Abschaltung der passwortbasierten Zugänge

Abschaltung der passwortbasierten Zugänge

eduroam-Zugang nur noch mit zertifikatsbasierter Authentifizierung

Ab 5. Juli 2016 wird die Nutzung von eduroam durch Angehörige der Universität Passau nur noch über das seit September letzten Jahres eingesetzte zertifikatsbasierte Zugangsverfahren möglich sein. Der bisher noch nutzbare passwortbasierte Zugang, der vor allem auf Android-Geräten ein größeres Sicherheitsrisiko darstellt, wird ab diesem Datum nicht mehr funktionieren.

Wir bitten daher alle Benutzerinnen und Benutzer, die noch nicht auf das zertifikatsbasierte Verfahren umgestellt haben, dies baldmöglichst zu tun. So haben Sie bei möglicherweise auftretenden Schwierigkeiten genügend Zeit, diese - ggf. mit Hilfe durch den ZIM-Support - zu lösen und stehen nicht plötzlich ohne eduroam da. Bitte denken Sie daran, dass Sie die Umstellung auf allen von Ihnen genutzten Geräten vornehmen müssen.

Bitte nutzen Sie bei Fragen dazu unsere ausführlichen Anleitungen.

Was ist der Hintergrund für die Abschaltung des passwortbasierten Zugangs?

Im Rahmen von Sicherheitsaudits im Dezember 2014 und Januar 2015 wurde festgestellt, dass insbesondere zahlreiche Android-Smartphones die Kennungsdaten ihrer Nutzerinnen und Nutzer (Benutzername und Passwort) an jeden beliebigen Access Point übermitteln, der sich als eduroam-Access Point ausgibt. Eine entsprechende Warnung haben wir dazu im Uni-Blog veröffentlicht.

Wir haben zusätzlich unsere eduroam-Infrastruktur im letzten Jahr so erweitert, dass das Passwort nicht mehr für die eduroam-Anmeldung benötigt wird. Seit September 2015 steht das "passwortlose" Verfahren über Zertifikate zur Verfügung. Obwohl schon seitdem das passwortbasierte Verfahren weder beworben noch dokumentiert wird, gibt es noch eine große Anzahl von Geräten, die dieses unsichere Verfahren nutzen. Alleine in der Woche 09.-15. Mai 2016 waren es 2813 Geräte! Wir haben uns daher nunmehr für die "harte" Abschaltung des Passwortverfahrens entschieden, um unsere Nutzerinnen und Nutzer nicht weiter einem vermeidbaren Sicherheitsrisiko auszusetzen.

Wie kann ich prüfen, ob meine Geräte schon alle auf die zertifikatsbasierte Authentisierung umgestellt sind?

Gehen Sie auf unser Benutzerportal, Unterpunkt "WLAN / eduroam", Klick auf "Zertifikat herunterladen". Nach der Anmeldung mit Ihrer ZIM-Kennung wählen Sie den Unterpunkt "Bei Problemen: eduroam Anmeldeprotokoll anzeigen" und klicken auf "Anmeldeprotokoll anzeigen":

eduroam-Portal

Sie erhalten dann eine Übersicht über Ihre eduroam-Anmeldungen der letzten Stunden. Bitte beachten Sie die Spalte "sn". Ist das betreffende Feld leer, obwohl Sie erfolgreich angemeldet wurden (reply ist "Access-Accept"), erfolgte die Anmeldung per Passwort. Aus dem Feld "callingstationid" können Sie die sog. MAC-Adresse der Netzwerkkarte des betreffenden Gerätes ablesen:

Anmeldeprotokoll

Auf diesem Gerät sollten Sie dann den passwortbasierten Zugang löschen und den zertifikatsbasierten Zugang einrichten. Danach können Sie die Prüfung über das Anmeldeprotokoll erneut durchführen.

Bei Problemen hilft Ihnen unser Support gerne weiter.