Einträge von Cornelius Kölbel

privacyIDEA Authenticator mit Push für iOS

Die privacyIDEA Authenticator App unterstützt im Zusammenspiel mit privacyIDEA 3.1 die Authentifizierung mittels Push-Token.

Der Push-Token

Dabei sendet das privacyIDEA Backend, wenn sich der Benutzer an bspw. einer Webseite anmelden möchte, eine kryptographisch gesicherte Challenge an das Smartphone des Benutzers. Dieser muss auf seinem Smartphone den Anmeldewunsch lediglich bestätigen. Im Hintergrund sendet das Smartphone die von ihm signierte Challenge an privacyIDEA zurück. Durch die Signatur ist sichergestellt, dass wirklich der Anwender den Login-Wunsch bestätigt hat.

Der Benutzer wird automatisch angemeldet.

Dies ist bspw. schon im Zusammenspiel mit dem privacyIDEA ownCloud Plugin realisiert. 

Der privacyIDEA Authenticator auf iOS

Seit gestern ist nun der privacyIDEA Autheticator mit der Push-Funktionalität auch für iPhones ab iOS 12.4 im Apple App Store verfügbar. 

Neben der privacyIDEA Authenticator App unterstützt privacyIDEA eine Vielzahl an Software-Token, Hardware-Token und anderen Authentifizierungsmöglichkeiten. Wenn Sie Ihre Logins im Unternehmensumfeld mit einem flexiblen zweiten Faktor absichern möchten, sprechen Sie uns an!

privacyIDEA Enterprise Edition 3.1.1 verfügbar

Letzte Woche wurde die Version 3.1.1 von privacyIDEA veröffentlicht.

Gegenüber der Version 3.1 behebt sie nun ein Problem im Audit-Log, dass die Seriennummern der Token nicht ins Audit-Log eingetragen wurden.

privacyIDEA 3.1.1 ist in den üblichen Repositories verfügbar, im Python Package Index und in den Community Repositories für Ubuntu.

Für Unternehmenskunden steht privacyIDEA 3.1.1 auch in den Enterprise-Repositories für Ubuntu,  CentOS/Red Hat Enterprise Linux und den Univention Corporate Server zur Verfügung.

Erfahren Sie mehr über die Enterprise Edition.

privacyIDEA 3.1 veröffentlicht

NetKnights verfeinert die Stellschrauben

Kassel, 4.9.2019. Der Open-Source-Security-Spezialist NetKnights hat seine Mehr-Faktor-Authentifizierungssoftware „privacyIDEA“ aktualisiert und erheblich erweitert. Die neue Version bietet mehr Flexibilität, um die Rechte von Benutzern – und Administratoren – granularer zu definieren. Die Migration von proprietären und Altsystemen ist deutlich vereinfacht.

Mit der Version 3.1 von privacyIDEA ist es möglich, die Richtlinien für Benutzerrechte an andere Benutzerparameter, beispielsweise LDAP-Attribute, zu binden. Außerdem erleichtert eine automatische Neu-Zuordnung von bereits genutzten Token die Migration von anderen 2FA-Systemen noch einmal deutlich. Die „alte“ Token-PIN eines Benutzers lässt sich ebenfalls automatisch ohne Zutun der IT-Abteilung übernehmen.

Mehr Flexibilität bei der Definition von Richtlinien

Richtlinien lassen sich an beliebige Benutzerattribute binden

Der Administrator kann mit privacyIDEA ab sofort Richtlinien abhängig von beliebigen Attributen definieren. Welche Attribute das sind, wird in erweiterbaren Modulen definiert; in Version 3.1 ist hierzu das Benutzermodul enthalten. Das bedeutet, der Administrator muss die Richtlinien nicht wie bisher an eine komplette Benutzerquelle binden, sondern kann innerhalb einer Benutzerquelle beziehungsweise Benutzergruppe abhängig von dem jeweiligen LDAP-Attribut eines Benutzers ein unterschiedliches Verhalten durch die Richtlinien erzeugen. So kann ein Unternehmen zum Beispiel durchsetzen, dass Benutzer mit Zugriff auf sensiblere Daten sich nur mit einem sicheren Tokentyp anmelden können oder Benutzern, die beispielsweise keine E-Mail-Adresse haben, manche Funktionen verwehrt wird.

Gleichzeitig ist im neuen privacyIDEA die Separation der speziellen Leserechte von Administratoren weiter ausgebaut. Mit Hilfe der Richtlinien lässt sich definieren, welche Administratoren oder Helpdesk-Mitarbeiter manche Konfigurationen lesen dürfen oder nicht. Auch die Leserechte der Administratoren auf Tokens wurden verfeinert. Sie haben nur Zugriff auf die Schlüssel, die ihnen zugeordnet sind. So lassen sich noch besser Mandantenszenarien abbilden.

Administratoren können nun dedizierte Leserechte zugewiesen werden

Leichtere Migration durch automatische Token-Zuordnung

privacyIDEA ermöglicht eine sanfte Migration von proprietären Alt- oder 2FA-Systemen. Dies ist relevant, wenn Hersteller proprietäre Systeme nicht mehr weiterentwickeln („End-of-Life“) oder Produkte den Anforderungen der Anwender nicht mehr genügen. 

Nachdem die Seed-Files der Altsystems-Tokens in privacyIDEA importiert sind, kann das System die Token unmittelbar während des Anmeldeversuchs dem Benutzer in privcayIDEA zuordnen. Gleichzeitig kann privacyIDEA automatisch die alte Token-PIN setzen, ohne dass hierzu ein Mitarbeiter aus der IT oder der Benutzer tätig werden muss.

Viele zusätzliche Erweiterungen

Der RADIUS Token unterstützt nun Challenge-Response. Die Push-Token Funktionalitäten wurden erweitert. So kann ein Authentifizierungs-Request mit der Antwort so lange warten, bis die Push-Nachricht bestätigt ist. Dies erleichtert die Einbindung des privacyIDEA Push-Tokens in Drittprodukte.

Der TiQR-Token] ist um einige Funktionen erweitert, welche die Bedienung angenehmer machen. Der TiQR-Token ist von der Funktion her einem Push-Token vergleichbar. Die Challenge wird allerdings nicht über den Push-Service eines Drittherstellers gesendet, sondern über einen QR-Code, den der Benutzer scannt.

Der Administrator kann in der grafischen Oberfläche von privacyIDEA für die Benutzer eine Willkommensnachricht definieren, um neue Benutzer besser durch den Rollout-Prozess zu führen.

E-Mail-Benachrichtigungen können nun eine Vielzahl neuer Platzhalter zum Inhalt haben, um die Nachricht besser auf die jeweilige Situation anzupassen.

Der privacyIDEA-Server kann erzwingen, dass ein Token in der privacyIDEA Authenticator App mit einer PIN geschützt werden muss.

Auch mit dem Login am WebUI lassen sich nun Event-Handler-Ereignisse verbinden.

Eine komplette Liste der Änderungen findet sich im Changelog bei Github.

Verfügbarkeit

privacyIDEA 3.1 ist ab sofort über die öffentlichen Repositories für Ubuntu 16.04 und 18.04 verfügbar. Außerdem kann die Software über den Python Package Index auf beliebigen Distributionen installiert werden.

Konsolidierung des Marktes und Migrationen

IT-Sicherheit ist heute in aller Munde. Jeder versteht etwas anderes darunter: Pen-Tests; Sicheres Coding oder Exploits; Antivirus, Antispam; Datenschutz; Immer noch Firewalls; Sicherheitsberatung; Identitymanagement; Authentifizierung. Das Thema „IT-Sicherheit“ ist  ein breites Spektrum. Und jeder beschäftigt sich deswegen auch mit „IT-Sicherheit“. Wir beschäftigen uns mit dem Spezialgebiet der sicheren oder starken Authentifizierung – der Mehr-Faktor-Authentifizierung.

Status Quo der proprietären Software und des Marktes

IT-Sicherheitsunternehmen sind eben oftmals sehr spezialisiert und daher eher kleine Unternehmen. Vor wenigen Jahren war dies noch ausgeprägter und viele wichtige Player am Markt hatten weniger als ein paar hundert Mitarbeiter weltweit.

Doch weil IT-Sicherheit in aller Munde kam, wurde das Thema und damit die Unternehmen auch im größeren Umfeld interessant und das Karussell der Merger and Akquisitions nahm Fahrt auf. Wer kennt noch Safeword Tokens? Secure Computing, Aladdin, SafeNet, Gemalto, Thales gaben und geben sich ein munteres Wechseln der Firmennamen und Produktlabels. Einstmals hatten Aladdin, SafeNet und Gemalto eigene Smartcard-Produkte und Portfolios. Diese sind nun endgültig in Gemalto aufgegangen. 

Bei einem Unternehmenszusammenschluss wächst das Unternehmen aber auch das Produktportfolio. Das ist wie nach Weihnachten – neues Spielzeug kommt, altes muss aus dem Kinderzimmer weichen! Und so wird auch das gewachsene Unternehmen sein Produktportfolio aufräumen und Produkte wie SafeWord 2008, SAM Express und dieses Jahr SafeNet Authentication Manager (der OTP-Teil) gehen End-of-Life.

Das Lebensende in einer proprietären Welt

Auch proprietäre Software-Produkte, die End-of-Life sind, müssen weggeschmissen werden.

Im Falle von proprietärer Software bedeutet End-of-Life oftmals auch das Aus für die Software. Hat der Hersteller die Software bspw. nach Benutzern lizensiert, ist es Ihnen als Kunde nach dem End-of-Life nicht möglich, auch nur eine weitere Benutzerlizenz für diese Software zu erwerben! Wenn Sie also nach dem End-of-Life zweite Faktoren für neue Benutzer im Unternehmen ausrollen wollen, dann ist auch das nicht mehr möglich. Sie haben nur 1000 Benutzer lizensiert? Der 1000-und-erste Benutzer kann in dem alten System keinen 2FA-Token mehr erhalten! Lizenz überschritten!

Nicht nur wegen des fehlenden Supports und der fehlenden Weiterentwicklung – Nein, sogar wegen der fehlenden Funktionalität sind Sie gezwungen von ihrem bestehenden System wegzumigrieren.

Zwar bieten Hersteller oftmals vermeintlich attraktive Migrationspfade zu dem anderen proprietären Produkt aus dem Portfolio an – doch Sie wissen selber, dass Migrationen mit hohem Kosten- und Zeitaufwand verbunden sind.

Painpoint: Mehr-Faktor-Authentifizierung

Die Migration eines Mehr-Faktor-System kann ungangenehme Schmerzfaktoren mit sich bringen. Zwei-Faktor-Authentifizierung bedeutet i.d.R. die Kombination aus Wissen und Besitz bei der Anmeldung. Der Besitzfaktor (Harward-Token oder eine registrierte Smartphone-App…) ist an das Backend gebunden und gleichzeitig an den Benutzer verteilt. Verteilt im Feld. Weltweit.

Im Extremfall kann die Migration eines Besitzfaktors also bedeuten, dass die da draußen verteilten Besitzfaktoren eingesammelt und neue Besitzfaktoren verteilt werden müssen.

Je nach Anzahl der Benutzer, Struktur Ihres Unternehmens, Workflows der Benutzer kann das ein langwieriger, teurer und schmerzhafter Prozess sein – selbst wenn das neue Produkt vom vermeindlich gleichen Hersteller kommt. (Dabei kommt es nicht vom gleichen Hersteller, sondern jetzt nach dem Merger nur aus dem gleichen Portfolio!)

privacyIDEA

Unsere Mitarbeiter sind seit 2004 im Bereich der Zwei- oder Mehr-Faktor-Authentifizierung tätig und können daher die Schmerzen der Kunden nachvollziehen. Diese Erfahrungen haben wir in privacyIDEA integriert.

Mit privacyIDEA ermöglichen wir Ihnen bereits seit einer Weile eine sanfte Migration. Ohne jeglichen Zeitdruck betreiben Sie privacyIDEA und Ihre alte Software parallel, ohne dass der Benutzer etwas davon merken muss. Peu à peu teilen Sie neue Token innerhalb von privacyIDEA aus.

Mit der kommenden Version 3.1 wird es außerdem möglich sein, die Seeds alter Token in privacyIDEA zu importieren und die Token den Benutzern automatisch zuzuordnen und die alte Token-PIN automatisch zu setzen. Kein Aufwand für die Benutzer, minimaler Aufwand für die IT.

Viele Kunden,  wie das Klinikum Hanau, vertrauen bereits auf privacyIDEA und haben erfolgreich migriert.

 

Und was bringt die Zukunft?

Und wenn Sie mal von privacyIDEA wegmigireren wollen? Warum?

privacyIDEA ist Open Source. Mit privacyIDEA ereilt Sie nie das Schicksal, dass Sie den 1000-und-ersten Benutzer nicht ausrollen können. privacyIDEA läuft und läuft und läuft.

Investieren Sie in Ihre Zukunft! Investieren Sie in Open Source! Investieren Sie in privacyIDEA!

, ,

NetKnights präsentiert Mehr-Faktor-System privacyIDEA auf der it-sa

Die NetKnights GmbH wird auch in diesem Jahr als Aussteller auf der Business-Messe it-sa in Nürnberg vertreten sein.

Vom 8. bis zum 10. Oktober 2019 trifft sich auf dem Nürnberger Messegelände das Who-is-Who der deutschen und internationalen IT-Security-Anbieter. Besucher haben die Möglichkeit, sich aus erster Hand über Neuerungen und Pläne der Anbieter zu informieren.

Die NetKnights GmbH ist als Mitaussteller von ownCloud in Halle Halle 10.0 Stand 412 vertreten. Wir präsentieren dort das Mehr-Faktor-Authentifizierungssystem privacyIDEA, das ownCloud in Unternehmensumgebungen um unterschiedliche zweite Faktoren erweitern kann und so Ihre unternehmenskritischen Daten zuverlässig schützt. Do einmal im Unternehmen ausgerollt gestattet privacyIDEA ebenso die sichere Anmeldung an anderen Webapplikationen, Remote-Login, VPN, Desktops und Terminalserver…

Vereinbaren Sie ein Gespräch, um zu klären wie auch in Ihrem Netzwerk, privacyIDEA an zentraler Stelle die Sicherheit bei der Anmeldung erhöhen kann.

, ,

NetKnights ist mit privacyIDEA auf der ownCloud Conference

Mitte September findet in Nürnberg die alljährliche ownCloud Conference statt. Dort treffen sich Anwenderfirmen, Entwickler aus der Community oder Partner um sich über die neusten Entwicklungen, Planungen und Erfahrungen auszutauschen.

ownCloud ist ein starker Partner von NetKnights. Mit dem privacyIDEA ownCloud Plugin exitiert eine stabile Software, die ownCloud auf viele verschiedene Arten und Weisen um eine unternehmenstaugliche Zwei-Faktor-Authentifizierung erweitert. Viele Unternehmen setzen auf die privacyIDEA-Komponente, um den Webzugriff auf ownCloud zuverlässig abzusichern.

Vortrag und Demopoint

Auf der ownCloud Conference wird die NetKnights GmbH daher allen Interessenten an einem Demopoint Rede und Antwort zu allen Fragen stehen bezüglich der Zwei-Faktor-Authentifizierung an ownCloud mit privacyIDEA. Neu ist dabei zum Beispiel auch die Anmeldung an ownCloud mit dem privacyIDEA Push Token. Dabei bekommt der Benutzer nach der Eingabe seines Benutzernamens und seines Passwortes an der ownCloud-UI eine Nachricht auf sein Mobiltelefon gesendet, die er lediglich durch einen Klick bestätigen muss.

Genau zu diesem Thema wird Cornelius Kölbel am 18. September 2019 auch einen Vortrag halten und zeigen, wie auch dieser Authentifzierungsmechanismus mit allen anderen in privacyIDEA (HOTP/TOTP, Yubikey, Email, SMS…) kombiniert werden kann.

Kontakt

Sprechen Sie uns an, wenn Sie schon im Vorfeld Fragen haben oder wenn Sie einen Gesprächstermin festmachen möchten.

,

Mehr-Fakor-Authentifizierung privacyIDEA auf dem Texas Linuxfest

privacyIDEA wird am 31. Mai und 1. Juni auf dem Texas LinuxFest in Dallas vertreten sein.

Cornelius Kölbel wird einen Workshow durchführen, in dem die Teilnehmer das Mehr-Faktor-Authentifizierungssystem privacyIDEA in ein bestehendes Netzwerk installieren, Benutzer aus einem AD lesen, Token zuweisen und den Zugang zu ownCloud, NGinX oder SSH um eine Zwei-Faktor-Authentifizierung erweitern. Single Sign On ist ein wichtiger Mechanismus, um das Leben der Benutzer zu erleichtern. Aber der Schutz dieses einzelnen Logins ist daher umso wichtiger. Schützen Sie SSO mit einem zweiten Faktor. Im Workshop wird die Zwei-Faktor-Authentifizierung mit privacyIDEA an Keycloak oder simpleSAMLphp betrachtet.

Am nächsten Tag wird Cornelius Kölbel einen Vortrag halten, wie Firmen und größere Benutzergruppen eine bestehende 2FA-Lösung leicht nach privacyIDEA migrieren können.

Wenn Sie Interesse an diesen Themen haben, treten Sie gerne mit uns in Kontakt.

privacyIDEA Enterprise Edition 3.0.1 veröffentlicht

Heute wurde die privacyIDEA Enterprise Edition 3.0.1 veröffentlicht. Sie ist das stabile Bug-Fixing Release für unsere Unternehmenskunden, das Probleme aus der Version 3.0 behebt.

Push Token

Im Bereich der neuen Funktion des Push-Token wurden Fehler behoben bzw. die Bedienbarkeit verbessert.

  • Eine Logikprüfung der Firebase-Konfiguration für den PUSH-Token wurde ergänzt (#1592).
  • Die doppelte Benachrichtigung bei der Registrierung von PUSH-Token wurde entfernt (#1598).
  • Leerzeichen im Namen der Firebase-Konfiguration sind nun erlaubt (#1599).
  • Unterstützung für iOS Firebase Konfiguration hinzugefügt (#1608).
  • Das Problem von PUSH-Token bei gleichzeitigen Label-Richtlinien wurde behoben (#1589).
  • Die Challenges von akzeptierten PUSH-Token werden in der Datenbank nun richtig marktiert  (#1584).

(Die Nummern in den Klammern geben jeweils die Github-Issues an)

Stabile Enterprise-Version

Darüberhinaus wurden die folgenden Probleme behoben oder Funktionalitäten verbessert:

  • Registrierungstoken funktionieren nun zusammen mit einem Gültigkeitszeitraum (#1587).
  • Vertikalte Ausrichtung im Menü im WebUI wurde korrigiert (#1559).
  • Fehler beim Lesen des User-Cache-Timeouts wurde behoben (#1596).
  • Die Links im Auditprotokoll wurden für normale Benutzer entfernt (#1497).
  • WebUI-Richtlinien werden nun auch auf Resolver geprüft (#1496).
  • Der Platzhalter im Realm Dropdown-Menü im Login-Dialog wird nun richtig angezeigt (#1498).
  • Das Problem beim Erzeugen des Encryption-Keys unter Python 3 wurde behoben (#1594).
  • Die „browserLanguage“ kann nun in eigenen UI templates verwendet werden (#1620).
  • Beim suchen in Richtlinien werden alle Rubriken automatisch geöffnet (#1558).
  • Support-Links werden bei entsprechender Konfiguration auch im Menü ausgeblendet (#1626).

Sichern Sie Ihr Netzwerk ab

Die Version 3.0.1 ist öffentlich verfügbar und kann leicht über den Python Package Index oder über Repositories für Ubuntu 16.04LTS und 18.04LTS installiert werden.

Unsere Unternehmenskunden wurden über die Aktualisierungen informiert. Ihnen steht außerdem ein Repository für Red Hat Enterprise Linux 7 und eine Appliance-Applikation zur Verfügung. Wenn Sie sich für die Enterprise Edition interessieren, erfahren Sie hier mehr.

Wollen Sie auf dem Laufenden bleiben, abonnieren Sie bitte unseren Newsletter.