Am gestrigen 01. August 2024 hat die angekündigte Umstellung im BIS Login stattgefunden. Damit wurde die bisher verwendete, separate Benutzerverwaltung für Mitarbeitende im BIS abgelöst. Durch die Art, wie wir diese Änderung umgesetzt haben, dürften dies den meisten aber nur durch die veränderte Loginmaske aufgefallen sein:

2024-08-01-BIS-Login.jpg

Innerhalb unserer Systeme hat sich aber sehr viel verändert, und hier haben wir die entsprechenden Punkte einmal im Detail gesammelt:

Login mit BITS-Loginnamen oder UniID nun für alle

Für das Login kann nun - ganz unabhängig davon, ob man Studierende*r oder Mitarbeiter*in oder beides ist - sowohl der BITS-Loginname wie auch die Uni-ID / Matrikelnummer verwendet werden. Damit ist der bisher notwendige Wechsel des Logins zum Beispiel für Studierende, die als Hilfskräfte Tätigkeiten innerhalb der BIS Anwendungen übernehmen, nicht mehr notwendig.

Auch in Onboardingsprozessen für Mitarbeitende ist der Schritt der Erstellung eines BIS Logins nun nicht mehr vorhanden. Ein Eintrag im PEVZ mit den richtigen Daten zur Person ist dabei natürlich weiterhin notwendig, nicht nur um neue Kolleg*innen erreichbar zu machen: BIS Anwendungen wie die eKVV Eingabe, die nur für Mitarbeitende nutzbar sind, verwenden das PEVZ zur Prüfung des Mitarbeitendenstatus.

Die Benutzer*innen, deren BIS Loginname ein anderer war als der BITS Loginname, wurden von uns im Vorfeld angesprochen. Wenn Sie zu dieser Gruppe gehören, so müssen Sie sich bei der Anmeldung nun umstellen.

Login mit Web-Passwort und übergangsweise noch mit dem BIS Passwort

Beim Login wird nun das Web-Passwort verwendet, ähnlich wie bei der Web-Authentifizierung mit Shibboleth. Übergangsweise können Mitarbeitende, die bisher das BIS Login verwendet haben, sich aber auch mit dem dabei verwendeten BIS Passwort anmelden.

Das BIS Passwort funktioniert so lange, bis entweder

  • zum ersten Mal das Web-Passwort für das Login verwendet oder
  • das Passwort geändert wurde.

Danach ist das BIS Passwort nicht mehr verfügbar und es wird immer das Web-Passwort verwendet.

Neuer Passwort Self Service

Die Option zum Zurücksetzen des eigenen Web-Passworts ist direkt im Loginformular über den Link 'Neues Web-Passwort anfordern' erreichbar und führt in diese Seite: https://ekvv.uni-bielefeld.de/idp/pwreset

Hier haben wir den lange verwendeten Passwort Self Service für Mitarbeiter*innen für die Nutzung durch alle Nutzer*innen erweitert. Es gibt dabei zwei Wege, um ein neues Web-Passwort zu erhalten:

Option 1: Passwortanforderung starten

Diese Option funktioniert für alle Nutzer*innen. Das Formular erfragt zunächst einige persönliche Daten von Ihnen. Dies hilft dem System die richtigen Logindaten bzw. die richtige Person zu finden, für die der Passwortreset erfolgen soll. Auch stellt diese Abfrage eine gewisse Hürde dar vor missbräuchlichen Verwendungen der Resetfunktion. Die Abfrage erfolgt in mehreren Schritten:

2024-08-02-BIS-PW-Reset.png

Im ersten Schritt wählen Sie, welche der folgenden Identifikationsfaktoren Sie zuerst angeben wollen:

In den folgenden ein oder zwei Schritten werden Sie dann nach weiteren Identifikationsfaktoren gefragt, darunter dieser:

  • Private E-Mailadresse

Die private E-Mailadresse wird mit der im eKVV eingetragenen Adresse - siehe die eKVV Seite 'Meine E-Mailadresse' - verglichen. Allerdings nur, wenn diese Adresse nicht auf 'uni-bielefeld.de' endet, da solche Adressen zu leicht zu erraten sind.

Bei der Eingabe erhalten Sie bei den einzelnen Schritten keine Rückmeldung dazu, ob z. B. eine Uni-ID bekannt ist. Dies soll ein Erraten dieser Daten durch Andere erschweren. Erst wenn ausreichend viele Identifikationsfaktoren zusammengetragen wurden wird geprüft, ob sich daraus Ihr Datensatz ermitteln lässt.

Danach müssen Sie noch einmal den Start des Passwortresets bestätigen. Der Resetprozess erfolgt dabei per E-Mail, Sie erhalten im ersten Schritt eine E-Mail mit der Information dazu, wie Ihr BITS-Loginname lautet. In dieser ersten E-Mail befindet sich ein für kurze Zeit gültiger Link, über den Sie den zweiten Schritt des Resets ausführen können.

Der zweite Schritt löst dann das eigentliche Zurücksetzen des Passworts aus und Sie erhalten wiederum per E-Mails ein neues Startpasswort.

Die Adresse, an die die E-Mails verschickt werden, kann dabei aus drei Quellen bezogen werden und die Passwortresetseite sagt Ihnen, welche Quelle dies war:

  • eKVV: Hier wird die von Ihnen im eKVV eingetragene Adresse verwendet, siehe die eKVV Seite 'Meine E-Mailadresse'
  • PEVZ: Hier wird das Personenverzeichnis nach einer Adresse für Sie durchsucht. Dabei werden nur persönliche Adressen verwendet, keine Funktionsadressen
  • BITS: In diesem Fall wird Ihre BITS-Mailadresse genutzt

Der Passwortreset durchsucht die drei Quellen in der genannten Reihenfolge und verwendet die erste, die verfügbar ist. Auch bei anderen sicherheitsrelevanten Benachrichtigungen wird dieses Verfahren angewendet, Sie erhalten E-Mails also immer an die gleiche Adresse.

Option 2: Passwortanforderung über PEVZ Eintrag starten

Diese Option ist nur für Personen mit Eintrag im PEVZ nutzbar, sie entspricht dem früheren Passwort Self Service im BIS für Mitarbeitende. Hier wird der Prozess über den eigenen PEVZ-Eintrag gestartet und ist damit etwas bequemer als die erste Option. Es sind diese Schritte zu absolvieren:

  • Finden Sie Ihren eigenen PEVZ Eintrag durch Eingabe ihres Namens in das angebotene Suchfeld. Falls Sie keinen Eintrag für sich finden wird ein Link in diese Infoseite zur PEVZ Datenpflege angeboten. Sie können den Passwortreset aber jederzeit über die zuvor beschriebene  Passwortresetoption 1 durchführen
  • Wenn Ihr PEVZ Eintrag angezeigt wird klicken Sie darauf, um zum nächsten Schritt zu gelangen. Es kann hier noch den Fall geben, dass Ihrem PEVZ Eintrag keine Uni-ID zugeordnet ist. Auch hier können Sie dann die alternative Passwortresetoption 1 verwenden. Dieses Problem muss aber trotzdem beseitigt werden, da sonst der Zugriff auf die Mitarbeitendenanwendungen im BIS nicht gelingen wird
  • Nun müssen Sie noch über die Eingabe Ihrer Uni-ID oder ihres Geburtsdatum Ihre Identität bestätigen
  • Danach ist der weitere Prozess so, wie unter der ersten Passwortresetoption beschrieben

Passwortänderungsfunktion mit höherer Sicherheit

Die Passwortänderungsfunktion der Kontenverwaltung erreichen Sie über diese Adresse: 

https://login.uni-bielefeld.de/kv/password

Hier können Sie Ihr Web-Passwort jederzeit ändern. Bei der Passwortänderung wird geprüft, ob das Passwort den aktuellen Regelungen der Universität entspricht, also mindestens 12 Zeichen hat. 

Zusätzlich findet eine Überprüfung statt, ob Ihr Passwort auf einer Liste von gestohlenen Passworten steht. Die Datenquelle ist hier der have i been pwned (HIBP) Dienst. Die Prüfung der Passworte erfolgt dabei in sicherer Weise innerhalb unserer IT-Systeme, es werden keine Daten an externe Dienste übertragen. Wenn sich Ihr Passwort in dieser Liste befindet, so müssen Sie ein anderes Passwort wählen.

Zusammenhang mit der Passwortänderungsfunktion in PRISMA

Für eine Übergangszeit arbeiten der Passwort Self Service in der Loginseite und die Passwortänderungsfunktion in der Kontenverwaltung parallel zu der schon lange existierenden Passwortresetfunktion in PRISMA bzw. der Möglichkeit das Web-Passwort über PRISMA zu ändern. Die Passwortänderungen an der einen Stelle ändern immer auch alle anderen Stellen, ohne das Sie etwas dazu tun müssen. Auch können die EDV-Betreuungen weiterhin für die Nutzer*innen in ihrer Zuständigkeit Passwortänderungen vornehmen.

In Zuge der weiteren Umstellungen der Loginsysteme wird die Passwortreset/-änderungsmöglichkeit in PRISMA entfallen, der Zeitpunkt dafür wird von uns entsprechend kommuniziert werden.

Verwendung der 2-Faktor-Authentifizierung

Mit der Umstellung des BIS Logins weiten wir die bisher nur bei Mitarbeitendenlogins vorhandenen Sicherheitsfunktionen auf alle Nutzer*innen aus, darunter diese:

  • Temporäre Loginsperrung als Schutz vor Passwortrateversuchen: Wenn für ein Loginkonto in kurzer Zeit viele fehlerhafte Loginversuche registriert werden, so wird eine 10-minütige Sperre aktiv, innerhalb derer keine weiteren Logins möglich sind. Auf diese Weise wird dem Versuch ein Riegel vorgeschoben, Ihr Passwort zu erraten . Tritt so ein Fall ein erhalten betroffene Sie eine E-Mail mit Hinweisen dazu, wie vorgegangen werden kann
  • Führung einer Passworthistorie: Die zuletzt verwendeten Passworte werden dokumentiert und bei Passwortänderungen sichergestellt, dass kein altes und vielleicht kompromittiertes Passwort erneut verwendet wird

Der wichtigste Punkte ist, dass die bisher nur für Mitarbeitendenlogins verfügbare 2-Faktor-Authentifizierung nun für alle Nutzer*innen verfügbar ist, also auch für Studierende und Externe. Sie können diese Funktion in der Kontenverwaltung unter der Adresse https://login.uni-bielefeld.de/kv/ aktivieren, für die Nutzung benötigen Sie nur ein Smartphone bzw. eine Software, die das hier verwendeten Verfahren (TOTP) unterstützt. In unserer Hilfseite erklären wir ganz genau, wie man diese wichtige Schutzfunktion aktiviert.

totp-authenticator.png

Die 2-Faktor-Authentifizierung wird in Zukunft verpflichtend sein, da sie in der Lage ist viele Angriffe auf Ihr Login sicher zu unterbinden.