Follow 2FA with privacyIDEA on Twitter
Newsletter
Abonnieren Sie unseren Newsletter, der Sie etwa alle zwei Wochen über Neuerungen rund um die Themen Zwei-Faktor-Authentifizierung, privacyIDEA, Identitäten und Verschlüsselung und die von der NetKnights in diesem Zusammenhang durchgeführten Aktivitäten und angebotenen Leistungen informiert.
Der Newsletterversand erfolgt durch Newsletter2Go!
Melden Sie sich zum Newsletter an und bleiben Sie auf dem Laufenden!
Kontakt
NetKnights GmbH
Ludwig-Erhard-Str. 12
34131 Kassel
Deutschland
Telefon: +49 561 3166797
Fax: +49 561 3166798
info@netknights.it
Ludwig-Erhard-Str. 12
34131 Kassel
Deutschland
Telefon: +49 561 3166797
Fax: +49 561 3166798
info@netknights.it
Zwei-Faktor-Authentifizierung am Windows Desktop – Offline
News, Pressemitteilung, ReleaseprivacyIDEA Credential Provider Version 3.0 verfügbar
Ab heute ist die neue Version 3.0 des privacyIDEA Credential Providers verfügbar. Der privacyIDEA Credential Provider ermöglicht es Benutzern, sich sicher mit einem zweiten Faktor an einem Windows Desktop oder Terminalserver anzumelden. Dabei kann der Benutzer eine Smartphone App, einen Einmalpasswort-Token, Yubikeys oder Nitrokeys verwenden. Alternativ sendet das Authentifizierungsbackend dem Benutzer eine Email oder eine SMS mit einem Einmalcode für die Anmeldung zu.
Neu in Version 3.0
Der Credential Provider wurde in der Version 3.0 in C++ komplett überarbeitet. Die neue Code-Struktur erlaubt nun leichtere Anpassungen und schnellere Release-Zyklen.
In der Version 3.0 sind folgende Funktionen neu hinzugekommen:
Bequeme Push Authentifizierung
Seit Version 3 unterstützt das privacyIDEA Backend die Authentifizierung mittels Push-Token, bei der Benutzer die Anmeldung lediglich durch einen Klick auf seinem Smartphone bestätigen muss. Nun ist die Push-Authentifizierung auch nahtlos im Credential Provider für die Anmeldung am Windows-Desktop integriert.
Realm-Mapping für komplexe Szenarien
Wenn sich Benutzer in mehrere Domänen anmelden oder in privacyIDEA mehrere Realms verwaltet werden, so ist dies mit dem neuen Credential Provider kein Problem mehr. Der Administrator kann in der neuen Version ein flexibles Mapping von Windows-Domänen zu privacyIDEA-Reams definieren.
Offline: Failsafe oder Notebook-Nutzung
Der privacyIDEA Credential Provider unterstützt nun die Anmeldung mit HOTP-Token, wenn der privacyIDEA-Server nicht erreichbar ist. Dies ist dann sinnvoll, wenn sich der Benutzer mit einem Smartphone-HOTP-Token oder mit einem Yubikey auch unterwegs an seinem Notebook anmelden möchte.
Um in kritischen Szenarien mit Netzwerkausfällen umgehen zu können, kann der Administrator nun außerdem einen privilegierten Account definieren, mit dem er sich ohne die Authentifizierung gegen privacyIDEA anmelden kann.
Download
Der privacyIDEA Credential Provider steht für registrierte Kunden zum Download bereit. Interessierte Anwender können die Software in einer ausgiebigen Testphase evaluiert. Bitte kontaktieren Sie uns, um eine Demo-Version zu beziehen.
Über den privacyIDEA Credential Provider
Der Credential Provider wird auf Windows Client- oder Server-Systemen installiert. Er erfragt bei der Anmeldung zusätzlich zum Windows-Passwort einen zweiten Faktor vom Benutzer.
Die Authentifizierung erfolgt gegen das privacyIDEA Backend, in dem der Administrator alle Token der Benutzer an zentraler Stelle on Premises verwaltet.
Der Administrator kann das Aussehen des privacyIDEA Credential Provider komplett dem Corporate Design anpassen. So können Logos und Texte entsprechend den Unternehmensrichtlinien ausgetauscht werden.
Der privacyIDEA Credential Provider integriert sich nahtlos in die existierende Windows-Landschaft. Er unterstützt Network Level Authentication (NLA), User Access Control (UAC) und Over-The-Shoulder (OTS). Die Passwort-Änderung ist sowohl während der Anmeldung als auch während des Entsperrens einer Sitzung möglich.
privacyIDEA Credential Provider ist als signiertes MSI-Paket verfügbar. Unternehmen können somit leicht über das jeweils bevorzugte Software-Verteilungssystem die Software auf Windows 8, Windows 10, Server 2012, 2016 und 2019 installieren.
Durch die Authentifizierung gegen das privacyIDEA Backend, das unter einer Open Source Lizenz verfügbar ist und ebenfalls im eigenen Netzwerk betrieben wird, haben Unternehmen nicht nur Wahlfreiheit, was die Verwendung der zweiten Faktoren angeht, sondern auch jederzeit die volle Kontrolle über den kompletten Anmeldeprozess.
privacyIDEA 3.3 ermöglicht zentrale Verwaltung von WebAuthn Token
News, Pressemitteilung, ReleaseKassel, 06.04.2020 – Der Open-Source-Security-Spezialist NetKnights hat eine neue Version der Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ bereitgestellt. Die neue Version gestattet es Unternehmen, WebAuthn-Token von Benutzern zentral in privacyIDEA zu verwalten und somit moderne Authentifizierungs-Technologien auch im Unternehmen verfügbar zu machen. Ein neues Event-Handler-Modul erlaubt außerdem künftig die individuelle Anbindung an zentrale Logging-Systeme wie Logstash oder Splunk. privacyIDEA 3.3 ist ab sofort über den Python Package Index und in Repositories für Ubuntu LTS verfügbar.
WebAuthn als neue Authentifizierungsmethode
Eine wichtige neue Funktionalität in privacyIDEA 3.3 ist die Unterstützung des WebAuthn-Protokolls. Dieses hat das World Wide Web Consortium (W3C) als globalen Standard für Web-basierte Authentifizierung spezifiziert. privacyIDEA ist damit zukunftssicher aufgestellt und wird auch langfristig höchste Flexibilität in der Auswahl moderner Authentifizierungsgeräte vom Security-Token Yubikey über Fingerabdrücke auf einem Smartphone bis hin zu Crypto-Chips in Notebooks bieten.
Nutzer von privacyIDEA können somit eine schrittweise Modernisierung ihrer Zwei-Faktor-Authentifizierung realisieren, indem sie „alte“ Methoden wie SMS, OTP-Hardware-Token oder Smartphone-Apps parallel zu modernen Methoden wie Yubikey, U2F oder eben WebAuthn einsetzen und schrittweise einen Austausch vornehmen.
Event Handler sendet Informationen an Logging-Systeme
Eine große Stärke von privacyIDEA sind die Event-Handler, mit denen der Administrator neue Aktionen an Ereignisse koppeln kann. Die Version 3.3 bietet ein neues Event-Handler-Modul, um Nachrichten ereignisgesteuert an ein zentrales Logging-System weiterzureichen. Dies ermöglicht dem Administrator, frei definierbare Log-Informationen sowohl lokal zu speichern als auch zur Weiterverarbeitung an zentrale Protokollierungsdienste zu senden. Die Entwickler stellen die Integration am Beispiel von Logstash im privacyIDEA Community Blog vor.
Neuer Tokentyp für individuelle Rollout-Szenarien
Mit dem IndexedSecret Token steht ein spezieller Tokentyp zur Verfügung, der es Benutzern erlaubt, sich auf der Basis eines bereits existierenden geheimen Information anzumelden. Dies kann besonders in komplexen Rollout-Szenarien hilfreich sein.
Die Entwickler haben darüber hinaus an einigen Stellen das WebUI optimiert und erweitert. Die Anzeige der Richtlinien wurde überarbeitet, um komplexe Definitionen für den Administrator übersichtlicher zu gestalten. So kann der Administrator nun genauer zwischen den Berechtigungen einzelner administrativer Benutzer unterscheiden. Dies ist gerade in größeren Installationen mit vielen Administratoren oder Helpdesk-Mitarbeitern von Vorteil.
Verfügbarkeit
Die neue Version 3.3 von privacyIDEA ist ab sofort in den Community Repositories für Ubuntu 16.04 und 18.04 verfügbar. Zusätzlich bietet die NetKnights GmbH eine Enterprise Edition mit Support für Ubuntu LTS und RHEL/CentOS an und führt Auftragsentwicklungen für spezielle Nutzungsszenarien aus.
Besuchen Sie unseren Blog.
Abonnieren Sie unseren Newsletter.
Lesen Sie die Mitteilung auf privacyIDEA.org.
privacyIDEA bei den Chemnitzer Linux Tagen 2020
Events, NewsPrivacyIDEA wird auch in diesem Jahr wieder bei den Chemnitzer Linux Tagen, CLT2020, vertreten sein. Dieses Mal spricht Cornelius Kölbel über Zwei-Faktor-Authentisierung im Single Sign-On (SSO) Kontext.
Termin: Sonntag, 17:00 , Raum V4
In einem Kurzpaper wird die Verwendung von speziellen 2FA-Systemen im Gegensatz zum anwendungsintegrierten 2FA-Management motiviert. PrivacyIDEA Enterprise Edition stellt eine professionelle dedizierte 2FA-Lösung dar und kann in allen Arten von Unternehmensnetzwerken eingesetzt werden.
SSO ist für die IT Administration Chance und Risiko zugleich. Benutzer und Passwörter werden zwar einheitlich und somit übersichtlich verwaltet, aber ein Verlust der Credentials bedeutet auch größeren Schaden. Ein obligatorischer zweiter Faktor erhöht hier das Maß an Sicherheit enorm.
Im Vortrag wird gezeigt, dass das Zusammenspiel von Keycloak und privacyIDEA als 2-Factor-Enabled Identity Provider eine solide Basis für die sichere Anbindung beliebiger SSO-fähiger Anwendungen bildet, die einfach verwaltet und erweitert werden kann.
privacyIDEA auf der Southern California Linux Expo – SCaLE 18X
Events, NewsprivacyIDEA ist eine unternehmenstaugliche Multifaktor-Lösung, die mit kommerziellen Produkten wie RSA SecurID, Vasco oder SafeNet konkurriert. Sie wird weltweit von kleinen Gruppen, Organisationen, Firmen und Konzernen eingesetzt. Aus diesem Grund wenden wir uns auch an 2FA-Benutzer auf der ganzen Welt. Um IT-Profis, die privacyIDEA noch nicht kennen sollten, über diese flexible und nachhaltige Lösung zu informieren und um Anwender, die privacyIDEA bereits nutzen, über die neuesten Funktionen zu informieren, wird privacyIDEA im März 2020 auf der Linux Expo in Südkalifornien (kurz: SCaLE 18X) zu hören sein.
Vortrag über die Migration hin zu privacyIDEA
Cornelius Kölbel wird einen Vortrag im Security Track am 8. März von 15 bis 16 Uhr halten.
Der Vortrag wird von den Entwicklungen im 2FA-Markt handeln. Neue Authentifizierungsmechanismen sind aufgekommen, proprietäre Produkte kamen und gingen. Lösungen, die vor kurzem noch die erste Wahl der IT-Leiter waren, konnten schon bald end-of-life sein.
In diesem Vortrag erfahren Sie, wie Sie mit privacyIDEA die Unwägbarkeiten des Marktes umschiffen können. Die Migration hin zu privacyIDEA ist einfach und stellt den Betrieb eines flexiblen und dynamischen Systems sicher, mit dem Sie auch zukünftige Authentifzierungsmechanismen umsetzen können.
Lesen Sie mehr in unserem Kommentar zu Mergers & Akquisitions.
Anmeldung an ownCloud mittels Push-Benachrichtigung
News, ReleaseMit der privacyIDEA ownCloud App ist nun die Anmeldung an ownCloud mittels Push-Benachrichtigung möglich. Der Benutzer meldet sich mit seinem Benutzernamen und Passwort am ownCloud Webinterface an. Daraufhin bekommt er eine Push-Nachricht auf sein Smartphone geschickt. Diese muss er bestätigen, erst dann ist er im Webinterface angemeldet.
privacyIDEA ownCloud App im Marketplace
NetKnights veröffentlicht die privacyIDEA ownCloud App in der Version 2.6 im ownCloud Marketplace. Diese stellt die neue Anmeldung mit Push-Nachricht als zweiten Faktor bereit.
Hierzu ist im Hintergrund der privacyIDEA Server in Version 3.2 und auf dem Smartphone die privacyIDEA Authenticator App notwendig. Zwischen privacyIDEA Server und Smartphone App werden digital signierte Nachrichten ausgetauscht, so dass es für einen Angreifer nicht möglich ist, die Kommunikation zu verändern, zu fälschen oder eine replay-Attacke durchzuführen.
Sprechen Sie uns an, wenn Sie Zwei-Faktor-Authentifizierung mit flexiblen zweiten Faktoren in Ihrem Unternehmen umsetzen möchten.
Zwei-Faktor-System privacyIDEA 3.2 bringt vollständig individualisierbare Authentisierungs-Workflows
News, Pressemitteilung, ReleaseKassel, 2.12.2019. Der Open-Source-Security-Spezialist NetKnights hat eine neue Version der Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ bereitgestellt. Sie bietet neue Möglichkeiten, das Authentifizierungssystem durch flexible Konfiguration anzupassen und in die eigenen Workflows zu integrieren.
Mit der Version 3.2 von privacyIDEA erhält der Administrator zwei neue Event-Handler-Module, um Regeln zu definieren, die sowohl HTTP-Requests als auch HTTP-Responses der REST-API beliebig modifizieren können. Hierüber lassen sich Workflows hochgradig individualisieren. Es ist nun möglich, Audit-Informationen leicht an externe Log-Management-Tools wie Splunk oder Logstash weiter zu leiten und dort zu verarbeiten. Die Authentifizierung an der REST-API wurde so ausgebaut, dass eine robuste Integration in beliebige andere Applikationen umgesetzt werden kann.
privacyIDEA ist ab sofort über den Python Package Index und in Repositories für Ubuntu LTS verfügbar.
Zwei neue Event-Handler-Module machen flexibler
Bisher gab es im Event-Handler-Framework neben den Benachrichtigungen die Token-, Script-, Federation- und Statistik-Handler. Jetzt stehen mit dem Request-Handler und dem Response-Handler zwei weitere, sehr flexible Module zur Verfügung. Diese ermöglichen es dem Administrator, Regeln zu definieren, die abhängig von definierbaren Bedingungen einen REST-Request an privacyIDEA und auch den Response beliebig verändern.
Das Verhalten von privacyIDEA lässt sich somit äußerst flexibel anpassen. Naheliegende Anwendungsfälle sind beispielsweise das sichere Zurücksetzen von Passwörtern, spezielle Rollout-Szenarien oder individuelle Authentifizierungsregeln. Das System lässt sich damit beliebig auf unterschiedliche Anwenderanforderungen an das Verhalten und die gegebenen Abläufe anpassen.
Audit-Daten at your fingertip
privacyIDEA schreibt alle Logdaten, wer wann wie und was mit welchem Erfolg gemacht hat, in ein internes, strukturiertes SQL-Audit-Modul. Ab der Version 3.2 gibt es daneben ein File-Audit-Modul. Dessen Einträge lassen sich nun leicht in beliebige Log-Management-System wie Splunk oder Logstash importieren. Unternehmen bekommen so die Möglichkeit, Events – auch aus privacyIDEA – zu korrelieren, gegebenenfalls auftretende Probleme leichter zu identifizieren und zu bearbeiten.
Einbindung beliebiger Funktionen in eigene Portale
Über die REST-API lässt sich privacyIDEA bereits in die Portale eines Anwenders einbinden, beispielsweise in einen Browser-basierten Self-Service- oder internes, existierendes Management-Portal.
Dies ist durch den Einsatz von vertrauenswürdigen JSON Web Tokens in privacyIDEA mit der Version 3.2 erheblich einfacher geworden. Jetzt kann ein Endanwender häufige Aktionen wie den Bezug oder das Sperren eines Authentifizierungs-Token in einem bestehenden, vertrauten Web UI selbst ausführen, ohne die Unterstützung von Administratoren oder Helpdesk zu benötigen.
Diese Token-Management-Funktionen ließen sich auch in andere Applikationen einbauen, was besonders für Eigenentwicklungen interessant sein dürfte. Unverändert obliegt es jedoch dem privacyIDEA-Administrator, sämtliche Rechte zentral in privacyIDEA zu gewähren oder auch wieder zu entziehen.
Viele zusätzliche Erweiterungen
Auch die Richtlinien, die allgemein das Verhalten von privacyIDEA steuern, wurden erweitert. Der Administrator kann nun beliebige HTTP-Header als Bedingung für die jeweiligen Richtlinien heranziehen.
Event-Handler können ebenfalls den anfragenden HTTP-Client oder auch den Rollout-Zustand eines Tokens als Bedingung verwenden.
Der Benachrichtigungs-Handler enthält neben der Benachrichtigung per E-Mail und SMS nun auch die Möglichkeit, Nachrichten einfach in Dateien in einem Spool-Verzeichnis zu schreiben.
Auch das Verhalten des PUSH-Tokens wurden verbessert. Der Authentifizierungsablauf ist jetzt so gestaltet, dass er sich einfacher in andere Applikationen integrieren lässt.
Insgesamt gab es mehr als 25 Erweiterungen und sechs Bug-Fixes. Eine komplette Liste der Änderungen findet sich im Changelog bei Github.
privacyIDEA installieren oder aktualisieren
https://pypi.org/project/privacyIDEA/privacyIDEA 3.2 ist ab sofort über die öffentlichen Repositories für Ubuntu 16.04 und 18.04 verfügbar. Außerdem lässt sich die Software über den Python Package Index auf beliebigen Distributionen installierten. Enterprise Releases für Ubuntu LTS und RHEL/CentOS folgen in Kürze.
Besuchen Sie unseren Blog.
Abonnieren Sie unseren Newsletter.
Lesen Sie die Mitteilung auf privacyIDEA.org.
privacyIDEA Authenticator mit Push für iOS
NewsDie privacyIDEA Authenticator App unterstützt im Zusammenspiel mit privacyIDEA 3.1 die Authentifizierung mittels Push-Token.
Der Push-Token
Dabei sendet das privacyIDEA Backend, wenn sich der Benutzer an bspw. einer Webseite anmelden möchte, eine kryptographisch gesicherte Challenge an das Smartphone des Benutzers. Dieser muss auf seinem Smartphone den Anmeldewunsch lediglich bestätigen. Im Hintergrund sendet das Smartphone die von ihm signierte Challenge an privacyIDEA zurück. Durch die Signatur ist sichergestellt, dass wirklich der Anwender den Login-Wunsch bestätigt hat.
Der Benutzer wird automatisch angemeldet.
Dies ist bspw. schon im Zusammenspiel mit dem privacyIDEA ownCloud Plugin realisiert.
Der privacyIDEA Authenticator auf iOS
Seit gestern ist nun der privacyIDEA Autheticator mit der Push-Funktionalität auch für iPhones ab iOS 12.4 im Apple App Store verfügbar.
Neben der privacyIDEA Authenticator App unterstützt privacyIDEA eine Vielzahl an Software-Token, Hardware-Token und anderen Authentifizierungsmöglichkeiten. Wenn Sie Ihre Logins im Unternehmensumfeld mit einem flexiblen zweiten Faktor absichern möchten, sprechen Sie uns an!
privacyIDEA Enterprise Edition 3.1.1 verfügbar
NewsLetzte Woche wurde die Version 3.1.1 von privacyIDEA veröffentlicht.
Gegenüber der Version 3.1 behebt sie nun ein Problem im Audit-Log, dass die Seriennummern der Token nicht ins Audit-Log eingetragen wurden.
privacyIDEA 3.1.1 ist in den üblichen Repositories verfügbar, im Python Package Index und in den Community Repositories für Ubuntu.
Für Unternehmenskunden steht privacyIDEA 3.1.1 auch in den Enterprise-Repositories für Ubuntu, CentOS/Red Hat Enterprise Linux und den Univention Corporate Server zur Verfügung.
Erfahren Sie mehr über die Enterprise Edition.
privacyIDEA 3.1 veröffentlicht
PressemitteilungNetKnights verfeinert die Stellschrauben
Kassel, 4.9.2019. Der Open-Source-Security-Spezialist NetKnights hat seine Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ aktualisiert und erheblich erweitert. Die neue Version bietet mehr Flexibilität, um die Rechte von Benutzern – und Administratoren – granularer zu definieren. Die Migration von proprietären und Altsystemen ist deutlich vereinfacht.
Mit der Version 3.1 von privacyIDEA ist es möglich, die Richtlinien für Benutzerrechte an andere Benutzerparameter, beispielsweise LDAP-Attribute, zu binden. Außerdem erleichtert eine automatische Neu-Zuordnung von bereits genutzten Token die Migration von anderen 2FA-Systemen noch einmal deutlich. Die „alte“ Token-PIN eines Benutzers lässt sich ebenfalls automatisch ohne Zutun der IT-Abteilung übernehmen.
Mehr Flexibilität bei der Definition von Richtlinien
Der Administrator kann mit privacyIDEA ab sofort Richtlinien abhängig von beliebigen Attributen definieren. Welche Attribute das sind, wird in erweiterbaren Modulen definiert; in Version 3.1 ist hierzu das Benutzermodul enthalten. Das bedeutet, der Administrator muss die Richtlinien nicht wie bisher an eine komplette Benutzerquelle binden, sondern kann innerhalb einer Benutzerquelle beziehungsweise Benutzergruppe abhängig von dem jeweiligen LDAP-Attribut eines Benutzers ein unterschiedliches Verhalten durch die Richtlinien erzeugen. So kann ein Unternehmen zum Beispiel durchsetzen, dass Benutzer mit Zugriff auf sensiblere Daten sich nur mit einem sicheren Tokentyp anmelden können oder Benutzern, die beispielsweise keine E-Mail-Adresse haben, manche Funktionen verwehrt wird.
Gleichzeitig ist im neuen privacyIDEA die Separation der speziellen Leserechte von Administratoren weiter ausgebaut. Mit Hilfe der Richtlinien lässt sich definieren, welche Administratoren oder Helpdesk-Mitarbeiter manche Konfigurationen lesen dürfen oder nicht. Auch die Leserechte der Administratoren auf Tokens wurden verfeinert. Sie haben nur Zugriff auf die Schlüssel, die ihnen zugeordnet sind. So lassen sich noch besser Mandantenszenarien abbilden.
Leichtere Migration durch automatische Token-Zuordnung
privacyIDEA ermöglicht eine sanfte Migration von proprietären Alt- oder 2FA-Systemen. Dies ist relevant, wenn Hersteller proprietäre Systeme nicht mehr weiterentwickeln („End-of-Life“) oder Produkte den Anforderungen der Anwender nicht mehr genügen.
Nachdem die Seed-Files der Altsystems-Tokens in privacyIDEA importiert sind, kann das System die Token unmittelbar während des Anmeldeversuchs dem Benutzer in privcayIDEA zuordnen. Gleichzeitig kann privacyIDEA automatisch die alte Token-PIN setzen, ohne dass hierzu ein Mitarbeiter aus der IT oder der Benutzer tätig werden muss.
Viele zusätzliche Erweiterungen
Der RADIUS Token unterstützt nun Challenge-Response. Die Push-Token Funktionalitäten wurden erweitert. So kann ein Authentifizierungs-Request mit der Antwort so lange warten, bis die Push-Nachricht bestätigt ist. Dies erleichtert die Einbindung des privacyIDEA Push-Tokens in Drittprodukte.
Der TiQR-Token] ist um einige Funktionen erweitert, welche die Bedienung angenehmer machen. Der TiQR-Token ist von der Funktion her einem Push-Token vergleichbar. Die Challenge wird allerdings nicht über den Push-Service eines Drittherstellers gesendet, sondern über einen QR-Code, den der Benutzer scannt.
Der Administrator kann in der grafischen Oberfläche von privacyIDEA für die Benutzer eine Willkommensnachricht definieren, um neue Benutzer besser durch den Rollout-Prozess zu führen.
E-Mail-Benachrichtigungen können nun eine Vielzahl neuer Platzhalter zum Inhalt haben, um die Nachricht besser auf die jeweilige Situation anzupassen.
Der privacyIDEA-Server kann erzwingen, dass ein Token in der privacyIDEA Authenticator App mit einer PIN geschützt werden muss.
Auch mit dem Login am WebUI lassen sich nun Event-Handler-Ereignisse verbinden.
Eine komplette Liste der Änderungen findet sich im Changelog bei Github.
Verfügbarkeit
privacyIDEA 3.1 ist ab sofort über die öffentlichen Repositories für Ubuntu 16.04 und 18.04 verfügbar. Außerdem kann die Software über den Python Package Index auf beliebigen Distributionen installiert werden.
Konsolidierung des Marktes und Migrationen
KommentareIT-Sicherheit ist heute in aller Munde. Jeder versteht etwas anderes darunter: Pen-Tests; Sicheres Coding oder Exploits; Antivirus, Antispam; Datenschutz; Immer noch Firewalls; Sicherheitsberatung; Identitymanagement; Authentifizierung. Das Thema „IT-Sicherheit“ ist ein breites Spektrum. Und jeder beschäftigt sich deswegen auch mit „IT-Sicherheit“. Wir beschäftigen uns mit dem Spezialgebiet der sicheren oder starken Authentifizierung – der Mehr-Faktor-Authentifizierung.
Status Quo der proprietären Software und des Marktes
IT-Sicherheitsunternehmen sind eben oftmals sehr spezialisiert und daher eher kleine Unternehmen. Vor wenigen Jahren war dies noch ausgeprägter und viele wichtige Player am Markt hatten weniger als ein paar hundert Mitarbeiter weltweit.
Doch weil IT-Sicherheit in aller Munde kam, wurde das Thema und damit die Unternehmen auch im größeren Umfeld interessant und das Karussell der Merger and Akquisitions nahm Fahrt auf. Wer kennt noch Safeword Tokens? Secure Computing, Aladdin, SafeNet, Gemalto, Thales gaben und geben sich ein munteres Wechseln der Firmennamen und Produktlabels. Einstmals hatten Aladdin, SafeNet und Gemalto eigene Smartcard-Produkte und Portfolios. Diese sind nun endgültig in Gemalto aufgegangen.
Bei einem Unternehmenszusammenschluss wächst das Unternehmen aber auch das Produktportfolio. Das ist wie nach Weihnachten – neues Spielzeug kommt, altes muss aus dem Kinderzimmer weichen! Und so wird auch das gewachsene Unternehmen sein Produktportfolio aufräumen und Produkte wie SafeWord 2008, SAM Express und dieses Jahr SafeNet Authentication Manager (der OTP-Teil) gehen End-of-Life.
Das Lebensende in einer proprietären Welt
Im Falle von proprietärer Software bedeutet End-of-Life oftmals auch das Aus für die Software. Hat der Hersteller die Software bspw. nach Benutzern lizensiert, ist es Ihnen als Kunde nach dem End-of-Life nicht möglich, auch nur eine weitere Benutzerlizenz für diese Software zu erwerben! Wenn Sie also nach dem End-of-Life zweite Faktoren für neue Benutzer im Unternehmen ausrollen wollen, dann ist auch das nicht mehr möglich. Sie haben nur 1000 Benutzer lizensiert? Der 1000-und-erste Benutzer kann in dem alten System keinen 2FA-Token mehr erhalten! Lizenz überschritten!
Nicht nur wegen des fehlenden Supports und der fehlenden Weiterentwicklung – Nein, sogar wegen der fehlenden Funktionalität sind Sie gezwungen von ihrem bestehenden System wegzumigrieren.
Zwar bieten Hersteller oftmals vermeintlich attraktive Migrationspfade zu dem anderen proprietären Produkt aus dem Portfolio an – doch Sie wissen selber, dass Migrationen mit hohem Kosten- und Zeitaufwand verbunden sind.
Painpoint: Mehr-Faktor-Authentifizierung
Die Migration eines Mehr-Faktor-System kann ungangenehme Schmerzfaktoren mit sich bringen. Zwei-Faktor-Authentifizierung bedeutet i.d.R. die Kombination aus Wissen und Besitz bei der Anmeldung. Der Besitzfaktor (Harward-Token oder eine registrierte Smartphone-App…) ist an das Backend gebunden und gleichzeitig an den Benutzer verteilt. Verteilt im Feld. Weltweit.
Im Extremfall kann die Migration eines Besitzfaktors also bedeuten, dass die da draußen verteilten Besitzfaktoren eingesammelt und neue Besitzfaktoren verteilt werden müssen.
Je nach Anzahl der Benutzer, Struktur Ihres Unternehmens, Workflows der Benutzer kann das ein langwieriger, teurer und schmerzhafter Prozess sein – selbst wenn das neue Produkt vom vermeindlich gleichen Hersteller kommt. (Dabei kommt es nicht vom gleichen Hersteller, sondern jetzt nach dem Merger nur aus dem gleichen Portfolio!)
privacyIDEA
Unsere Mitarbeiter sind seit 2004 im Bereich der Zwei- oder Mehr-Faktor-Authentifizierung tätig und können daher die Schmerzen der Kunden nachvollziehen. Diese Erfahrungen haben wir in privacyIDEA integriert.
Mit privacyIDEA ermöglichen wir Ihnen bereits seit einer Weile eine sanfte Migration. Ohne jeglichen Zeitdruck betreiben Sie privacyIDEA und Ihre alte Software parallel, ohne dass der Benutzer etwas davon merken muss. Peu à peu teilen Sie neue Token innerhalb von privacyIDEA aus.
Mit der kommenden Version 3.1 wird es außerdem möglich sein, die Seeds alter Token in privacyIDEA zu importieren und die Token den Benutzern automatisch zuzuordnen und die alte Token-PIN automatisch zu setzen. Kein Aufwand für die Benutzer, minimaler Aufwand für die IT.
Viele Kunden, wie das Klinikum Hanau, vertrauen bereits auf privacyIDEA und haben erfolgreich migriert.
Und was bringt die Zukunft?
Und wenn Sie mal von privacyIDEA wegmigireren wollen? Warum?
privacyIDEA ist Open Source. Mit privacyIDEA ereilt Sie nie das Schicksal, dass Sie den 1000-und-ersten Benutzer nicht ausrollen können. privacyIDEA läuft und läuft und läuft.
Investieren Sie in Ihre Zukunft! Investieren Sie in Open Source! Investieren Sie in privacyIDEA!