Zwei-Faktor-Authentifizierung mit dem Google Authenticator

Die Sicherheit von Logins lässt sich durch Kombination mehrerer Faktoren bei der Authentifizierung (Multifaktor-Authentifizierung) bedeutend erhöhen. Für die meisten Anforderungen genügt eine Authentifizierung mit zwei Faktoren, die beispielsweise das Bundesamt für Sicherheit in der Informationstechnologie (BSI) in den Grundschutzkatalogen für die Authentifzierung von VPN-Benutzern empfiehlt.

Mehr Schutz mit zwei Faktoren

Für den "zweiten Faktor" neben dem gewohnten Passwort oder Schlüssel gibt es diverse Möglichkeiten. Dies können beispielsweise Hardware-Token sein, die sich im Besitz berechtigter Anwender befinden. Eine gute Alternative dazu sind Einmalpasswortgeneratoren, die den Anwender mit sogenannten OTP-Token (One Time Password) versorgen. Auch die gibt es in unterschiedlicher Ausführung, zum Beispiel als Hardware, Software oder Karteikarte (Grid Card). Eine populäre, kostenlose und einfache Methode, Zwei-Faktor-Authentifizierung (2FA) mit OTP umzusetzen, ist der Google Authenticator, der in Form einer App für iOS und Android zur Verfügung steht. Für die Gegenseite, den Server, bietet Google die passende Software im Quellcode [1].

Der Google Authenticator bietet zeitbasierte One-Time-Passwörter (Time-based One-time Password, TOTP) nach RFC 6328. Das bedeutet, diese Passwörter besitzen nur eine Zeit lang Gültigkeit, was sie selbst im Fall eines Verlusts für einen Angreifer praktisch wertlos macht.

Für den Google Authenticator gibt es zur Integration in Anwendungen eine Vielzahl von Modulen, etwa um das Login für Blogs, Content-Management-Systeme, OpenVPN und vieles mehr mit Zweifaktor-Authentifizierung abzusichern. Genauso ist möglich, SSH mit Multifaktor-Authentifizierung zu verwenden, um die Risiken des Diebstahls von Passwort oder Passphrase zu reduzieren. Dazu bietet der Google Authenticator ein PAM-Modul, das sich einfach in die

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.