Seit Jahren erwartet, ist endlich Version 4 des Samba-Servers erschienen, der nun als vollwertige Alternative zu Microsofts Active Directory dienen kann. In der ... (mehr)

Gut genug

Für die meisten Sicherheitsanforderungen ist allerdings eine Authentifizierung mit zwei Faktoren mehr als ausreichend. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnolgie (BSI) im Grundschutzhandbuch den Einsatz einer Zwei-Faktor Authentifizierung für die Authentifzierung von Remote-Access-VPN-Benutzern [2]. Und auch der Payment Card Industry Data Security Standard (PCIDSS) – ein verbindliches Regelwerk im Zahlungsverkehr für die Abwicklung von Kreditkartentransaktionen – fordert für den Netzwerkzugriff von Administratoren, Mitarbeitern und Dritten von extern, den Einsatz einer Zwei-Faktor-Authentifizierungslösung.

Die Anzahl der Zwei-Faktor-Authentifizierungslösungen auf dem Markt ist groß. Wer den Einsatz einer solchen Lösung plant, sollte daher schon vorab eine Entscheidung darüber treffen, ob er mit Zertifikaten und/oder Einmalpasswörtern arbeiten möchte. Bei der zertifikatsbasierten Zwei-Faktor-Authentifizierung kommen typischerweise digitale PKI-Zertifikate nach dem X.509-Standard zum Einsatz. Diese werden in der Regel auf einem Hardware-Zertifikatsspeicher – dem sogenannten Security-Token – abgelegt. Zur Authentifzierung muss der Benutzer das Security-Token mit dem Gerät verbinden, von dem aus er sich am jeweiligen Dienst anmelden möchte, und das gespeicherte Zertifikat durch die Eingabe einer PIN oder eines Passworts freischalten. Erst dann kann zum Beispiel der VPN-Client erfolgreich eine Verbindung mit dem Zielsystem aufbauen.

Als Hardware kommen spezielle USB-Sticks oder Smartcards zur Speicherung von elektronischen Zertifikaten und Passwörtern infrage. Der praktische Vorteil von USB-Tokens gegenüber Smartcards besteht vor allem darin, dass diese am USB-Anschluss des jeweiligen Computers betrieben werden können, während für Smartcards ein zusätzliches Kartenlesegerät erforderlich ist.

Die Alternative zum Zertifikatsspeicher bilden Einmalpasswortgeneratoren, die sogenannten OTP-Tokens (One Time Password). Es gibt sie in verschiedenen Formfaktoren, zum Beispiel als Hardware, Software oder Grid-Card und natürlich auch "as a service", in diesem Fall dann typischerweise in Form von SMS. OTP-Tokens stellen dem Anwender ein kurzlebiges Einmalpasswort für die Anmeldung zur Verfügung.

Je nach Hersteller und verwendeter Methode unterscheidet man Time-Based beziehungsweise Time-Synchronized Tokens (TOTP = Time-Based One-Time Password Algorithm, gemäß RFC 6238 [3])  und Event-Based Tokens (HOTP = HMAC One-Time Password Algorithm nach RFC 4226 [4]). Hardware-basierende Time-based Tokens sind in der Regel etwas teurer, weil sie als Zähler zur Berechnung ihrer OTPs eine ganggenaue Uhr benötigen, die zusätzlich mit der Hardware verbaut werden muss.

Client- / Server Modell

Allen OTP-Systemen gemein ist, dass sie nach dem Client- / Server Modell arbeiten. Als Frontend kommen dabei "Clients" in Form der OTP-Tokens zum Einsatz; auf Backend-Seite arbeitet ein Server-System, das die Einmalpassworte der Benutzer verifiziert und die Authentisierungsinformationen dann per Schnittstelle an die entsprechende Anwendung übergibt.

Als Universal-Schnittstelle dient häufig das RADIUS-Protokoll (Remote Authentication Dial-In User Service), das die meisten Applikationen verarbeiten können. Natürlich kann auf Backend-Seite statt eines eigenen Serverdienstes auch eine Cloud-Anwendung zum Einsatz kommen. Bekanntestes Beispiel für diese Art der Zwei-Faktor-Authentfizierung dürfte derzeit der Google Authenticator sein.

Natürlich sind Zwei-Faktor Authentifizierungslösungen prinzipiell nicht auf bestimmte Anwendungsszenarien begrenzt. In der Praxis hat sich ihr Einsatz aber vor allem in zwei Bereichen bewährt: Der Authentifizierung von Remote-Access-Verbindungen und Web-Applikationen. Gerade bei Letzteren drängt sich der Einsatz einer Zwei-Faktor Authentifizierung geradezu auf, denn im Gegensatz zu VPN- und SSH-Verbindungen kommen hier auf Client-Seite praktisch nie Zertifikate zum Einsatz, die auch eine Authentifizierung des Clients durch den Server sicherstellen.

Im einfachsten Fall genügt also das Ausspähen des Passworts, zum Beispiel durch einen Man-in-the-Middle-Angriff, eine Replay-Attacke oder klassisches Network-Sniffing, um den Account zu übernehmen. Außerdem wächst die Zahl der Web-Applikationen derart rasant, dass bereits durchschnittliche Nutzer schon heute täglich 10 bis 15 Web-Applikationen verwenden. Man denke dabei nur an die vielen sozialen Netzwerke, Webmailer, Banking-Anwendungen, Online-Shops und Informationsportale.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021