Fehlerhaft eingerichtete zweite Faktoren (Token) können zu Problemen beim Login führen. Wenden Sie sich bitte an den Helpdesk unter helpdesk@hhu.de, sodass der fehlerhaft eingerichtete zweite Faktor (Token) gelöscht werden kann. 

Beachten Sie bitte: Wenn es sich dabei um Ihren einzigen Token handelt, ist die Löschung aus Sicherheitsgründen NUR persönlich und gegen Vorlage eines gültigen Personalausweises am Helpdesk möglich. Bitte kommen Sie während unserer Öffnungszeiten persönlich vorbei.

Incorrectly set up second factors (tokens) can lead to problems when logging in. Please contact the helpdesk at helpdesk@hhu.de so that the incorrectly set up second factor (token) can be deleted. 

Please note: If this is your only token, for security reasons it can ONLY be deleted in person at the helpdesk upon presentation of ID card. Please visit us in person during our opening hours. 

Beschäftigte der HHU müssen ab dem 09.06.2025 bei der Nutzung des HHU-VPN die MFA nutzen.

Ansonsten besteht aktuell keine Verpflichtung zur Einrichtung von MFA für Nutzende an der Heinrich-Heine-Universität Düsseldorf. In Abwägung verschiedener Aspekte, lässt sich jedoch zu derzeit nicht ausschließen, dass eine Verpflichtung zu einem späteren Zeitpunkt erfolgen wird.

Ungeachtet einer möglichen späteren Verpflichtung empfehlen wir Ihnen aus Gründen der eigenen Datensicherheit und des Schutzes universitärer Ressourcen MFA zu nutzen. Angesichts einer zunehmenden Bedrohungslage ist die Verwendung von MFA eine wirksame Maßnahme, um das Risiko von unbefugtem Zugriff auf den eigenen Account deutlich zu reduzieren.

HHU employees have to use MFA from June 9th 2025 onwards if working with the HHU VPN. 

Beside this there is currently no obligation to set up MFA for users at Heinrich Heine University Düsseldorf. However, after considering various aspects, it cannot be ruled out at present that an obligation will be imposed at a later date.

Regardless of a possible later obligation, we recommend that you use MFA for reasons of your own data security and the protection of university resources. In view of the increasing threat situation, the use of MFA is an effective measure to significantly reduce the risk of unauthorised access to your own account.

Es gibt keine Beschränkung in der Anzahl der MFA-Methoden, die Sie für Ihr Konto einrichten können. Sie haben die Möglichkeit, sowohl kurzzeitig-gültige Einmalpasswörter (Time-Based One-Time Password) als auch Passkeys (FIDO2) parallel zu verwenden. Zusätzlich können Sie mehrere zweite Faktoren derselben Sorte einrichten oder eine Methode auf mehreren Geräten nutzen.

Die Verwendung mehrerer MFA-Methoden wird sogar ausdrücklich empfohlen, um den Verlust eines einzelnen zweiten Faktors (Tokens) oder den Ausfall einer Authentifizierungsmethode zu kompensieren. Beispielsweise könnten Sie sowohl eine Authenticator-App für TOTP als auch einen FIDO2-kompatiblen Hardware-Token einrichten. Dies bietet mehr Sicherheit für Ihren Account und stellt außerdem sicher, dass Sie immer Zugriff auf Ihr Konto haben, selbst wenn eines Ihrer Geräte einmal verloren geht oder beschädigt wird.

There is no limit to the number of MFA methods you can set up for your account. You have the option of using both time-based one-time passwords and passkeys (FIDO2) in parallel. You can also set up several second factors of the same type or use one method on several devices.

The use of multiple MFA methods is even explicitly recommended to compensate for the loss of a single second factor (token) or the failure of an authentication method. For example, you could set up both an authenticator app for TOTP and a FIDO2-compatible hardware token. This provides more security for your account and also ensures that you always have access to your account, even if one of your devices is lost or damaged.

Nein, brauchen Sie nicht. Sie können auch verschiedene, unterschiedlich zugängliche kurzfristig gültige Einmal-Passwörter und Passkeys Ihrer genutzten Betriebssysteme einrichten. Für MFA Optionen an der HHU siehe https://wiki.hhu.de/x/7oTWI

No, you don't need to. You can also set up various, differently accessible one-time passwords and passkeys through the operating system/s you are use. For MFA Options at the HHU see https://wiki.hhu.de/x/7oTWI

Ja, Sie können MFA auf mehreren Geräten einrichten. Dies ist sogar empfehlenswert, um Flexibilität zu gewährleisten und eine Rückfalloptionzu haben, falls eines Ihrer Geräte nicht verfügbar ist. Das Einrichten von MFA auf mehreren Geräten erhöht nicht nur die Sicherheit Ihres Kontos, sondern bietet auch eine praktische Lösung, falls ein Gerät verloren geht, gestohlen wird oder defekt ist. Es ist wichtig, dass Sie alle Geräte, die Sie für MFA verwenden, sicher aufbewahren und deren Zugang entsprechend schützen.

Yes, you can set up MFA on multiple devices. In fact, this is recommended to ensure flexibility and to have a fallback option in case one of your devices is unavailable. Setting up MFA on multiple devices not only increases the security of your account, but also provides a practical solution in case a device is lost, stolen or broken. It is important that you keep all the devices you use for MFA secure and protect their access accordingly.

Ja, Sie dürfen private Geräte nutzen, um weitere Faktoren einzurichten.

Yes, you may use private devices to set up additional factors.

Ein bestehendes MFA-Verfahren an der HHU kann aus Sicherheitsgründen nur begrenzt verändert werden. Gehen Sie daher wie folgt vor:

1. Zugang zum MFA-Konfigurationsportal: Besuchen Sie das MFA-Konfigurationsportal der HHU (mfa.hhu.de). Melden Sie sich mit Ihren aktuellen Anmeldeinformationen an.
2. Neues MFA-Verfahren hinzufügen: Wählen Sie die Option, um ein neues MFA-Verfahren hinzuzufügen. Dies kann das Hinzufügen eines neuen Hardware-Tokens, das Einrichten einer Authenticator-App oder die Konfiguration eines anderen unterstützten MFA-Verfahrens sein.
3. Anweisungen folgen: Befolgen Sie die spezifischen Anweisungen, um das neue MFA-Verfahren einzurichten. Dies kann das Scannen eines QR-Codes für eine Authenticator-App oder das Registrieren eines neuen Passkeys umfassen.
4. Testen Sie das neue Verfahren: Melden Sie sich ab und erneut an, um sicherzustellen, dass das neue MFA-Verfahren korrekt funktioniert.
5. Altes MFA-Verfahren entfernen: Sobald das neue MFA-Verfahren erfolgreich eingerichtet und getestet wurde, entfernen Sie das alte MFA-Verfahren aus Ihrem Konto. Dies verhindert Verwirrung und potenzielle Sicherheitsrisiken.

An existing MFA procedure at HHU can only be changed to a limited extent for security reasons. Therefore, please proceed as follows:

1. Access to the MFA configuration portal: Visit the university's MFA configuration portal (mfa.hhu.de). Log in with your current login details.
2. Add new MFA procedure: Select the option to add a new MFA procedure. This can be adding a new hardware token, setting up an authenticator app or configuring another supported MFA method.
3. Follow instructions: Follow the specific instructions to set up the new MFA procedure. This may include scanning a QR code for an authenticator app or registering a new passkey.
4. Test the new procedure: Log out and log back in to make sure the new MFA process is working correctly.
5. Remove old MFA process: Once the new MFA process has been successfully set up and tested, remove the old MFA process from your account. This will prevent confusion and potential security risks.

Wenn Sie ein neues Handy haben und MFA bereits mit einer Authenticator-App auf Ihrem alten Gerät eingerichtet hatten, müssen Sie einige Schritte durchführen, um MFA auf Ihrem neuen Gerät einzurichten:

1. Installieren Sie die Authenticator-App (nur kurzzeitig-gültige Einmalpasswörter): Laden Sie dieselbe Authenticator-App, die Sie zuvor verwendet haben, auf Ihr neues Handy herunter.
2. Transfer des MFA-Kontos: 
   
   1. Wenn Ihre Authenticator-App die Backup- und Wiederherstellungsfunktion unterstützt, stellen Sie Ihre Konten über das Backup auf Ihrem neuen Gerät wieder her.
   2. Falls kein Backup möglich ist, müssen Sie MFA für Ihre HHU-Konten neu einrichten:
      1. Melden Sie sich bei Ihrem HHU-Konto an und navigieren Sie zum MFA-Einstellungsbereich (über das Self-Service-Portal mfa.hhu.de).
      2. Befolgen Sie die Anweisungen, um MFA auf Ihrem neuen Gerät einzurichten. Dies beinhaltet das Scannen eines QR-Codes mit der Authenticator-App auf Ihrem neuen Handy oder das Bestätigen des Anlegens eines neuen Passkeys.
3. Testen Sie die MFA auf dem neuen Gerät: Stellen Sie sicher, dass MFA richtig eingerichtet ist, indem Sie sich abmelden und mit der MFA auf Ihrem neuen Gerät anmelden.
4. Entfernen alter Geräte: Wenn Ihr altes Handy nicht mehr in Gebrauch ist, stellen Sie sicher, dass Sie MFA-Einstellungen oder Authenticator-Apps von diesem Gerät entfernen und auch die nicht mehr benötigten zweiten Faktoren aus dem Self-Service-Portal entfernen, um die Sicherheit zu gewährleisten.

If you have a new mobile phone and have already set up MFA with an authenticator app on your old device, you will need to follow a few steps to set up MFA on your new device:

1. Install the Authenticator app (short-term valid one-time passwords only): Download the same Authenticator app you used before to your new mobile phone.
2. Transfer the MFA account: 
   
   1. If your Authenticator app supports the backup and restore function, restore your accounts via the backup on your new device.
   2. If a backup is not possible, you will need to set up MFA for your HHU accounts again:
      1. Log in to your HHU account and navigate to the MFA settings area (via the self-service portal mfa.hhu.de).
      2. Follow the instructions to set up MFA on your new device. This includes scanning a QR code with the Authenticator app on your new mobile phone or confirming the creation of a new passkey.
3. Test MFA on the new device: Make sure MFA is set up correctly by logging out and logging in with MFA on your new device.
4. Remove old devices: If your old mobile phone is no longer in use, make sure you remove MFA settings or authenticator apps from that device and also remove the second factors that are no longer needed from the self-service portal to ensure security.

Wenn Sie bei Apple, Google oder Microsoft einen biometrischen Passkey (Fingerabdruck oder Gesichtserkennung) eingerichtet haben, ist dieser in einem sicheren Bereich des Geräts gespeichert, auf dem Sie die Einrichtung vorgenommen haben. Als zweiter Faktor funktionieren solche Passkeys daher nur auf dem entsprechenden Gerät, nicht aber auf anderen!

If you have set up a biometric passkey (fingerprint or facial recognition) with Apple, Google or Microsoft, this is stored in a secure area of the device on which you set it up. As a second factor, such passkeys therefore only work on the corresponding device, but not on others!

Um einen neuen Hardware-Token für MFA an der HHU einzurichten, folgen Sie diesen Schritten:

1. Registrieren des neuen zweiten Faktors (Tokens):
   • Besuchen Sie das MFA-Konfigurationsportal der HHU unter mfa.hhu.de (Seite ist am Campus oder aus dem HHU-VPN erreichbar).
   • Melden Sie sich mit Ihren bestehenden Anmeldeinformationen an.
   • Wählen Sie die Option „einen neuen Hardware-Token hinzufügen“.
2. Einrichtung des zweiten Faktors (Tokens):
   • Befolgen Sie die Anweisungen auf dem Bildschirm, um Ihren neuen Hardware-Token zu konfigurieren. Dies umfasst i.d.R. das Einstecken des zweiten Faktors (Tokens) in einen USB-Port und das Betätigen einer Taste auf dem zweiten Faktor (Token), um ihn zu aktivieren.
3. Testen des zweiten Faktors (Tokens):
   • Nach erfolgreicher Registrierung testen Sie den zweiten Faktor (Token), indem Sie sich von Ihrem Konto abmelden und erneut anmelden, wobei Sie den zweiten Faktor (Token) Faktor verwenden.
4. Entfernen des alten Tokens (falls zutreffend):
   • Wenn Sie einen alten Token ersetzen, vergewissern Sie sich, dass Sie diesen aus Ihrem Konto entfernen, um Sicherheitsrisiken zu minimieren.
5. Sicherer Umgang mit dem Token:
   • Bewahren Sie Ihren Hardware-Token sicher auf und vermeiden Sie es, ihn unbeaufsichtigt zu lassen, um das Risiko von Verlust oder Diebstahl zu minimieren.

To set up a new hardware token for MFA at HHU, follow these steps:

1. Register the new token:
   
   • Visit your university's MFA configuration portal at mfa.hhu.de.
   • Log in with your existing login information.
   • Select the option "add a new hardware token".
2. Set up the token:
   
   • Follow the instructions on the screen to configure your new hardware token. This usually involves plugging the token into a USB port and pressing a button on the token to activate it.
3. Testing the token:
   
   • After successful registration, test the token by logging out of your account and logging in again, using the token as a second factor.
4. Removing the old token (if applicable):
   
   • If you are replacing an old token, make sure you remove it from your account to minimise security risks.
5. Safe handling of the token:
   
   • Keep your hardware token safe and avoid leaving it unattended to minimise the risk of loss or theft.

Nein. Es braucht wie bisher Unikennung und Passwort. Zudem ist ein YubiKey Write-Only, d.h. man kann einem gefundenen YubiKey nicht entnehmen, für welche Dienste oder Seiten darauf Zugangsdaten gespeichert sind.

Wichtig: Sofern Sie nur einen Token eingerichtet haben, sperren Sie sich bei Verlust des YubiKeys (ihres einzigen Tokens) aus ihrem HHU Account aus. In diesem Fall müssen Sie aktuell an den Campus kommen, damit wir Ihre Identität prüfen können und Sie wieder freischalten können. Richten Sie sich also unbedingt mehr als einen Token ein!

No. As before, your university username (Uni-Kennung) and password is needed for logging in. In addition, a YubiKey is write-only, i.e. one cannot tell from a found YubiKey for which services or pages access data is stored on it.

Important: If you have only set up one token, you will be locked out of your HHU account if you lose your YubiKey (your only token). In this case, you will need to come to campus so that we can check your identity and unlock you again. So be sure to set up more than one token!

Der YubiKey ist bei Ausscheiden - wie anderes HHU-Inventar auch - an den Fachvorgesetzen zu übergeben. Damit die erneute Nutzung des YubiKeys sicher ist, sollte dieser zurückgesetzt werden. Dies ist über die App (aber auch mit Chrome) mit wenigen einfachen Schritten möglich:

Allgemeine Übersicht zum Reset eines Yubikeys: https://support.yubico.com/hc/en-us/articles/360013757959-Resetting-the-Yub[..]

Anleitung zum Reset FIDO (die Anwendungsoption des Yubikeys, die von uns genutzt wird): https://support.yubico.com/hc/en-us/articles/360016648899-Resetting-the-FID[..]

Es handelt sich um ein Verfahren zur Erzeugung eines einmaligen Passworts, das auf der aktuellen Uhrzeit basiert. Die englische Bezeichung TOTP ("Time-Based One-Time Password") ist eine sehr gebräuchliche Benennung für das Verfahren und viele App sind so benannt. Im Detail bedeutet das, dass diese kurzzeitig-gültigen Einmalpasswörter sind:

1. Zeitbasiert TOTP-Apps generieren Authentifizierungscodes, die für eine kurze, festgelegte Zeitspanne (30 Sekunden) gültig sind. Nach Ablauf dieser Zeitspanne wird ein neuer Code generiert.
   
2. Einmalig: Jeder generierte Code kann nur einmal verwendet werden. Nachdem er eingegeben wurde oder die Zeit abgelaufen ist, wird er ungültig.

Durch die Verwendung von TOTP in einer MFA-Lösung wird die Sicherheit erhöht, da die Codes dynamisch sind und es für einen potenziellen Angreifer sehr schwierig ist, sie ohne Zugang zum Gerät des Nutzers zu reproduzieren.

It is a method for generating a one-time password based on the current time. The English term TOTP ("Time-Based One-Time Password") is a very common name for the procedure and many apps are named in this way. In detail, this means that these one-time passwords are valid for a short period of time:

1. Time-based TOTP apps generate authentication codes that are valid for a short, fixed period of time (30 seconds). A new code is generated once this period has expired.

       2. Unique: Each generated code can only be used once. Once it has been entered or the time has expired, it becomes invalid.

Using TOTP in an MFA solution increases security as the codes are dynamic and it is very difficult for a potential attacker to reproduce them without access to the user's device.

Fehlerhaft eingerichtete zweite Faktoren (Token) können zu Problemen beim Login führen. Wenden Sie sich bitte an den Helpdesk unter helpdesk@hhu.de, sodass der fehlerhaft eingerichtete zweite Faktor (Token) gelöscht werden kann.

Incorrectly set up second factors (tokens) can lead to login problems. Please contact the helpdesk at helpdesk@hhu.de so the incorrectly set up second factor (token) can be deleted.

Wenn Sie Ihren zweiten Authentifizierungsfaktor verlieren oder er nicht verfügbar ist, gibt es mehrere Schritte, die Sie unternehmen können:

1. Verwenden Sie einen Backup-Authentifizierungsweg: Sie sollten einen alternativen zweiten Faktor eingerichtet haben (z.B. einen weiteren Hardware-Token oder eine Authenticator-App auf einem anderen Gerät). Verwenden Sie diesen, um Zugang zu Ihrem Konto zu erhalten. Sie können dann den verlorenen Faktor wieder einrichten.
2. Kontaktieren Sie den ZIM-Helpdesk: Falls Sie keinen alternativen zweiten Faktor eingerichtet haben, wenden Sie sich an den Helpdesk des ZIM. Bitte beachten Sie, dass ein Zugriff auf das Konto erst erfolgen kann, wenn Ihre Identität zweifelsfrei geprüft wurde. Dies kann möglicherweise erst zeitverzögert erfolgen. Damit Sie nicht in diese Situation gelangen, sollten Sie mehr als einen Faktor einrichten, sodass Sie eine Notfalloption haben.
3. Sicherheitsmaßnahmen ergreifen: Wenn Sie einen zweiten Faktor (Token) verloren haben, entfernen Sie ihn selbst über das Self-Service-Portal (mfa.hhu.de) oder informieren Sie den Helpdesk, damit der verlorene zweiten Faktor (Token) deaktiviert werden kann, um ein Sicherheitsrisiko zu vermeiden.
4. Neue Authentifizierungsmethode einrichten: Nachdem Sie wieder Zugriff auf Ihr Konto haben, richten Sie so bald wie möglich einen neuen zweiten Faktor ein, um die Sicherheit Ihres Kontos zu gewährleisten.

If you lose your second authentication factor or it is not available, there are several steps you can take:

1. Use a backup authentication method: you should have set up an alternative second factor (e.g. another hardware token or an authenticator app on another device). Use this to gain access to your account.
2. Contact the ZIM Helpdesk: If you have not set up an alternative second factor, please contact the ZIM Helpdesk. Please note that the account can only be accessed once your identity has been verified beyond doubt. This may take some time. To avoid this situation, you should set up more than one factor so that you have a fallback option.
3. Take security measures: If you have lost a second factor (token), remove it yourself via the self-service portal (mfa.hhu.de) or inform the helpdesk so that the lost second factor (token) can be deactivated to avoid a security risk.
4. Set up a new authentication method: Once you have regained access to your account, set up a new second factor as soon as possible to ensure the security of your account.

Es gibt derzeit aus Sicherheitsgründen keine Möglichkeit, den letzten MFA-Faktor selbst zu entfernen. Wenn Sie aus irgendeinem Grund die MFA deaktivieren müssen oder Probleme mit Ihrer MFA-Konfiguration haben, sollten Sie folgende Schritte unternehmen:

1. Kontaktieren Sie den ZIM-Helpdesk:
2. Erklärung des Anliegens: Erklären Sie den Helpdesk-Mitarbeitern, welche Probleme Sie mit der MFA haben. Eventuell kann eine Lösung für Ihr Problem gefunden werden, sodass MFA für Ihren Account nicht deaktiviert werden muss und Sie weiterhin vom zusätzlichen Schutz durch MFA profitieren können.
3. Entfernen des letzten zweiten Faktors: Die Helpdesk-Mitarbeiter können, nachdem Sie Ihre Identität nachgewiesen haben, den letzten zweiten Faktor aus Ihrem Account entfernen. Anschließend können Sie das Konto wieder ohne MFA nutzen.

For security reasons, there is currently no way to remove the last MFA factor yourself. If for any reason you need to disable MFA or are having issues with your MFA configuration, you should take the following steps:

1. Contact the ZIM Helpdesk:
2. Explain the issue: explain to the helpdesk staff what problems you are having with MFA. It may be possible to find a solution to your problem so that MFA does not have to be deactivated for your account and you can continue to benefit from the additional protection provided by MFA.
3. Removing the last second factor: The helpdesk staff can remove the last second factor from your account after you have proven your identity. You can then use the account again without MFA.