Azure Multifaktor-Authentifizierung für Remote Desktop Gateway

Der Cloud-Faktor

Um den Zugriff auf sensible Daten und Applikationen gegen Passwortklau abzusichern, hat sich seit Langem die Multifaktor-Authentifizierung bewährt. Microsoft bietet eine solche Authentifizierung als Cloud-Dienst in Azure an – als "Token" dient hier das Telefon des Benutzers. Wie sich diese Technologie nutzen lässt und für Remote Desktop Gateways zum Einsatz kommt, zeigt dieser Workshop.
Immer größere Datenmengen bei gleichzeitig steigenden Anforderungen an die Sicherheit sowie Zugriffsmöglichkeiten stellen Administratoren vor neue ... (mehr)

Hardware-Token für die Zwei/Multifaktor-Authentifizierung (MFA) sind aus dem Alltag mobiler IT-Nutzer heutzutage nicht mehr wegzudenken. Um von extern auf die Applikationen des Unternehmens zuzugreifen, wird neben den obligatorischen Anmeldedaten meist auch das Einmalkennwort (One Time Password, OTP) abgefragt.

Probleme von Token

Der für das Generieren des OTP zuständige Token ist meist klein und handlich. Er findet bequem am Schlüsselbund des Nutzers (klassische Bauweise), in seinem Portemonnaie (Ausführung als Scheckkarte) oder neuerdings auch auf seinem Smartphone beziehungsweise seiner Smartwatch (App als Soft-Token) Platz. Der Einsatz solcher Tokens ist allerdings mit einigen Problemen verbunden:

- Sicherheit: Das OTP ist eine eindeutige Funktion von Token-ID und Uhrzeit. Der entsprechende geheime Algorithmus läuft sowohl auf den Token selbst als auch auf den Servern, die in der Regel On-Premises stehen. Wird der Algorithmus bekannt, so ist mit der Kenntnis der Token-ID auch das OTP vorhersagbar. Um den Algorithmus zu ändern, müssen alle ausgegebenen Token ersetzt werden.

- Bedienung: Das OTP ist meist nur so lange gültig, bis das nächste generiert wurde. In den meisten Fällen sind es 5 bis 20 Sekunden. Für manche Nutzer und Anwendungen ist diese Zeit nicht ausreichend, um das OTP einzugeben und die Anmeldung abzuschließen. Außerdem bieten nicht alle Token die Anzeige der Restzeit für das aktuelle OTP überhaupt an.

- Zeitdivergenz: Die Präzision der Quarz-Uhr im Token ist von der Qualität der Verarbeitung, der Umgebungstemperatur sowie der Batteriespannung abhängig. Somit kann es passieren, dass die Token- und Backend-Zeit soweit auseinandergeraten, dass nicht das aus Backend-Sicht aktuelle OTP, sondern das vorherige oder das nächste OTP angezeigt wird. Die meisten MFA-Systeme besitzen die Fähigkeit, die Zeitdivergenz zu erkennen und zu korrigieren.

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020