Zwei-Faktor-Authentifizierung mit dem Google Authenticator

Doppelt genäht

Wer sich sicherer fühlen will, verwendet zum SSH-Login Multifaktor-Authentifizierung. Smartphone-Besitzer können hierbei mit dem Google-Authenticator auf Einmal-Passwörter zurückgreifen, die sich auch in andere Anwendungen wie Blogs integrieren lassen.
Musste ein Admin vor Jahren pro Anwender noch genau einen Arbeitsplatz-PC verwalten, hat die mobile Datenwelt mittlerweile zu einem rasanten Zuwachs bei den ... (mehr)

Die Sicherheit von Logins lässt sich durch Kombination mehrerer Faktoren bei der Authentifizierung (Multifaktor-Authentifizierung) bedeutend erhöhen. Für die meisten Anforderungen genügt eine Authentifizierung mit zwei Faktoren, die beispielsweise das Bundesamt für Sicherheit in der Informationstechnologie (BSI) in den Grundschutzkatalogen für die Authentifzierung von VPN-Benutzern empfiehlt.

Mehr Schutz mit zwei Faktoren

Für den "zweiten Faktor" neben dem gewohnten Passwort oder Schlüssel gibt es diverse Möglichkeiten. Dies können beispielsweise Hardware-Token sein, die sich im Besitz berechtigter Anwender befinden. Eine gute Alternative dazu sind Einmalpasswortgeneratoren, die den Anwender mit sogenannten OTP-Token (One Time Password) versorgen. Auch die gibt es in unterschiedlicher Ausführung, zum Beispiel als Hardware, Software oder Karteikarte (Grid Card). Eine populäre, kostenlose und einfache Methode, Zwei-Faktor-Authentifizierung (2FA) mit OTP umzusetzen, ist der Google Authenticator, der in Form einer App für iOS und Android zur Verfügung steht. Für die Gegenseite, den Server, bietet Google die passende Software im Quellcode [1].

Der Google Authenticator bietet zeitbasierte One-Time-Passwörter (Time-based One-time Password, TOTP) nach RFC 6328. Das bedeutet, diese Passwörter besitzen nur eine Zeit lang Gültigkeit, was sie selbst im Fall eines Verlusts für einen Angreifer praktisch wertlos macht.

Für den Google Authenticator gibt es zur Integration in Anwendungen eine Vielzahl von Modulen, etwa um das Login für Blogs, Content-Management-Systeme, OpenVPN und vieles mehr mit Zweifaktor-Authentifizierung abzusichern. Genauso ist möglich, SSH mit Multifaktor-Authentifizierung zu verwenden, um die Risiken des Diebstahls von Passwort oder Passphrase zu reduzieren. Dazu bietet der Google Authenticator ein PAM-Modul, das sich einfach in die

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023