Was ist ein Token und wofür brauche ich ihn?

Ein Token ist im eigentlichen Sinne eine Wertmarke. Als Nutzer des Single-Sign-On müssen Sie dessen Bedeutung zum Glück jedoch nicht wirklich verstehen.

Der wirklich wichtige Teil den Sie als Nutzer verstehen müssen ist, dass Sie mithilfe des Tokens an einen Anmeldeschlüssel (ein Passwort) gelangen.

Dies findet folgendermaßen statt:

Bei:

Registrierungstokens:
Dies sind Tokens, welche Sie per Email von uns bekommen und genügen aus Sicherheitsgründen NICHT für eine dauerhafte Anmeldung. Ein Registrierungstoken enthält einen 24-stelligen Code. Dieser ist wichtig für Sie und funktioniert ohne Rücksetzung seitens des Service IT nur ein einziges Mal. Sie verbrauchen den Token bei der Anmeldung in der "2. Faktor-Leiste" indem Sie seinen Code benutzen. Danach müssen Sie umgehend einen Token über "2FA-Token" im Portal ausrollen, so dass jener aus Ihrer ersetzt Email wird. Die neuen Tokens werden anders als der Registrierungstoken nicht nach der ersten Nutzung deaktiviert.

Beachten: Die "2. Faktor-Leiste" ist nicht Ihre Nutzerpasswortleiste, sondern eine die danach erscheint.

TOTP-Tokens:
TOTP-Tokens sind Tokens, welche Sie im SSO-Portal über "2FA-Token" ausrollen und die anders als der Registrierungstoken keinen 24-stelligen Code, sondern einen 6-8-stellien Code (ein TOTP: Zeitbasiertes Einmalpasswort) haben. Dieser wird vom Token innerhalb einer App auf Ihrem Handy (HAW LA, Free OTP,  Google Authenticator) erzeugt und alle 30-60 Sekunden (30 sind empfehlenswerter) erneuert. Auch dieser Code muss in Zukunft in die "2. Faktor-Leiste" eingegeben werden.

Beachten: Die "2. Faktor-Leiste" ist nicht Ihre Nutzerpasswortleiste, sondern eine die danach erscheint.

U2F-Tokens:
Bei diesem handelt es sich um einen Hardwaretoken (und diese sind fast ausschließlich für Professoren an der Hochschule Landshut wichtig). Die nötigen Infos befinden sich auf einem speziellen Key mit USB-Schnittstelle (nicht zu verwechseln mit einem USB-Stick). Auch diese werden im SSO-Portal über "2FA-Token" ausgerollt. Die sich darauf befindenden Informationen werden automatisch in die "2. Faktor-Leiste" geladen, sobald man den Key in einem USB-Port am Rechner gesteckt hat und beim Anmeldeversuch auf den Button "Security Key aktivieren" klickt, gefolgt von einer Betätigung der blinkenden Stelle des Keys.

Beachten: Die "2. Faktor-Leiste" ist nicht Ihre Nutzerpasswortleiste, sondern eine die danach erscheint.

Für die korrekte Nutzung/das Ausrollen der Tokens befolgen Sie bitte die dazu notwendigen Anleitungen in diesem FAQ.

Update-Info zur HAW-Android-App (9. Dezember 2020)

Für die HAW App für Android ist seit dem 9. Dezember 2020 eine neue Version vorhanden. Falls Sie weiterhin die App der Hochschule verwenden möchten, möchten wir Sie bitten, die alte Version vor der Installation zu deinstallieren, da es sich tatsächlich im PlayStore um eine neue und eigene App handelt, bei welcher diverse Fehlerkorrekturen vorgenommen wurden.

Weitere Informationen finden Sie hier:

Nutzung der HAW App

SSO VIDEOANLEITUNG | SINGLE SIGN ON VIDEO GUIDE (GER/ENG)

Wie kann ich mich an SSO anmelden?

Um sich erstmalig für SSO zu registrieren, gehen Sie wie folgt vor:
Melden Sie sich mit Ihren Hochschul-Zugangsdaten unter https://sso.haw-landshut.de an.




Klicken Sie im nächsten Fenster auf „Token registrieren“.



Anschließend erhalten Sie an Ihre Hochschul-E-Mailadresse ein Passwort (Registrierungscode) eines sogenannten "Registrierungstokens", mit dem Sie sich als zweiten Faktor einmalig anmelden können.

Dieses reicht nicht für die Zukunft! Bitte richten Sie unmittelbar nach der ersten Anmeldung einen zweiten Faktor über "2FA-Token" ein!
Bei Professoren der Hochschule ist dies in der Regel ein U2F-Security Key,
bei Lehrbeauftragten und Studierenden ist dies für gewöhnlich ein TOTP-Token (z.B. FreeOTP).

Wie kann ich mich für das SSO registrieren?

Melden Sie sich zuerst unter https://sso.haw-landshut.de mit Ihren Hochschuldaten an:



Nutzen Sie anschließend eine der von Ihnen eingerichteten 2-Faktor-Authentifizierungsmethoden, um sich zu authentifizieren:



TOTP:
Geben Sie den sechs- bzw. achtstelligen Code aus der Authenticator-App (z.B. FreeOTP, Google Authenticator, WinAuth) ein.
Beachten Sie, dass jeder Code nur 30 bzw. 60 Sekunden gültig ist, danach wird ein neuer Code erzeugt. Schlägt die Anmeldung fehl, waren Sie vermutlich zu langsam. Probieren Sie es erneut.

U2F:
Klicken Sie dafür auf den Button „Security Key aktivieren“, warten Sie bis Ihr Key leuchtet, und drücken Sie einmal auf Ihren Key.

Token einrichten: HAW Landshut-TOTP-App

Nutzung der HAW Landshut-TOTP-App

Android: 

  1. Laden Sie sich die App im Google Playstore runter. Die neue Version ist seit dem 9. Dezember 2020 verfügbar. Falls Sie die alte Version noch auf Ihrem Gerät haben, deinstallieren Sie diese bitte, da Sie technisch gesehen separate Apps sind, sie daher nicht überschrieben wird und Sie die veraltete Version nicht mehr benötigen.
  2. Nach dem Start der App haben Sie folgende Möglichkeiten:
  • „Token-Code scannen“



Durch die Nutzung des QR-Code-Scanners ist es Ihnen möglich, den von Ihnen für das Token beantragten QR-Code entschlüsseln zu lassen. Wie Sie dieses auf der Hochschul-Website ausrollen lassen können, können Sie unter anderem hier nachlesen (ignorieren Sie dabei die Beschreibung zu den anderen Apps): Token ausrollen - FreeOTP App



Im Anschluss wird Ihnen das momentane Time-Based One Time Password (TOTP) angezeigt. Weiterhin wird das Token in der über die App aufzurufende Liste gespeichert.

Die Android-App speichert lediglich Tokens, welche mit SHA256 oder SHA512 und dem Zeitschritt 30 erzeugt wurden.

Achtung: Unsaubere Scans können dazu führen, dass das Token nicht so erstellt wird, wie es soll. In diesem Fall probieren Sie es bitte nochmal.

(Der in der Abbildung vorhandene QR-Code ist ein Dummy ohne brauchbare Informationen und dient lediglich der Anschaulichkeit.)

  • „Tokens ansehen“

Die Token-Liste fasst bis zu 2 Tokens, deren momentane TOTPs Sie bei Bedarf über das Auge-Icon einsehen können (sie müssen relativ genau drauftippen, damit es den Klick anerkennt). Im Falle einer leeren Liste wird Ihnen angeboten, den QR-Scanner zu aktivieren. Das Antippen des Trash Can-Icons ermöglicht es Ihnen, das Token zu löschen
(Achtung: Dieses Token wird lediglich aus Ihrer App gelöscht – es bleibt auf dem Server aktiv!).

Die für Sie einsehbaren Informationen eines Tokens in der Liste sind:

  • Die Token-ID (TOTP123456 in der Abbildung) welches jedes Token in Ihrer App einzigartig macht,
  • das TOTP (755137 in der Abbildung), welches Sie zur Anmeldung benötigen, da es sich dabei um den zweiten Faktor für die 2-Factor Authentication handelt; zum Ansehen tippen sie bitte das Auge-Icon an.
  • sowie der Countdown bis zur Erneuerung des TOTP; zum Ansehen tippen sie bitte das Auge-Icon an.

(Das in der Abbildung vorhandene Token ist ein Dummy und dient lediglich der Anschaulichkeit.)

  • „HAW LA-FAQ“

Durch Auswahl dieser Option gelangen Sie in den Single Sign On-FAQ-Bereich dieser Website.

  • „Datenschutzerklärung“

Aufruf des Datenschutzerklärung-Bereiches der Service IT.


iOS:

  1. Laden Sie sich die App im App Store herunter (benötigt iOS 13.2 oder höher)
  2. Nach dem Start der App haben Sie folgende Möglichkeiten:
  • "TOTP hinzufügen"


Durch die Nutzung des QR-Code-Scanners ist es Ihnen möglich, den von Ihnen für das Token beantragten QR-Code entschlüsseln zu lassen. Bitte wählen Sie als Hash-Algorithmus sha1 aus. Wie Sie dieses auf der Hochschul-Website ausrollen lassen können, können Sie unter anderem hier nachlesen (ignorieren Sie dabei die Beschreibung zu den anderen Apps): Token ausrollen - FreeOTP App



Im Anschluss wird Ihnen das momentane Time-Based One Time Password (TOTP) angezeigt. Weiterhin wird das Token in der App gespeichert.

(Der in der Abbildung vorhandene QR-Code ist ein Dummy ohne brauchbare Informationen und dient lediglich der Anschaulichkeit.)

  • "TOTP löschen"

Nach einem Klick auf diesen Button wird der Token aus dem Speicher der App gelöscht

Ist ein Token in der App gespeichert, wird dessen ID und das Token, welches sich alle 30 bzw. 60 Sekunden aktualisiert, angezeigt. Außerdem sehen Sie auf der rechten Seite einen Countdown, wie lange der aktuelle Token noch gültig ist.

Sollte es technische Probleme geben, welche Sie nicht mit dem FAQ lösen können, wenden Sie sich bitte an ticket@haw-landshut.de und erstellen eine Anfrage-Mail.

Token einrichten: FreeOTP App

  1. Laden Sie sich die App „FreeOTP“ aus dem App Store bzw. Google Play Store herunter und starten Sie sie (vorzugsweise auf Ihrem Smartphone).
  2. Öffnen Sie nun die Webseite https://pi.haw-landshut.de und melden Sie sich mit ihrem Benutzernamen und Passwort an:

  3. Klicken Sie nun links auf „Token ausrollen“ und wählen Sie anschließend oben „TOTP: Zeitbasiertes Einmalpasswort“ aus.

  4. Bei der OTP-Länge (die Anzahl an Ziffern, die das Einmalpasswort hat) und dem Zeitschritt ist Ihnen freie Wahl gelassen. Da es sich um FreeOTP handelt, ist auch der Hash-Algorithmus (SHA) egal (bei anderen Apps müssten Sie hierbei angepasste Einträge machen). Klicken Sie anschließend auf „Token ausrollen“.
  5. Klicken Sie in der FreeOTP-App nun oben rechts auf das QR-Code-Symbol und scannen Sie anschließend den eben erzeugten QR-Code auf unserer Webseite. Nun ist ein neuer Eintrag im FreeOTP (Authenticator) generiert worden. Mit einem Klick auf diesen sehen Sie das sechs- bzw. achtstellige Passwort, je nachdem, wie Sie es eingestellt haben.
  6. Hiermit ist die Einrichtung von FreeOTP abgeschlossen

Token einrichten: Google Authenticator App

  1. Laden Sie sich die App „Google Authenticator“ aus dem App Store bzw. Google Play Store herunter und starten Sie sie (vorzugsweise auf Ihrem Smartphone).
  2. Öffnen Sie nun die Webseite https://pi.haw-landshut.de und melden Sie sich mit ihrem Benutzernamen und Passwort an:
  3. Klicken Sie nun links auf „Token ausrollen“ und wählen Sie anschließend oben „TOTP: Zeitbasiertes Einmalpasswort“ aus:
  4. Bitte ändern Sie den Hash-Algorithmus auf sha1 ab! Die restlichen Werte müssen auf ihren Standard-Werten belassen werden. Geben Sie unter Beschreibung „HAW Landshut“ ein, dies wird später über dem Code in der Authenticator-App angezeigt. Klicken Sie anschließend auf „Token ausrollen“.
  5. Klicken Sie in der Google Authenticator App nun oben rechts auf das + Symbol und wählen „Barcode scannen“ aus:
  6. Scannen Sie anschließend den eben erzeugten QR-Code auf unserer Webseite. Nun wurde ein neuer Eintrag im Authenticator, bestehend aus 6 Ziffern, erzeugt.
  7. Hiermit ist die Einrichtung von Google Auth abgeschlossen.

Token einrichten: WinAuth App

  1. Nutzen Sie dies bitte nur im absoluten Notfall falls Sie kein Smartphone und auch keinen Security Key besitzen bzw. erwerben können.
  2. Laden Sie sich das Programm „WinAuth“ (https://github.com/winauth/winauth/releases/download/3.5.1/WinAuth-3.5.1.zip) herunter und entpacken und starten Sie es
  3. Loggen Sie sich unter https://sso.haw-landshut.de ein und klicken Sie anschließend auf 2FA-Token.
  4. Klicken Sie nun links auf „Token ausrollen“ und wählen Sie anschließend oben „TOTP: Zeitbasiertes Einmalpasswort“ aus
  5. Bitte ändern Sie den Hash-Algorithmus auf sha1 ab! Der Zeitschritt muss bei seinem Standardwert bleiben. Bei der OTP-Länge (die Anzahl an Ziffern, die das Einmalpasswort hat) ist Ihnen freie Wahl gelassen. Klicken Sie anschließend auf „Token ausrollen“.
  6. Im nun kommenden Fenster machen Sie einen Rechtsklick auf den QR-Code und klicken Sie auf „Grafikadresse kopieren“ (unter Firefox, möglicherweise heißt es bei anderen Browsern anders)
  7. Klicken Sie in WinAuth auf „Add“ und anschließend auf „Authenticator“. Fügen Sie unter 1. Den eben kopierten Link ein. Klicken Sie nun auf „Verify Authenticator“ und anschließend auf OK. Falls Sie wollen, können Sie anschließend noch ein Passwort vergeben, welches Sie bei jedem Start des Programms eingeben müssen
  8. Nun ist ein neuer Eintrag im Authenticator generiert worden. Mit einem Klick auf diesen sehen Sie das sechs- bzw. achtstellige Passwort, ja nachdem, wie Sie es eingestellt haben.

Hiermit ist die Einrichtung von WinAuth abgeschlossen.

Token einrichten: U2F Security Key

Ein U2F-Token ist ein USB-Sicherheitsschlüssel, welcher das FIDO U2F-Protokoll unterstützt. Einen USB-Schlüssel können Sie bei verschiedenen Anbietern kaufen.

Einen neuen U2F-Token für die SSO-Anmeldung können Sie in unserem Token-Self-Service https://pi.haw-landshut.de/https://pi.haw-landshut.de/ registrieren. 

Wählen Sie unter "Token ausrollen" die Option "Enroll a U2F token.". Stecken Sie Ihren USB-Sicherheitsschlüssel in den USB-Port.

Der Key sollte dann kurz aufblinken. Evtl. muss das Gerät erst eingerichtet werden. Das dauert dann einen Moment.

Anschließend drücken Sie auf den darunter liegenden Button "Token ausrollen" wie auf dem folgenden Screenshot.



Sie werden vom System aufgefordert den Sicherheitsschlüssel zu drücken. Sobald der Schlüssel in der Mitte aufblinkt - dies kann je nach Einstellung vor oder nach Bestätigung eines erscheinenden Popups der Fall sein - betätigen Sie ihn (ganz sanft). Nach dem Drücken ist Ihr Sicherheitsschlüssel registriert und kann als 2. Faktor bei der SSO-Anmeldung eingesetzt werden.

ACHTUNG: Sobald Sie dann in Zukunft bei der 2. Faktoren-Seite bei der Anmeldung auf "Security Key aktivieren" klicken und dann auf den blinkenden Key tippen, kann es sein, sofern dies die Erstanmeldung mit dem Key ist, dass dieser nicht angenommen wird. Dies wird jedoch nur dieses eine Mal passieren. Sie können es danach gleich nochmal probieren.

U2F mobil nutzen

Voraussetzung: Der Security Key muss ein NFC-Interface besitzen!

Öffnen Sie die Login--Seite auf Ihrem mobilen Gerät. Im 2. Schritt (Token eingeben), drücken Sie auf den Button "Security Key aktivieren":



Halten Sie gleichzeitig den Security Key hinten nah ans Smartphone (bei einem iOS-Gerät an das obere Ende), und drücken auf den goldenen Button:



Sie sind nun angemeldet.

Bitte beachten: Manche mobilen Browser unterstützen das U2F-Protokoll nicht. Wir haben den Login auf Android bisher mit Google Chrome getestet.

Hinweis zu iOS: iOS unterstützt U2F erst ab iOS 13! Des Weiteren hat bisher nur der Brave Browser das U2F-Protokoll implementiert. Erst ab voraussichtlich iOS 14, das wahrscheinlich im September 2020 veröffentlicht wird, wird es auch Safari untersützen.

Wie kann ich mein Passwort ändern?

Melden Sie sich unter https://sso.haw-landshut.de mit Ihren Zugangsdaten an. Klicken Sie in der Übersicht anschließend auf "Passwort" und geben Sie Ihr neues Passwort 2x ein.



Achten Sie bitte auf die Kennwortrichtlinien:
Das neue Passwort soll:

zwischen 8 und 15 Zeichen lang sein sowohl Klein- als auch Großbuchstaben und Ziffern enthalten keine Umlaute, ß, oder Leerzeichen enthalten keine anderen Sonderzeichen als folgende: - # ! ? { } : ; enhalten

Wie kann ich mein Passwort zurücksetzen?

Wenn Sie Ihr Passwort vergessen haben, gehen Sie bitte auf https://sso.haw-landshut.de/pwreset/
Nun gibt es zwei Möglichkeiten:



Möglichkeit 1 (Professoren & Mitarbeiter mit Zertifikat, Studenten vor dem WS 19/20 mit Zertifikat):
Wenn Sie Ihr Zertifikat im Browser importiert haben, können Sie oben auf "Ich habe ein DFN Zertifikat!" klicken. Bestätigen Sie nun die Zertifikatsanfrage. Anschließend können Sie ein neues Passwort festlegen.

Möglichkeit 2 (Alle anderen):
Geben Sie unter "Benutzername" bitte Ihre Hochschulkennung an, mit der Sie sich auch an den Computern der Hochschule anmelden. Anschließend wird Ihnen per Mail an Ihre Hochschul-Emailadresse (oder an die entsprechende Weiterleitung) ein Token zugesendet, mit dem Sie sich unter https://sso.haw-landshut.de/resetcode anmelden und ein neues Passwort festlegen können.

Weiterhin ist es auf einem dieser Wege möglich, darauf hinzuweisen, dass man sein altes Passwort vergessen hat:

Wählen Sie im Login-Screen „Passwort vergessen?“





ODER

Wählen Sie „Passwort“ im Benutzerportal.



Anschließend klicken Sie auf „Altes Passwort vergessen?“



Ich habe meinen Token verloren, was mache ich denn jetzt?

Wenn Sie Ihren Token verloren haben, loggen Sie sich bitte unter https://sso.haw-landshut.de mit Ihren Hochschuldaten ein. Klicken Sie anschließend unten auf "Token verloren".



Im sich nun öffnenden Email-Fenster geben Sie bitte noch Ihren Benutzernamen und Ihre Email-Adresse ein. Wenn diese Daten mit denen uns hinterlegten übereinstimmen, erhalten Sie anschließend per Mail einen Einmal-Token, mit dem Sie wieder Zugriff auf Ihren Account erhalten.

Richten Sie sich gleich einen neuen Token ein und deaktivieren Sie den verlorenen!

Welche U2F Keys und TOTP-Apps werden unterstützt?

Dieser Tabelle können Sie entnehmen, ob Ihr Gerät unterstützt wird. Falls Sie ein weiteres Gerät besitzen, welches hier nicht aufgeführt ist, können Sie uns dies gern melden und wir werden es entsprechend ergänzen.
 = Wird unterstützt,  = wird nicht unterstützt, -- = nicht relevant, da es z.B. die App für das Gerät nicht gibt

WICHTIG: Ich kann mich trotz gültigem TOTP-Token nicht anmelden?!

Sind Sie sich ganz sicher, dass Sie den Token schon einmal erfolgreich verwendet haben und können somit ausschließen, dass
- es der falsche SHA-Algorithmus ist
- sowie Sie ein aktuelles TOTP abgetippt haben
und 
- beim Anmeldeversuch das TOTP-Token auch in der Liste der gültigen Tokens angezeigt wird
sowie
- Sie auch keinen Fehler beim Seitenaufruf wie das versehentliche Öffnen einer Fehlerseite durch Auto-Vervollständigung gemacht haben

dann bedeutet dies, dass Ihr Token einen niedrigen timeShift hat. Da der Token zeitabhängig ist, beeinflusst der Server den timeShift-Wert Ihres Tokens. Ist dieser zu niedrig, akzeptiert der Server den Wert nicht, den Sie eingeben.

Ist der Token nun nutzlos?
Ja, aber nur vorübergehend. Der Wert kann reduziert werden bzw. der Token auf der Serverseite resynchronisiert.

Falls Sie einen zweiten Token haben und sich damit im Portal einloggen können:

Resynchronisieren Sie Ihren Token. Öffnen Sie den Token und geben sie danach 2 aktuelle TOTP-Werte desselben Tokens ein:



Andere Tipps dazu finden Sie weiter unten.

Falls Sie sich im Portal gar nicht anmelden können:

Rufen Sie den Service-IT an. Falls Sie Ihre App zur Hand haben, dauert dieses Gespräch etwa 5 Minuten. Der Service IT benötigt dann zwei sehr aktuelle aufeinanderfolgende TOTP-Werte von Ihnen, damit der Token resynchronisiert hat (daher ist ein Telefonat oder ein Vor-Ort-Termin nötig - es nützt nichts, zwei Werte in eine Mail reinzuschreiben, da diese beim Bearbeiten der Anfrage schon zu alt sind).

Sollten Sie beim Auftreten des Problems keine Zeit für ein Telefonat oder ein Vor-Ort-Gespräch haben oder der Service IT gerade an Anfragen zu viel zu tun haben, senden Sie bitte ein Ticket an ticket@haw-landshut.de damit Ihnen alternativ Ihr Registrierungstoken zurückgesetzt wird und Sie mit diesem wieder ins Portal kommen, um dann einen neuen ausrollen zu können.

Wie entsteht dieser timeShift?
Der timeShift wird beim Anmelden mit dem TOTP beeinflusst  - auf der Serverseite - die Apps und deren Tokens selbst nehmen keine Verbindung zum Server auf, doch der Token ist ja dennoch gleich wodurch dann der Wert wie oben erwähnt nicht akzeptiert wird. Jeder Token hat einen eigenen timeShift. Sie können ihn nicht einwandfrei steuern, doch hilflos sind Sie damit auch nicht. timeShift-Werte können bei einer Anmeldung auch in die andere Richtung gehen (man will dass der Wert auf 0.0 zugeht, nicht etwa weg davon).

Was kann man denn machen?
Tatsächlich haben Sie, abgesehen von den oben angeführten Möglichkeiten, noch ein paar andere relativ gute und einfache Möglichkeiten dafür zu sorgen, dass der Wert nicht zu niedrig wird bzw. sich dieser erholt: Nehmen Sie in Ihrer App immer einen neuen Wert nachdem Sie den Timer haben ablaufen lassen. Auf diese Weise sinkt Ihr Timeshift sehr viel langsamer oder erholt sich evtl. sogar. Der Server überprüft immer, wann Sie sich das letzte Mal eingeloggt haben während der Gültigkeit des anderen TOTPs. Haben Sie sich aktuell mit einem Timer niedriger als zuvor eingeloggt, wird der timeShift kleiner (dies ist schlecht für den Token), doch haben Sie sich mit einem Timer-Wert der höher ist, als der letzte, dann erholt er sich.

Das heißt also: Warten Sie immer, bis Ihr Timer abläuft, falls er schon zu niedrig ist. Alternativ können Sie sich auch zwischen einem Token mit schon fast abgelaufenem Timer und danach beim nächsten Mal einem neuen Timer entscheiden. Das würde bedeuten, dass sich Ihr timeShift immer wieder verringert, dann erholt, usw. Oder: Melden Sie sich immer dann an, wenn der Timer bei derselben Zahl ist, wie sonst auch (in echt wiederholt schwer durchführbar), passiert sogar überhaupt nichts mit dem timeShift-Wert.

Sie können sich auch selbst ein wenig um den timeShift innerhalb Ihres Profils kümmern:



Sehen Sie sich dafür den Token in der App an und dann geben Sie einen TOTP-Wert bei einem noch möglichst hohen Timer ein. Das ist nicht ganz so wirksam wie eine Resynchronisation (welche Sie besser stattdessen machen sollten), aber es beugt ebenfalls dem Fall vor, dass Sie sich aussperren.

Haben Sie irgendeinen Tipp was man sonst noch machen könnte? 
Es ist ratsam, sollten Sie mal wieder im Service-Portal sein, wenigstens einen zweiten TOTP-Token auszurollen. Benutzen Sie diesen dann nur für wichtige Events (wie Prüfungsanmeldungen z.B). Auf diese Weise haben Sie auf jeden Fall einen, mit dem Sie ins Portal können, denn die Version des Tokens die auf dem Server liegt, wird nur dann beeinflusst, wenn er wirklich gerade benutzt wird. Das bedeutet, sind Sie wirklich einmal mit eine anderen ausgesperrt und Sie haben keine Zeit zu telefonieren oder der Service IT kann sich nicht rechtzeitig Ihres Problems annehmen, haben Sie zumindest diesen Notfalltoken für wichtige Tage.
Sollten Sie nicht oft ins Portal gehen, wird evtl. auch ein einziger Token genügen (was nicht heißt, dass er dann nicht irgendwann vom Service IT zurückgesetzt werden muss, auch dieser kann natürlich trotzdem über kurz oder lang einen ungültigen Wert erhalten).

Das ist aber kompliziert - kann man da gar nichts anderes machen?
Da Zeit eine bedeutende Rolle spielt, kann man das nicht - jedenfalls nicht bei TOTP-Tokens. Sie können einen U2F-Key erwerben, sofern Sie das möchten.

Token-Möglichkeiten: Tabellarische Ansicht