Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Fazit

Der Einsatz starker Authentifizierungslösungen ist angesichts der vielen erfolgreichen Hackerangriffe auf Zugangsdaten unbedingt angeraten. Prominente Opfer der jüngeren Vergangenheit sind Sonys Playstation Network, Yahoo und das Social Business Network LinkedIn. Der Aufwand für Implementierung und Betrieb einer Zwei-Faktor Authentifizierungslösung ist vergleichsweise gering, wenn man das hohe Schadpotenzial eines erfolgreichen Hacks auf Benutzerdaten berücksichtigt. Remote-Access-Verbindungen und kleinere Webapplikationen lassen sich darüber hinaus zum Nulltarif mit dem Google-Authenticator und Mydigipass.com hervorragend sichern.

Freie OTP-Systeme

  • S/KEY / OPIE ist ein älteres Verfahren, das unter Unix-artigen Betriebssystemen die Authentifizierung per Einmalpasswort erlaubt. Die Implementierung OPIE (One Time Passwords in Everything) [6] bringt eine Client- und eine Serverapplikation sowie ein PAM-Modul mit. OTPs können entweder im Voraus erzeugt und (wie eine TAN-Liste) ausgedruckt werden oder lassen sich mit S/KEY Generatoren "on the fly" erzeugen.
  • Der Google Authenticator stellt eine OATH- [5] kompatible Zwei-Faktor-Authentifizierungslösung mit HOTP/TOTP-Implementierung dar. Vorrangig für die Authentifizierung an den Google-eigenen Diensten entwickelt, steht inzwischen auch ein PAM-Modul für die Authentifizierung auf Unix-Systemen zur Verfügung.
  • Der Openkubus-Stick [7] ist ein USB-Stick mit freiem Hardware-Layout, der One Time Passwords erzeugen kann. Openkubus stellt Bibliotheken für C, Perl, PHP sowie einen Server und ein PAM-Modul zur Verfügung.
  • LinOTP [8] ist ein Backend-System zur Anbindung verschiedener Authentifizierungslösungen und Hersteller. Die Community Edition enthält unter anderem ein PAM-Modul und eine Web-API und unterstützt zahlreiche OTP-Token. Die Enterprise Edition erlaubt auch die Anbindung an Verzeichnisdienste wie Microsoft Active Directory, Novell eDirectory, SQL und OpenLDAP.
  • Mobile OTP [9] ist eine freie OTP-Implementierung, die serverseitig ein J2ME-MIDlet und ein Shellscript für die Anbindung an freie RADIUS-Server, zum Beispiel XTRadius, mitbringt. Clientseitig werden zahlreiche freie OTP-Tokens für alle wichtigen Mobil- und Betriebssystemplattormen angeboten.

Kommerzielle Zwei-Faktor-Authentifizierungslösungen

  • Vasco ist ein belgischer Hersteller von Zwei-Faktor-Authentifizierungslösungen und beliefert beispielsweise eBay / PayPal mit dem dort "Sicherheitsschlüssel" genannten GO3 Token. Herzstück der Zwei-Faktor Authentifizierung bildet der Identikey Server, der in der Basis-Version eine RADIUS-Schnittstelle und diverse Web-Plugins, zum Beispiel für Windows Terminalservices, Citrix und Outlook Webaccess, mitbringt. Client-seitig stellt Vasco OTP-Tokens unter dem Namen DIGIPASS unterschiedlichster Ausprägung zur Verfügung, zum Beispiel als Hardware-Token, Mobile-Token für Smartphone-Betriebssysteme und andere Mobiltelefone oder als SIM-Applikation. Letztere werden unter dem Namen DIGIPASS NANO als hauchdünne Folie mit aufgebrachtem Chip angeboten ( Abbildung 1 ). Die Folie wird dann zusammen mit der SIM-Karte in das Mobiltelefon eingelegt und rüstet damit ein Mobiltelefon zum Hardware-Token auf. t.
  • RSA Security [11] ist ein Tochterunternehmen von EMC und dürfte mit dem Produkt "secureID" international der bekannteste Hersteller von OTP-Lösungen sein. Zu trauriger Berühmtheit brachte es der Hersteller im März 2011, als bekannt wurde, dass dem Unternehmen durch einen Hackerangriff wichtiges Material abhanden gekommen ist. Um welches Material es sich dabei handelt, wurde nie offiziell bekannt gegeben. Die Tatsache, dass das Unternehmen weltweit 40 Millionen Hardware-Tokens ausgetauscht hat lässt aber darauf schließen, dass bei dem Hack der Algorithmus und die Seeds entwedet wurden, mit denen sich die One-Time Passwords berechnen lassen.
  • Safenet [12] ist ein amerikanischer Hersteller von Sicherheitslösungen, der in den Jahren 2004 und 2009 die Unternehmen Rainbow und Aladdin mit deren Verschlüsselungslösungen übernommen hat. Safenet bietet zertifikats- und PKI-basierende Lösungen und OTP-Authentifikatoren an.
  • SMS Passcode: Wie der Name bereits vermuten lässt, bietet das dänische Unternehmen SMS PASSCODE A/S [13] One-Time-Passwort-Authentifizierung auf Basis von SMS an.
  • Zyxel: Auch der taiwanesische Netzwerkausrüster Zyxel [14] hat eine Zwei-Faktor-Authentifizierungslösung im Programm. Sie arbeitet für den VPN-Zugriff mit den hauseigenen ZyWalls zusammen.

OAuth-API

Mydigipass.com stellt mit der OAuth-2.0-API eine standardisierte Schnittstelle zur Verfügung, über die sich Web-Applikationen zur Authentifizierung verbinden lassen. OAuth kommt als Protokoll häufig dort zum Einsatz, wo man sich an einem Dienst mit den Login-Credentials eines anderen Dienstes anmelden kann, zum Beispiel mit einer Windows-LiveID, einem Google- oder Facebook-Account.

Für die Implementierung von OAuth in eigene Webapplikationen stellt Vasco im Developer-Portal [21] eine ausführliche Dokumentation sowie eine "Sandbox" und einen Online-Demo Token [22] für erste Gehversuche mit der eigenen Web-Applikation zur Verfügung ( Abbildung 6 ). Für den Zugriff auf das Developer-Portal ist zunächst eine Registrierung bei Mydigipass.com erforderlich. Mit den dort erhaltenen Zugangsdaten kann man sich dann auch im Entwicklerportal anmelden. Das Entwicklerportal enthält neben den detaillierten Preisinformationen und der Dokumentation auch jede Menge Material wie Logos, Videos und Datenblätter zur Information der Benutzer, die man sich als sogenanntes User Activation Kit auch in einer Zip-Datei aus dem Portal herunterladen kann.

Abbildung 6: Mithilfe des Online Demo-Tokens von VASCO können Anwender das Secure-Login über Mydigipass.com testen.

Mydigipass-Konserven

Auf Github [23] bietet Vasco einige Plugins für populäre Blog- und Content-Management-Systeme, darunter Wordpress, Drupal und Magento zum kostenfreien Download an. Leider fällt auf, dass keines der Plugins auf dem neuesten Stand für die jeweilige Webapplikation ist. So ist das Wordpress-Plugin beispielsweise nur bis zur Version 3.3.2 kompatibel – aktuell ist derzeit aber bereits Wordpress 3.5.1. Da insbesondere Wordpress-Admins aufgrund immer neuer Sicherheitslücken darauf angewiesen sind ihre Installation auf den neuesten Stand zu bringen, ist der Einsatz des Wordpress-Plugins derzeit nicht empfehlenswert. Hier sollte Vasco dringend nachbessern und sicherstellen, dass die Plugins in den jeweils neuesten Versionen einsetzbar sind. Weitere Plugins für andere populäre Systeme wie Joomla oder Typo3 wären wünschenswert.

Der Autor

Thomas Zeller ist IT-Consultant und beschäftigt sich seit über 15 Jahren mit IT-Sicherheit und Open Source. Er ist Autor / Co-Autor der Bücher "OpenVPN kompakt" und "Mindmapping mit Freemind". Im richtigen Leben ist er Geschäftsführer eines mittelständischen IT-Systemhauses und ist dort auch für den Geschäftsbereich IT-Sicherheit verantwortlich.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Zwei-Faktor-Authentifizierung mit dem Google Authenticator

Wer sich sicherer fühlen will, verwendet zum SSH-Login Multifaktor-Authentifizierung. Smartphone-Besitzer können hierbei mit dem Google-Authenticator auf Einmal-Passwörter zurückgreifen, die sich auch in andere Anwendungen wie Blogs integrieren lassen.
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023