Workshop: Zwei-Faktor-Authentifizierung mit Duo Security

Die Faktoren "Wissen" und "Besitz" sorgen bei EC- und Kreditkarten bereits seit vielen Jahren für ein erhöhtes Sicherheitsniveau, denn zu deren Einsatz benötigt der Benutzer physischen Zugriff auf die Karte (=Besitz) und muss auch die zugehörige PIN (=Wissen) kennen. Multifaktor-Authentifizierungslösungen führen häufig noch einen dritten Faktor ein, zum Beispiel ein biometrisches Verfahren wie Fingerprint, Iris-Scan oder Handvenenscan, der dann mit den beiden anderen Faktoren kombiniert wird. In den meisten Fällen ist es allerdings ausreichend, ein bereits etabliertes Passwortverfahren um einen weiteren Faktor zu erweitern.

Klassische Zwei-Faktor-Authentifizierungen nutzen dafür in der Regel ereignis- oder zeitbasierte Einmalpasswörter, die auf einem Hard- oder Software-Token erzeugt und vom Benutzer zusammen mit den übrigen Login-Daten eingegeben werden. Damit das funktioniert, muss der zu authentisierende Dienst natürlich mit der Multifaktor-Authentifizierungslösung zusammenarbeiten, was in vielen Fällen über das RADIUS-Protokoll geschieht.

Zwei-Faktor-Authentifizierung à la Duo Security

Der amerikanische Anbieter Duo Security verlagert das Authentifizierungs-Backend in die Cloud und setzt als Client für die Benutzer schwerpunktmäßig auf Smart-phones. Denn heute verfügt praktisch jeder Anwender über eines dieser Geräte, weiß wie es zu bedienen ist - und merkt meist auch sehr schnell, wenn das Gerät verloren oder gestohlen wurde. Die Duo Mobile App gibt es für Android-, iOS-, Windows Phone- und BlackBerry-Geräte, alternativ kann die Authentifizierung aber auch über ein reguläres Festnetz- oder sogar über ein einfaches Mobiltelefon erfolgen. Optional lassen sich auch Hardware-Tokens wie beispielsweise der YubiKey oder andere OATH-kompatible One-Time-Password-Tokens einbinden. Kunden der Enterprise-Edition von Duo Security steht darüber

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.