GNU/Linux nur eine Authenticator-App (TOTP) oder einen FIDO2 Roaming-Authenticator (z.B. dedizierten Security Key) verwenden können.

Proton Pass ist ein Service, bei dem die Zugangsdaten verschlüsselt auf dem System des Anbieters abgelegt werden. Dadurch muss man sich nicht selbst darum kümmern, dass die Zugangsdaten überall zur Verfügung stehen und nicht verloren gehen.

Wir empfehlen Proton Pass weil

• der Privatgebrauch kostenlos ist (inklusive 2FA Funktionalität).
• die Zugangsdaten automatisch zwischen Geräten synchronisiert werden (überall dort, wo die App oder das Browser-Addon installiert ist).
• sich das Unternehmen auf sichere Kommunikation spezialisiert hat.
• der Quellcode von den Clients und den Web-Applikationen öffentlich ist.
• der Unternehmens- und Serverstandort in Europa ist und daher europäische Datenschutzstandards gelten.
  

Hier finden Sie eine Schritt-für-Schritt Anleitung zur Einrichtung von Proton Pass.

KeePassXC ist ein offline Passwort Manager der Zwei-Faktor Authentifizierung unterstützt. Die Anwendung speichert Zugangsdaten in eine verschlüsselte Datei auf der lokalen Festplatte.

ACHTUNG: Mit KeePassXC müssen Sie Ihre Passwort-Datei selbst sicher verwahren und sicherstellen, dass Sie sie auf jedem Gerät verfügbar haben, mit dem Sie sich an den Diensten der Universität anmelden wollen.

Die Installation und Verwendung ist im Artikel Passwort-Management beschrieben.

Beim Login geben Sie Ihre Kennung und Ihr Passwort ein, die Sie von der Universität erhalten haben, und gegebenenfalls einen zweiten Faktor.

Um sicherzustellen, dass Sie bei allen Webseiten – Die WebSSO der Universität Innsbruck verwenden – abgemeldet sind, schließen Sie bitte Ihren Browser.

Falls Sie sich mit einem anderen Account (z.B. Funktionsaccounts) anmelden wollen, haben Sie folgende Möglichkeiten:

• benutzen Sie den privaten Modus Ihres Webbrowsers (Mozilla Firefox; Google Chrome; Microsoft Edge; Internet Explorer)
  
• benutzen Sie Multi-Account Containers für Firefox.
• deaktivieren Sie in den Login Einstellungen die automatische Windows Desktop Anmeldung.

Bitte geben Sie Ihre Zugangsdaten nur auf vertrauenswürdigen Geräten ein!

Falls Sie sich an einem fremden Gerät anmelden, empfehlen wir die Verwendung des privaten Modus Ihres Webbrowsers (Mozilla Firefox; Google Chrome; Microsoft Edge). Schließen Sie zum Abmelden die Browsers-Fenster.

Mit dieser Methode können Sie sich automatisch am WebSSO anmelden, sobald Sie an Ihrem Windows Arbeitsplatz-PC angemeldet sind. 

Falls Sie immer automatisch angemeldet sein wollen, wählen Sie die Option „Immer Windows Login verwenden“. Sie können diese Option über Ihre Einstellungen ändern.

Diese Methode funktioniert für PCs, die an der Windows Domain der Universität Innsbruck angemeldet sind.

Weiters muss Ihr Webbrowser für Windows Login der Universität Innsbruck konfiguriert sein. Dies ist standardmäßig bei Arbeitsplatz-PCs für Microsoft Edge sowie Google Chrome der Fall. Bei Mozilla Firefox muss der WebSSO Server (idp.uibk.ac.at) eingetragen werden:

1. Geben Sie in der Adresszeile about:config ein.
2. Suchen Sie auf der Konfigurationsseite nach negotiate.
3. Sie sollten nun die Option network.negotiate-auth.trusted-uris sehen. Klicken Sie diese an. Es öffnet sich ein Dialog. Hier idp.uibk.ac.at eintragen und bestätigen.

Stellen Sie bitte vorerst sicher, dass Sie die Benutzerkennung und das Passwort korrekt eingegeben haben und dass die Feststelltaste (Caps Lock) deaktiviert ist.

Wenden Sie sich bitte an ZID-Benutzerverwaltung@uibk.ac.at . Aus Sicherheitsgründen werden Sie aufgefordert, Ihre Identität zu bestätigen. Halten Sie daher ein Dokument bereit, das Ihre Identität verifiziert.

Wenn Sie sich bei einigen Diensten (z.B. Web-Mail) anmelden können, bei anderen Diensten (z.B. VPN-Zugang, Wiki-Anmeldung etc.) nicht, können Sie im Account-Portal Ihr Passwort synchronisieren.

Über das Account-Portal können Sie Ihr Passwort auch ändern.

Ihr Passwort können Sie über das Account-Portal abändern.

Neben Ihrer Benutzerkennung und dem alten Zugangspasswort muss zweimal das neue Passwort eingegeben werden. Wir empfehlen, im Passwort Groß- und Kleinschreibung und mindestens eine Ziffer oder ein Sonderzeichen zu verwenden (siehe auch Wahl eines geeigneten Passwortes)

Wenn Sie Netzwerklaufwerke (z.B. das Home-Verzeichnis \I:, allgemein: Netzwerkdateisysteme) verwenden, müssen Sie sich nach einer Passwortänderung von Ihrem Rechner ab- und wieder anmelden.

Wenn Sie einen externen Account (Benutzername ist Ihre private Mailadresse) verwenden, können Sie Ihr Passwort selbstständig auf LFU:online [2] zurücksetzen."

Wenn Sie den Zweiten Faktor nicht auffinden können, sollten Sie sich umgehend an den ZID Service Desk wenden.

Um sicherzustellen, dass Sie auch bei Verlust oder Vergessen Ihres derzeitigen Geräts Zugriff auf Ihren Account und Ihre Ressourcen behalten, empfehlen wir dringend die Einrichtung weiterer Faktoren. Durch den Besitz mehrerer zweiter Faktoren minimieren Sie das Risiko von  Zugriffsproblemen und gewährleisten eine zuverlässige und flexible Authentifizierung.

Bitte beachten Sie, dass Sie bei der Einrichtung zusätzlicher Security Keys sicherstellen sollten, dass diese den Standard FIDO2 unterstützen, um die höchstmögliche Sicherheit zu gewährleisten. Setzen Sie sich bei Fragen oder Unterstützungsbedarf mit dem ZID Service Desk in Verbindung.

Es ist wichtig, den Verlust oder das Fehlen des Zweiten Faktors umgehend zu melden, um mögliche Sicherheitsrisiken zu minimieren und den Zugriff auf Ihre digitalen Dienste wiederherzustellen. Kontaktieren Sie den ZID Service Desk, um Unterstützung zu erhalten.

Laden Sie auf Ihrem neuen Handy die Authenticator-App runter und verknüpfen Sie die App mit Ihrem Account im Account Portal. Beachten Sie, dass Sie noch Ihr altes Handy mit der entsprechenden App benötigen, um sich im Account Portal mit 2FA anzumelden. (Haben Sie einen Security-Key, Windows Hello-Pin oder Apple ID eingerichtet, können Sie sich auch damit anmelden).

Sollten Sie keinen Zugriff mehr auf Ihr altes Handy haben ist dies zu behandeln wie ein verlorener Token. Melden Sie sich beim ZID Service Desk.

Wenn Sie den Windows Hello-PIN an Ihrem Gerät eingerichtet haben und nun Schwierigkeiten haben, einen Security Key hinzuzufügen, befolgen Sie bitte den folgenden Schritte:

• Wenn die Einrichtung eines Windows Hello-PINs gestartet wurde, bevor Sie einen Security Key hinzufügen konnten, brechen sie die Einrichtung ab.
• Nachdem Sie die Windows Hello-PIN-Einrichtung abgebrochen haben, können Sie nun einen Security Key hinzufügen.

Bitte beachten Sie, dass die gemeinsame Nutzung von Accounts nur für Funktionsaccounts gestattet ist. Siehe dazu auch Weitergabe der Accountdaten/Benutzerdaten.

Wir empfehlen für jede zugriffsberechtigte Person eigene 2FA-Token für den Funktionsaccount zu hinterlegen. Idealerweise werden die Token in einem persönlichen Termin gemeinsam angelegt. Die für den Account verantwortliche Person meldet sich dabei mit den Benutzerdaten des Funktionsaccount an einem Gerät im Account-Portal an. Alle beteiligten Personen können dort dann mit der eigenen Authenticator-App oder dem eigenen Security Key einen zweiten Faktor anlegen. Um die Faktoren besser zuordnen zu können empfiehlt es sich in der Tokenbeschreibung den Namen der dazugehörigen Person zu notieren. Jede Person kann sich damit in Zukunft mit den Benutzerdaten des Funktionsaccounts + dem eigenen zweiten Faktor für den Funktionsaccount anmelden.

Sie müssen nicht die von uns empfohlene App installieren. Sie können auch eine andere App verwenden, die den TOTP Standard unterstützt.

Für Android-Geräte haben wir beispielsweise mit Aegis gute Erfahrungen gemacht. Unter iOS unterstützt auch der Passwortmanager des Betriebssystems TOTP und kann daher verwendet werden. Wir bitten um Verständnis, dass der Service Desk nur bei Problemen mit der von uns empfohlenen App Unterstützung bieten kann.

Um die Anmeldecodes zu generieren braucht die Anwendung keinerlei Berechtigungen (Internetzugang, Adressbuchzugriff, Zugriff auf Dateien am Gerät, ...), abgesehen vom Kamerazugriff, um den QR-Code zu scannen. Ein kritischer Blick auf die  von der jeweiligen gewünschten Berechtigungen kann bei der Auswahl einer vertrauenswürdigen App helfen.

Beim Einrichten wird über den QR-Code nur ein sogenanntes Geheimnis ausgetauscht. Eine Authenticator-App kann mit diesem Geheimnis und einem Algorithmus Einmalpasswörter genieren. Es werden also keine persönlichen oder sensiblen Daten ausgetauscht.

Der zweite Faktor sollte physischen Besitz repräsentieren. Wir empfehlen daher, die Login-Codes auf einem mobilen Gerät zu generieren, das Sie üblicherweise bei sich tragen.

Für spezielle Anwendungsfälle kann es sinnvoll sein, (auch) auf einem Desktop-Computer/Notebook eine Authenticator-App zu installieren. Folgende Lösungen empfehen wir für die verschiedenen Betriebssysteme.

1. Viele Passwortmanager unterstützten die Generierung von Login-Codes (TOTP) auf verschiedenen Betriebssystemen. Wir haben für KeePassXC eine Anleitung erstellt.
2. Der in macOS integrierte Passwort-Manager unterstützt TOTP, auf dieser Platform empfehlen wir allerdings den Security-Chip zu verwenden.
3. Unter GNU/Linux empfehlen wir GNOME Authenticator.
4. Auf Systemen mit Microsoft Windows kann 2fast aus dem Microsoft Store bezogen werden. Wenn möglich raten wir aber dazu, Windows Hello zu verwenden.

(Diese Liste ist als Empfehlung zu verstehen. Der Zentrale Informatikdienst kann leider keinen spezialisierten Support für diese Anwendungen bieten.)

Der Zentrale Informatikdienst stellt für die Zwei-Faktor Authentifizierung jeder Mitarbeiter:in der Universität auf Nachfrage einen Hardware Security Key zu Verfügung. Ausgegeben wird derzeit das Modell Security Key NFC (USB A) vom Hersteller Yubico.

Mitarbeitende, die keine Authenticator-App für die Zwei-Faktor Authentifizierung installieren können oder wollen (beispielsweise, weil sie kein Mobiltelefon besitzen), können beim zuständigen technischen Support einen Security-Key beziehen und diese USB-Hardware als zweiten Faktor (etwas das man physisch besitzt) verwenden.

Grundsätzlich wird pro Mitarbeiter:in ein Security Key ausgegeben – dieser kann sowohl für den persönlichen als auch für Funktionsaccounts verwendet werden. Bei Verlust oder Beschädigung behalten wir uns vor für eine weitere Ausgabe einen Kostenersatz einzufordern.

Der Zentrale Informatikdienst (ZID) gibt Security Keys zum Selbstkostenpreis (nur Bargeld!) an Studierende aus. Die Verkaufsfenster sind bis auf weiteres jeden Dienstag von 10:00 bis 12:00 Uhr und jeden Donnerstag von 14:00 bis 16:00 Uhr. Die Ausgabestelle ist das Sekretariat des ZID am Campus Technik. (Technikerstraße 23, 1. Stock)