Azure Multifaktor-Authentifizierung für Remote Desktop Gateway

Hardware-Token für die Zwei/Multifaktor-Authentifizierung (MFA) sind aus dem Alltag mobiler IT-Nutzer heutzutage nicht mehr wegzudenken. Um von extern auf die Applikationen des Unternehmens zuzugreifen, wird neben den obligatorischen Anmeldedaten meist auch das Einmalkennwort (One Time Password, OTP) abgefragt.

Probleme von Token

Der für das Generieren des OTP zuständige Token ist meist klein und handlich. Er findet bequem am Schlüsselbund des Nutzers (klassische Bauweise), in seinem Portemonnaie (Ausführung als Scheckkarte) oder neuerdings auch auf seinem Smartphone beziehungsweise seiner Smartwatch (App als Soft-Token) Platz. Der Einsatz solcher Tokens ist allerdings mit einigen Problemen verbunden:

- Sicherheit: Das OTP ist eine eindeutige Funktion von Token-ID und Uhrzeit. Der entsprechende geheime Algorithmus läuft sowohl auf den Token selbst als auch auf den Servern, die in der Regel On-Premises stehen. Wird der Algorithmus bekannt, so ist mit der Kenntnis der Token-ID auch das OTP vorhersagbar. Um den Algorithmus zu ändern, müssen alle ausgegebenen Token ersetzt werden.

- Bedienung: Das OTP ist meist nur so lange gültig, bis das nächste generiert wurde. In den meisten Fällen sind es 5 bis 20 Sekunden. Für manche Nutzer und Anwendungen ist diese Zeit nicht ausreichend, um das OTP einzugeben und die Anmeldung abzuschließen. Außerdem bieten nicht alle Token die Anzeige der Restzeit für das aktuelle OTP überhaupt an.

- Zeitdivergenz: Die Präzision der Quarz-Uhr im Token ist von der Qualität der Verarbeitung, der Umgebungstemperatur sowie der Batteriespannung abhängig. Somit kann es passieren, dass die Token- und Backend-Zeit soweit auseinandergeraten, dass nicht das aus Backend-Sicht aktuelle OTP, sondern das vorherige oder das nächste OTP angezeigt wird. Die meisten MFA-Systeme besitzen die Fähigkeit, die Zeitdivergenz zu erkennen und zu korrigieren.

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.