Bereits im August 2017 haben wir über neue Maßnahmen zum Schutz Ihres URZ-Accounts informiert, die ab 1. November 2017 wirksam werden. An dieser Stelle möchten wir noch einmal darauf aufmerksam machen, dass sich im Zuge dieser Schutzmaßnahmen auch eine Änderung beim Login am Web-Trust-Center, dem zentralen Web-Authentifizierungsdienst des URZ, ergibt. Ab 1. November werden die Eingabefelder für Benutzername und Passwort im Web-Trust-Center (WTC) nicht mehr gemeinsam auf einer Seite angezeigt. Es wird künftig eine mehrstufige Anmeldung geben:
- Zunächst muss das Loginkennzeichen eingegeben werden. Auf Wunsch kann es gespeichert werden, sodass dieser Schritt nur einmal erforderlich ist.
- Erfolgt die Anmeldung von außerhalb des Campusnetzes der TU Chemnitz (z. B. von zu Hause aus), wird ein Captcha (Bilderrätsel) nachgeladen:
- Das Nachladen des Bilderrätsels erfordert Ihre Zustimmung, die durch einen Haken dauerhaft im Browser gespeichert werden kann. Wenn Sie dem nicht zustimmen möchten, können Sie alternativ eine VPN-Verbindung für die Anmeldung nutzen.
- Beim Bilderrätsel handelt es sich um ein sogenanntes „invisible” – also unsichtbares – Captcha. Sie müssen es nur lösen, wenn in Ihrem Browser nicht genügend Informationen darüber enthalten sind, ob es sich bei Ihnen um einen Menschen oder Roboter handelt. In den meisten Fällen sehen Sie das Bilderrätsel also gar nicht.
- Das Nachladen des Bilderrätsels erfordert Ihre Zustimmung, die durch einen Haken dauerhaft im Browser gespeichert werden kann. Wenn Sie dem nicht zustimmen möchten, können Sie alternativ eine VPN-Verbindung für die Anmeldung nutzen.
- Erst im letzten Schritt wird das Passwort eingegeben, sodass die Anmeldung erfolgen kann.
Wir wissen, dass dieses Captcha für Nutzer mit Einschränkungen eine Barriere darstellen kann. Das Bilderrätsel kann in diesem Fall im Sicherheitscenter des IdM-Portals deaktiviert werden.
Im Hinweistext zum Captcha (siehe Bild für Schritt 2) heißt es „Für diesen CAPTCHA-Test werden keine persönliche[sic] Daten von Ihnen an Google-Server übertragen“. Bedeutet das, dass die gesamte Kommunikation mit Google-Servern über URZ-Server läuft? Sobald die IP-Adresse der Nutzer an Google übertragen wird, ist die zitierte Formulierung falsch. Siehe dazu https://www.lawblog.de/index.php/archives/2017/05/16/ip-adressen-sind-personenbezogen/
Für das Laden des Captchas wird von Ihrem Webbrowser ein Stück JavaScript-Code von einem externen Server nachgeladen. Der von Ihnen verlinkte Artikel bezieht sich auf die Speicherung von IP-Adressen, die damit im Grunde genommen erstmal nicht direkt in Zusammenhang steht. Wir werden die Formulierung dennoch anpassen, um den Sachverhalt klarer darzustellen.
Weiterhin besteht jederzeit die Möglichkeit, durch Verwendung von VPN das Laden der Captcha-Daten zu verhindern. Alternativ kann die Captcha-Abfrage im IdM-Portal auch gänzlich deaktiviert werden, sofern diese Schutzfunktion nicht gewünscht ist.