U bent hier: Home / ICTS aanbod / Multifactorauthenticatie / KU Leuven Authenticator - vaakgestelde vragen

KU Leuven Authenticator - vaakgestelde vragen

Zie ook onze pagina met "Tips voor efficiënt en snel gebruik van MFA"

Kan je niet meer inloggen?

Bekijk onze aparte webpagina met enkele volgende stappen.

Aan de slag met MFA

Wat is 'KU Leuven Authenticator?

Vóór de introductie van KU Leuven Authenticator werd de gebruiker geïdentificeerd aan de hand van iets dat de gebruiker wist, namelijk een wachtwoord.
Indien de gebruiker kan aantonen dat hij in het bezit is van een geregistreerd toestel via KU Leuven Authenticator, spreken we van een tweede factor. Indien we de eerste factor ("iets dat de gebruiker weet", bijv. wachtwoord) combineren met een tweede factor ("iets dat de gebruiker heeft of identificeert"), kunnen we spreken van multi-factor authenticatie.

KU Leuven Authenticator is een oplossing die gebaseerd is op nextAuth. nextAuth werd ontwikkeld door een spin-off van de onderzoeksgroep COSIC van KU Leuven, ESAT.

KU Leuven Authenticator is een app-gebaseerde oplossing voor sterke authenticatie en kan geïnstalleerd worden op Android of iOS. De KU Leuven Authenticator is eigenlijk een "true two-factor" authenticatie mechanisme omdat het reeds twee factoren combineert, nl. "iets dat de gebruiker heeft" (smartphone of tablet) met "iets dat de gebruiker weet" (PIN-code) of zelfs met "iets dat de gebruiker uniek identificeert" (vingerafdruk of gezichtsherkenning voor ondersteunde toestellen). KU Leuven Authenticator kan daarom ingezet worden als enig login-mechanisme of als bijkomende authenticatie, ná initiële authenicatie via gebruikersnaam/wachtwoord.

Voor gebruikers die KU Leuven Authenticator niet kunnen gebruiken op hun toestel heeft ICTS een oplossing via SMS-authenticatie of via hardware tokens uitgewerkt.

Wat heb ik nodig?

Smartphone of tablet met Android vanaf versie 5 of iOS vanaf versie 12
KU Leuven Authenticator-app (Android, iOS)
Internettoegang via Wi-Fi of dataverbinding via GSM-netwerk
Registratie van je toestel op je KU Leuven-account via account.kuleuven.be

Hoe kan ik KU Leuven Authenticator gebruiken?

De eerste stap is om je toestel (smartphone of tablet) te registeren via account.kuleuven.be voor je account. De instructies daarvoor vind je hier.

Als het gebruik van MFA nog niet verplicht is voor je account, kan je op de registratiepagina je account afschermen met KU Leuven Authenticator. Vervolgens zal je telkens wanneer je moet aanmelden op de Centrale Login bijkomend moeten aanmelden met KU Leuven Authenticator (of SMS-authenticatie of een hardware token).
Wanneer je toestel gelinkt is, kan je ook best een resetcode aanvragen en op een veilige plek bewaren. De resetcode kan gebruikt worden om de MFA registraties van je account te verwijderen, bijvoorbeeld wanneer je een nieuw toestel hebt (en geen toegang meer hebt tot het oude), wanneer je je toestel moet terugzetten op fabrieksinstellingen of wanneer je de app opnieuw hebt geïnstalleerd op hetzelfde toestel.

Algemeen

Hoe veilig is KU Leuven Authenticator?

Inloggen met KU Leuven Authenticator is veiliger dan met gebruikersnaam/wachtwoord. KU Leuven Authenticator biedt tenminste de veiligheid van de mobiele betalings-en bankierenapps die in België beschikbaar zijn.

Concreet dankt KU Leuven Authenticator zijn hoge veiligheidsniveau aan een combinatie van factoren:
- Gebruik van publieke sleutelcryptografie, waardoor de data die op de server is opgeslagen niet gebruikt kan worden om in te loggen. Zelfs in het geval van een datalek aan de serverkant, kan niemand in jouw KU Leuven gebruikersprofiel. Publieke sleutelcryptografie sluit ook een aantal veel voorkomende aanvallen op wachtwoorden uit: phishingaanvallen, zwakke wachtwoorden, wachtwoorden opgeschreven op post-its ...
- De tweede factor (PIN code/vingerafdruk) is verweven met het aanmelden. Om deze te verifiëren moet de app samenwerken met de server, jouw PIN code/vingerafdruk wordt nergens opgeslagen of doorgestuurd. Hoewel de server de PIN code/vingerafdruk nooit te zien krijgt, kan de server jouw "KU Leuven authenticator”-app blokkeren na 3 opeenvolgende foute pogingen. Een brute-force aanval zal dus niet lukken (niet in de app en ook niet aan de kant van de server).
- De KU Leuven Authenticator-app is ontwikkeld door specialisten op het gebied van beveiliging/cryptografie en dus beveiligd in de diepte, gaande van obfuscatie die het moeilijker maakt om de app te reverse engineeren, gecompileerde bibliotheken, geharde cryptografische bouwblokken, database encryptie, en een eigen cryptografisch communicatieprotocol.
Meer informatie over de technologie achter KU Leuven Authenticator

Wordt Windows 10 Mobile ondersteund?

Neen, KU Leuven Authenticator is niet beschikbaar voor Windows 10 Mobile.
Als alternatief kan je gebruik maken van SMS-authenticatie of hardwaretokens.

Hoe lang blijf ik ingelogd?

Wanneer je via de centrale login inlogt, wordt er op verschillende niveau's een sessie opgebouwd:
- Identity Provider (Centrale login):
  - Sessie blijft minstens 4u geldig met een maximum van 12u en is gekoppeld met je IP-adres. Wanneer je van IP-adres verandert, moet je opnieuw inloggen.
- Service Provider (toepassing waarvoor je inlogt):
  - Sessie blijft typisch 2u geldig, maar dat kan per toepassing anders ingesteld worden
- KU Leuven Authenticator app
  - Je heb 1 minuut de tijd om aan te melden via de app
  - PIN-code, vingerafdruk of faceID blijft 5 minuten onthouden

Waarom vereisen sommige toepassingen authenticatie via KU Leuven Authenticator?

Sommige toepassingen (zoals bv. Microsoft 365) willen meer garantie hebben over de identiteit van de gebruiker en vereisen dat de gebruikers zich via de KU Leuven Authenticator aanmelden.

Waarom heb ik toegang tot het internet nodig om via KU Leuven Authenticator aan te melden?

KU Leuven Authenticator differentieert zich van andere authenticatie mechanismen omdat het resultaat van de authenticatie altijd naar de server gestuurd moet worden. KU Leuven Authenticator voorkomt dat de toepassing gekraakt kan worden, net omdat er altijd communicatie met de server vereist is.
KU Leuven Authenticator maakt connectie met authenticator.icts.kuleuven.be over poort TCP/443. KU Leuven Authenticator maakt gebruik van het SIGMA-I protocol voor wederzijdse authenticatie.

Hoeveel data verbruikt KU Leuven Authenticator?

Eén login & logout verbruikt ongeveer 10kB aan data, hetgeen zeer weinig is.

Kan ik KU Leuven Authenticator gebruiken wanneer ik op mijn smartphone of tablet surf met mijn browser?

Ja, dat kan. Uiteraard kan de QR-code niet scannen wanneer je surft vanop je toestel.
Je kan echter de QR-code aantoetsen/tappen. De login wordt vervolgens doorgestuurd naar de KU Leuven Authenticator-app. Als dit niet werkt, kan je ook inloggen door je gebruikersnaam en wachtwoord in te vullen en dan op de knop "log in" te klikken. Je zal dan een notificatie krijgen van de app waarop je kan klikken, waardoor het gebruik van een QR code niet meer nodig is. Zorg er dan wel voor dat de app toestemming heeft om je meldingen te sturen en dat je geen focus modus hebt aanstaan (of de app toestemming geeft om je meldingen te sturen tijdens de focus modus).

Kan ik meerdere toestellen registreren?

Ja, dat kan. KU Leuven Authenticator dient enkel geregistreerd te worden op een persoonlijk, niet-gedeeld toestel.

Ik heb een nieuwe smartphone, hoe kan ik deze registreren voor KU Leuven Authenticator?

Als je nog toegang hebt tot het vorige toestel kan je dit zelf verwijderen door in te loggen op account.kuleuven.be/mfa en dan het nieuwe toestel toe te voegen, waarna je het eerste toestel veilig kan verwijderen.
Indien je geen toegang meer hebt tot het oude toestel maar wél een resetcode hebt, kan je die resetcode ingeven op account.kuleuven.be/mfareset.
Indien je geen resetcode hebt maar wel een kaartlezer + elektronische identiteitskaart of gebruik maakt van itsme, kan je deze gebruiken op account.kuleuven.be/mfareset om je account te resetten. Let op: dit werkt alleen als je een Belgisch rijksregisternummer hebt en dit rijksregisternummer gekend is bij KU Leuven.
Indien je je oude toestel niet meer bij de hand hebt en ook geen resetcode hebt of geen gebruik kan maken van een reset via eID/itsme, moet je contact opnemen met je IT-ondersteuning. Je vindt hun contactinformatie door je gebruikersnaam (personeels- of studentennummer) in te geven op deze pagina. Na een identiteitscheck, kan je IT-ondersteuning de reset voor je doen.

Hoe kom ik aan een resetcode?

Dit kan op twee manieren. De eerste manier is om de code meteen al op te vragen wanneer je je toestel linkt aan je account. De resetcode verschijnt dan op het scherm en kan je best ergens veilig opslaan.
Als je de resetcode niet hebt opgevraagd toen je je toestel linkte of je bent hem kwijt, kan je de code nog steeds opvragen zolang je toegang hebt tot account.kuleuven.be/mfa. Daar klik je op de knop “Maak een resetcode aan”. Nadat je bevestigd hebt dat je een nieuwe resetcode wil, krijg je die dan te zien op het scherm en kan je hem ergens veilig opslaan.
Opgelet, beide methodes werken enkel voordat je de resetcode effectief nodig hebt. Als je je Authenticator reeds moet resetten en nog geen resetcode hebt of je kan hem niet meer vinden, kan je gebruik maken van een reset via eID of itsme. Als dit ook geen optie is, neem dan contact op met je IT-ondersteuning. Hun contactgegevens vind je door je gebruikersnaam in te geven via deze link: https://support.associatie.kuleuven.be/. Zij doen de reset dan manueel. Je IT-ondersteuning kan je geen resetcode geven.

Foutmeldingen

Ik heb 3x een foute pincode opgegeven en mijn KU Leuven Authenticator is geblokkeerd, wat moet ik doen?

Indien je een resetcode hebt, kan je de resetcode gebruiken om al je registraties te verwijderen.
Indien je geen reset code hebt maar wel een kaartlezer + elektronische identiteitskaart of de itsme-app, kan je deze gebruiken om je Authenticator te resetten. Let op: dit werkt énkel als je een Belgisch rijksregisternummer hebt.
Indien beide opties hierboven niet voor je werken, neem dan contact met je IT-dienst of het ICTS Servicepunt, zij kunnen je registratie verwijderen waarna je opnieuw kan registreren.

Ik krijg telkens de melding "Vingerafdrukauthenticatie geslaagd, maar de beschermde sleutels konden niet worden gereconstrueerd"

Je kan dit probleem verhelpen door de vingerafdruk functionaliteit even uit en vervolgens terug aan te zetten in de "KU Leuven Authenticator"-app.

Ik krijg de melding "Geen accounts voor deze server" wanneer ik probeer aan te melden met KU Leuven Authenticator

Er is geen KU Leuven-account meer geregistreerd in deze app. Misschien heb je de app per ongeluk verwijderd en opnieuw geïnstalleerd of heb je je toestel moeten resetten naar fabrieksinstellingen? Door de app te verwijderen, verwijder je ook de private sleutel en zit je vast. Je account moet gereset worden zodat je een nieuwe registratie kan doen.
Je kan dit zelf doen met als je de reset code hebt. Indien je geen reset code hebt kan je dit ook doen via een kaartlezer + elektronische identiteitskaart of itsme (op voorwaarde dat je een Belgisch rijksregisternummer hebt dat gekend is bij KU Leuven). Indien beide opties niet werken moet je contact opnemen met je IT-dienst. Zij geven je geen resetcode, maar zullen de reset voor je doen na een korte idententiteitscheck. Daarna kan je opnieuw registreren.

Ik krijg de melding "er ging iets mis met de online verificatie van de tweede factor. Probeer later opnieuw."

Je toestel kan geen verbinding maken met authenticator.icts.kuleuven.be. Controleer of je toestel verbonden is met het internet.

Ik krijg de melding "Communication error"

Je toestel kan geen verbinding maken met authenticator.icts.kuleuven.be. Controleer of je toestel verbonden is met het internet (wifi of data).

Gebruiksgevallen

Wat moet ik doen als ik geen smartphone heb?

Ben je student of medewerker aan een hogeschool van de Associatie KU Leuven? Neem dan contact op met de IT dienst van je hogeschool, zij kunnen je verder helpen. Je vindt hun contactinformatie op deze pagina: ICT support - Associatie KU Leuven.
Hiervoor moet je dit aanvraagformulier invullen en doorsturen. Wanneer deze optie aanstaat voor je account, kan je je gsm-nummer registreren op account.kuleuven.be/mfa door op de knop “alternatief” te klikken en daarna op “ik heb geen smartphone”.
Telkens wanneer multi-factorauthenticatie dan gevraagd wordt, zal er een SMS gestuurd worden met een code. Het ontvangen van deze SMS kost niets. Indien de SMS niet toekomt, kan je ook via een stemcomputer laten bellen.
Indien je ook geen gewone gsm hebt, kan je gebruik maken van een hardwaretoken. Hoe deze werken en hoe je die aanvraagt vind je in de ICTS Servicecatalogus.
Als je verdere vragen hebt, neem dan contact op met het ICTS Servicepunt.

Wat moet ik doen wanneer ik geen gebruik maak van de Google Play store?

Wanneer je geen gebruik van de Google Play store kan of wil maken, kan je de APK manueel downloaden en installeren. Aangezien je geen gebruik maakt van de Google services zal de login ook niet naar je toestel gepusht kunnen worden en zal je telkens de QR-code moeten scannen.
Je kan het ICTS Servicepunt contacteren om je te laten opnemen in een mailinglijst om verwittigd te worden bij updates.

Wat moet ik doen als ik mijn smartphone of tablet vergeten ben?

Ben je student of medewerker aan een hogeschool van de Associatie KU Leuven? Neem dan contact op met de IT-dienst van je hogeschool, zij kunnen je daarmee verder helpen. Je vindt hun contactinformatie op deze pagina: ICT support - Associatie KU Leuven.
Wanneer je account afgeschermd is met KU Leuven Authenticator kan je niet zonder je toestel aanmelden op de centrale login.
Neem contact op met het ICTS Servicepunt, zij kunnen op je MFA-verplichting voor de rest van de dag uitschakelen (na een identiteitscontrole).

Wat moet ik doen als mijn smartphone of tablet verloren of gestolen is?

Ben je student of medewerker aan een hogeschool van de Associatie KU Leuven? Neem dan contact op met de IT dienst van je hogeschool, zij kunnen je daarmee verder helpen. Je vindt hun contactinformatie op deze pagina: ICT support - Associatie KU Leuven.
Je moet je wachtwoord verplicht wijzigen, je IT-dienst zal je wachtwoord hiervoor resetten.
Indien je een reset code hebt, kan je de resetcode gebruiken om al je toestel te verwijderen. Indien je geen resetcode hebt maar wel een kaartlezer + elektronische identiteitskaart of een ander toestel waar itsme op staat, kan je deze ook gebruiken om de reset uit te voeren. Let op, dit werkt alleen als je een Belgisch rijksregisternummer hebt dat gekend is bij KU Leuven.
Indien geen van de bovenstaande opties voor je werken, neem dan contact met je IT-dienst. Zij kunnen je registratie verwijderen waarna je opnieuw kan registreren voor KU Leuven Authenticator met een nieuw toestel met behulp van je nieuwe wachtwoord. Als er enige tijd zit tussen het verliezen van je toestel en het activeren van een nieuw toestel, kan het ICTS Servicepunt je MFA-verplichting eventueel tijdelijk uitschakelen.

Wat moet ik doen als mijn toestel geen internetverbinding heeft?

KU Leuven Authenticator vereist een werkende internet-verbinding. Als je toestel tijdelijk geen toegang tot het internet heeft, zal je dus niet kunnen aanmelden met KU Leuven Authenticator.

Wat moet ik doen als ik (per ongeluk) KU Leuven Authenticator-app verwijderd heb?

Indien je een resetcode hebt, kan je de reset code gebruiken om al je registraties te verwijderen.
Indien je geen reset code hebt maar wel een kaartlezer + elektronische identiteitskaart of itsme, kan je deze ook gebruiken om al je registraties te verwijderen. Let op, dit werkt alleen als je een Belgisch rijksregisternummer hebt dat gekend is bij KU Leuven.
Indien geen van de bovenstaande opties werken, neem dan contact met je IT-dienst, zij kunnen je registratie verwijderen waarna je opnieuw kan registreren.

Wat moet ik doen als ik mijn PIN-code van mijn KU Leuven Authenticator-app vergeten ben?

Stap 1: Je moet je toestel ontkoppelen van je account:
- Indien je nog kan aanmelden met KU Leuven Authenticator met behulp van vingerafdruk of gezichtsherkenning kan je dit zelf via https://account.kuleuven.be/mfa. Daar kan je het toestel verwijderen waarvan je de PIN-code kwijt bent.
  Indien je niet meer kan aanmelden kan je zelf het toestel verwijderen met je resetcode of kan je je eID of itsme gebruiken.
  Indien geen van bovenstaande werkt, neem dan contact met je IT-dienst, zij kunnen je toestel ontkoppelen van je account.
Stap 2: Verwijder de KU Leuven Authenticator-app van het toestel en installeer hem vervolgens opnieuw
Stap 3: Registreer opnieuw je toestel met je account via https://account.kuleuven.be/mfa

Ik ben zowel personeel als student van de KU Leuven. Kan ik beide accounts gebruiken op dezelfde Authenticator?

Ja, dat kan inderdaad. De accounts moeten dan wel apart toegevoegd worden aan de authenticator.
- Als je al één account hebt toegevoegd, surf je naar account.kuleuven.be/mfa en log je daar in met de account die nog niet gelinkt is. Daar klik je dan op de knop “toestel toevoegen” en scan je de QR code op het scherm met de app.
- De app zal je dan zeggen dat er al een account gelinkt is – in dat scherm klik je onderaan op “create new account”.
- Er wordt dan om je PIN gevraagd – dit moet dezelfde PIN zijn als degene die je gebruikt voor de andere account.
- Zodra dit in orde is, zijn beide accounts gelinkt en kan je ze gebruiken om in te loggen.

Privacy

Welke informatie houdt de KU Leuven Authenticator app bij?

In de app wordt enkel de gebruikersnaam geregistreerd. De PIN-code of biometrische gegevens verlaten het toestel niet.
Op de authenticatieserver wordt het model van het toestel bewaard. Dit is nodig opdat de gebruiker het juiste toestel kan kiezen om mee aan te melden wanneer er meerdere toestellen geregistreerd zijn. Alleen de gebruiker of de respectievelijke accountbeheerders (je IT-dienst) kunnen deze modelnamen zien. Deze informatie wordt niet naar een toepassing gestuurd.

Wordt mijn GSM-nummer voor SMS-authenticatie voor andere doeleinden verwerkt?

Neen, het GSM-nummer wordt uitsluitend gebruikt een SMS- of stembericht naar te sturen voor authenticatie doeleinden