NetKnights: privacyIDEA für Mehr-Faktor-Authentifizierung

Eine erweiterte Version seiner Authentifizierungslösung auf Basis von privacyIDEA Version 2.13 hat das Kasseler Softwarehaus NetKnights vorgestellt. privacyIDEA ist Software auf Open-Source-Grundlage, die eine Multi-Faktor-Authentifizierung ermöglicht. Das bedeutet, der Nutzer benötigt mehrere "Faktoren", um sich an einem IT-System oder einem Unternehmensnetz anzumelden.

Neben dem Passwort kann das beispielsweise ein Token sein (etwas, das der User besitzt), aber auch die Eingabe eines Fingerabdrucks oder ein Scan der Iris, also biometrische Merkmale (etwas, das der Nutzer "ist"). Der Vorteil einer Multifaktor-Authentifizierung ist, dass Angriffe mittels Keyloggern oder Trojanern abgewehrt werden, die auf das Ausspähen von Passwörtern ausgelegt sind.

Mit Event Handler Ereignisse verknüpfen

Neu in Version 2.13 von privacyIDEA ist ein Event-Handler-Framework. Damit können IT-Sicherheitsfachleute und Administratoren Ereignisse mit bestimmten Aktionen verknüpfen. Dadurch wiederum lassen sich Abläufe und Prozesse automatisieren.

Ein Beispiel: Der Nutzer wird per E-Mail oder SMS benachrichtigt, wenn ein Administrator Änderungen am Benutzerkonto oder den Komponenten vornimmt, mit deren Hilfe sich ein User authentisiert. Mit dem Event Handler können zudem individuelle Workflows erstellt werden.

Zeitbasierte Richtlinien

Ebenfalls eine Neuerung sind zeitbasierte Richtlinien (Policies). Zwar ließen sich bereits bei älteren Versionen der Software solche Regelwerke definieren. Allerdings war es nicht möglich, das Anmeldeverhalten auf Grundlage eines Zeitbezugs zu steuern.

Auch dazu ein Beispiel: Administratoren haben nun die Möglichkeit, das Einloggen auf IT-Systemen auf die gängigen Arbeitszeiten zu begrenzen. Ausnahmen gibt es nur für bestimmte Nutzergruppen, etwa die Geschäftsleitung, IT-Fachleute und Vertriebsmitarbeiter. Außerdem können Administratoren definieren, dass der Zugriff auf IT-Ressourcen zu bestimmten Zeiten nur dann möglich ist, wenn ein Nutzer besonders sichere Authentifizierungsverfahren verwendet.

Solche zeitbezogenen Richtlinien erhöhen die Sicherheit. Denn dadurch fallen ungewöhnliche Aktivitäten von Nutzern schneller auf. Dasselbe gilt für Angriffe von Hackern, die Benutzer-Accounts rechtmäßiger User gekapert haben. Wenn sich ein Nutzer plötzlich mitten in der Nacht an IT-Systemen anmeldet, handelt es sich möglicherweise um einen Angreifer, der von einer entfernten Zeitzone aus auf ein IT-System zugreift.

Erweiterung in Richtung Mehr-Faktor-Authentifizierung

privacyIDEA ist eigentlich eine Lösung für die Zwei-Faktor-Authentifizierung mithilfe von Einmal-Passwörtern (OTP, One-Time Passwords). Inzwischen kann die Software auch SSH-Schlüssel und X.509-Zertifikate verwalten.

Die Version 2.13 erlaubt es Administratoren zudem, tokenspezifische Passwörter mit einem Ablaufdatum belegen. Nutzer müssen daher die Token-PIN nach einer gewissen Zeit ändern, ebenso, wie das auch bei "normalen" Passwörtern der Fall ist oder zumindest sein sollte. Dieses Ablaufdatum erschwert es, mithilfe gestohlener Passwörter Zugang zu IT-Ressourcen zu erhalten.

Anwendungsfelder

Laut NetKnights lässt sich privacyIDEA in unterschiedlichen Szenarien einsetzen, etwa bei der Anmeldung von Außendienstmitarbeitern am Unternehmensnetz und der Absicherung von Kundenportalen. Auch Client-Systeme können geschützt werden. Ein weiteres Anwendungsgebiet ist das SSH-Key-Management in Rechenzentren.

Details zu privacyIDEA und die dazu gehörigen Angebote von NetKnights finden Interessenten auf dieser Seite des Anbieters.