,

Bank-Transaktionen mit privacyIDEA absichern

Die Absicherung von Bank-Transaktionen ist eine große Herausforderung. Wir alle sind dankbar, dass wir uns oft den Weg zum Geldinstitut mit den wohl merkwürdigsten Öffnungszeiten sparen können. Ebenso sind wir froh, dass die Zeiten der TAN-Listen, auf denen wir mit dem Stift nach und nach Zahlenkolonnen ausgestrichen haben, vorbei sind.

Aber was ist heute noch die Herausforderung bei Bank-Transaktionen?

Die Unveränderbarkeit der Transaktionsdaten

Der Bankkunde teilt der Bank über ein Webinterface mit, wieviel Geld an welches Konto geschickt werden soll. Ein Trojaner, den sich der Benutzer im Browser eingefangen hat, kann diese Daten verändern. Kurz gesagt, würde der Bankkunde 100 Euro für Konto 1234567890 eingeben und überweisen wollen und der Trojaner im Browser würde nach dem Klick auf den Button „Überweisung senden“ ungesehen daraus 10.000 Euro für Konto 666.666.XX machen. Die Bank bekommt von dem Vorfall im Browser des Benutzers nichts mit. Sie erhält die Daten 10.000 Euro für 666.666.XX und muss annehmen, dass dies das ist, was ihr Kunde will.

Geld weg.

TAN-Listen und OTP-Token

Die Transaktionsdaten können, bevor sie die Bank erreichen, verändert worden sein!

In früheren Zeiten wurden TAN-Listen verwendet. Manche Bank (die sich eher im nicht-deutschsprachigen Raum befindet), setzt auf OTP-Token. Doch TAN-Listen (obwohl bisweilen auch anderes behauptet wird) und OTP-Token können die Unveränderbarkeit der Transaktionsdaten nicht sicherstellen. Der OTP-Token kann dazu dienen, dass die Bank weiß, dass diese Transaktion von genau dem Bankkunden, der im Besitz dieses Gerätes ist, diese Transaktion angestoßen wurde, jedoch kann die Bank nicht sicher wissen, dass die Transaktionsdaten von einem Trojaner im Browser oder anderen Angriffen verändert wurden, ohne dass der Bankkunde und ohne dass die Bank dies weiß.

Es besteht keine kryptographische Verbindung zwischen den Transaktionsdaten und dem Einmal-Passwort.

OCRA: Die Verbindung zwischen Transaktion und TAN

Hier setzt z.B. der OATH Challenge Response Algorithm (kurz OCRA) an, der in RFC 6287 definiert ist. OCRA wurde genau wie HOTP und TOTP von der Initiative for Open Authentication definiert. Grob gesagt ist OCRA ein etwas erweiterter HOTP-Altgorithmus.

Beim HOTP-Algorithmus ist das einzige Eingangsdatum ein Zähler, der kontinuierlich hochgezählt wird. Zusammen mit einem geheimen Schlüssel (der in diesem Fall den Besitz repräsentiert) wird nun ein 6 oder 8-stelliges Einmalpasswort berechnet. D.h. das Einmalpasswort hängt ab vom geheimen Schlüssel und von dem Eingangsdatum „Zähler“. (Für die, die lieber Dinge wie HMAC und mod lesen, sei hier auf das RFC4226 verwiesen).

Grob gesprochen können im Falle von OCRA noch mehr Daten außer dem „Zähler“ in den Algorithmus hineingepackt werden. So zum Beispiel die Kontonummer des Empfängers und der zu überweisende Betrag. Das aus dem OCRA-Algorithmus resultierende Einmalpasswort ist nun also abhängig vom geheimen Schlüssel und den Transaktionsdaten. Andere Transaktionsdaten generieren ein anderes Einmalpasswort.

Wie kann man sich dies nun bei der Überweisung zu Nutze machen?

Die Bank händigt dem Kunden einmalig einen geheimen Schlüssel aus. Entweder in Form eines Hardware-Gerätes oder einer Smartphone-App. Die Bank kennt den geheimen Schlüssel des Kunden.

Der Kunde gibt nun auf der Banking-Website die Transaktionsdaten ein. Gleichzeitig überträgt er die Transaktionsdaten an sein Gerät (mit dem geheimen Schlüssel). Diese Übertragung könnte auch manuell erfolgen, es sind aber viele unterschiedliche Methoden mit QR-Code, Netzwerk oder Bluetooth denkbar, die die Bedienfreundlichkeit erhöhen.

Auf dem Gerät kann der Kunde nochmal überprüfen, ob dies die richtigen Transaktionsdaten sind, falls sich ein Angreifer auch in diesen Übertragungsweg eingeklinkt hätte. Nur wenn es die richtigen Daten sind, lässt er das Gerät die TAN berechnen und er fährt mit der Überweisung fort. Nun gibt er die TAN in die Banking Webseite ein und die Daten werden zur Bank geschickt.

Die Bank erhält die Transaktionsdaten und die TAN. Die TAN hängt aber genau von den Transaktionsdaten ab, die der Kunden nochmal auf dem Gerät verifiziert hat. Die Bank errechnet mit dem geheimen Schlüssel des Kunden und den erhaltenen Transaktionsdaten ebenfalls die TAN. Sollte sich ein Angreifer eingeklinkt und die Transaktionsdaten auf dem Weg zur Bank verändert haben, so erhält die Bank eine andere TAN als der Kunde geschickt hat und wird die Transaktion nicht durchführen.

In diesem Szenario ist jede einzelne Transaktion kryptographisch gesichert. Etwas provokativ gesprochen kommt es gar nicht so sehr darauf an, die Online-Zugangsdaten zu schützen, weil ohne das Gerät mit dem geheimen Schlüssel sowieso keine kryptographisch gesicherte Transaktion durchgeführt werden kann.

privacyIDEA, OCRA und DisplayTAN

privacyIDEA unterstützt schon lange den OCRA Algorithmus in Form des TiQR tokens. In Version 2.20 wurde die Anwendung des OCRA-Algorithmus derart erweitert, dass bspw. die DisplayTAN-Karte problemlos genutzt werden kann.

Banken brauchen also nicht das komplette Schlüsselmanagement in ihre Web-Applikation zu integrieren sondern können die OCRA-gesicherte TAN erzeugen über eine einzige einfache REST API an privacyIDEA auslagern.

Die DisplayTAN-Karten sind für den Bankkunden sehr attraktiv, da sie die eigentliche Bank-Karte komplett ersetzen können aber zusätzlich die Nutzung des sicheren TAN-Verfahren ermöglichen.

Sprechen Sie uns an!

, ,

NetKnights mit privacyIDEA auf der FrOSCon

Am Wochenende waren wir in Sankt Augustin an der Hochschule Bonn-Rhein-Sieg. Dort fand zum zwölften mal die „Free and Open Source Software Conference“ kurz FrOSCon statt. Die NetKnights GmbH ist dort als Sponsor aufgetreten, hatte einen Ausstellungsstand und wir haben in einem Vortrag über den privacyIDEA LDAP Proxy berichtet.

Aufbau

Am Vorabend wurde der kleine Messestand aufgebaut. Ganz in der Nähe vom heißbegehrten T-Shirt-Stand und der Treppe zum Obergeschoss kam vor allem am Samstag viel Laufkundschaft vorbei.privacyIDEA ist Mehr-Faktor-Authentifizierung, die befreit.

Die privacyIDEA Enterprise Edition ist Open Source. D.h. mit dem Einsatz von privacyIDEA können Unternehmen vermeiden, dass die Software irgendwann End-Of-Sale oder End-Of-Life geht. Gegenüber Online-2FA-Lösungen wie Duo, ist sogar klar, dass die eigenen privacyIDEA-Instanz im eigenen Unternehmen niemals eingestellt werden wird, Leistungen verändert werden, man machtlos gegen Preisanhebungen ist oder Daten nicht wegmigrieren kann.

Die unglaubliche Schnittstellenvielfalt, die Offenheit und das neue Event-Handler-Framework ermöglichen dem Administrator außerdem, viele Aufgaben zu automatisieren. Der Rollout an große Benutzerzahlen wird einfacher, Helpdesk-Funktionen erfordern weniger manuelle Schritte. Die IT-Abteilung spart wertvolle Zeit bei alltäglichen Aufgaben und gewinnt somit die Freiheit, sich mit neuen Projekten zu befassen.

Diese Flexibilität und die damit gewonnene Freiheit gefällt vielen.

Wenn Sie die FrOSCon verpasst haben, schauen Sie doch einfach dieses Jahr bei unserem Auftritt auf der Business-Messe it-sa in Nürnberg vorbei!

Freunde

Am Vorabend des Aufbaus schlenderten wir über die Ausstellung und stellten fest, dass noch nicht alle Stände aufgebaut hatte. Der Stand unserer Freunde von ownCloud war noch nicht aufgebaut. Dem konnten wir abhelfen: Vom ownCloud X Launchevent hatten wir noch ein Rollup in petto, das wir gleich dem Stand spendeten.

Sieht doch gleich viel besser aus!

Das ist Enterprise-taugliche Mehr-Faktor-Authentifizierung mit ownCloud!

So integriert sich privacyIDEA mit vielen verschiedenen Applikationen von CRM-Systemen, CMS, Ticketsystemen, VPN, Firewall, SSH und Desktop und hilft dabei sicherer, entspannter und befreiter auf die eigenen Daten zuzugreifen.

Skalierung

privacyIDEA skaliert von kleinen bis hin zu großen Installationen. Es lässt sich auf kleinen virtuellen Maschinen und in großen Clustern betreiben.

privacyIDEA skaliert von M über XL bis XXXL.

Vortrag

Am Sonntag Nachmittag hielten Friedrich Weber und Cornelius Kölbel dann den Vortrag zum neuen privacyIDEA LDAP Proxy. Der Mitschnitt ist bei Youtube verfügbar.

Abonnieren Sie den privacyIDEA Youtube Kanal oder den Newsletter der NetKnights.

About Enterprise File Encryption

This article was first published at owncloud.

Your Data is at risk. And thus is your personal life and your company’s values.
You avoid hackers, trade espionage and rogue governments getting your data by using your own cloud storage like ownCloud. Your data under your control.

But depending on where your storage is located some risks still remain. The connection to your ownCloud installation in the hosted datacenter is TLS protected. All data are encrypted on their transport to the datacenter. But within the datacenter your data is plain text.
You are using ownClouds integrated encryption? You even have the full disk encrypted using LUKS or similar methods? This is fine but only protects you from certain attacks like stealing the sole hard disk.
But if the attacker gains access to the very location where the actual encryption takes place, the encryption is useless, since this location also contains the encryption key! Thus, if the attacker has access to the datacenter or – more probably – is a rogue or bribed employee of the datacenter the attacker can get physical access to your encryption key and finally to your data.

This is why client side encrpytion is such a good idea. With client side encryption the data is encrypted on your own client. The key material is only available on your client, not on the ownCloud server. The data is sent already encrypted to the server. Not only is the transport layer encrypted using TLS but the payload itself within the TLS can not be read anymore.
The ownCloud server and the storage never sees any clear text data and never has access to the encryption key.
The tool cryptomator which was introduced in this[link] previous blog post works this way.

Requirements

But enterprise scenarios come with a longer requirements list than tools like the slick cryptomater can cover.
Even smaller companies have to comply with the requirements of the enteprrises if they are supplier for the bigger ones.
I have run several projects where supplying companies were confronted with the requirements for encrpytion and two factor authentication since they delivered to bigger enterprises, that simple defined those requirements. Let us take a look at the requirements when you run a company or bigger organization.

File Encryption

In such scenarios when encrypting data it is important to encrypt files. In contrast to full disk encryption and encrypted containers encrypted files can be moved around without breaking the encryption. Even the encrypting file system does not provide this sticky encryption. If the user moves the file to another disk or a USB stick, the file would not be encrypted anymore, since with full disc encryption and container encryption the encryption is bound to the storage and not to the data.
The data should not be decrypted when the file is moved. This is why we require to encrypt the files and keep them encrypted when moving the file to another locatoin.

Client Side Encryption

As mentioned in the beginning the files should be encrypted and decrypted on the client. This way only encrypted data is transferred via the network. The user can also move the files as in the previous requirement but most important the encryption gets independent from the storage location.
The administrator can access the file but can not read the data in the file. This way all backup mechanisms still work, but the data is persistently protected.

Groups

When working with data in a company users are usually working on projects with other colleages.
Thus several users need access to the encrypted data. The project leader or data owner might need to add other users to the group and grant them access to the encrypted data or withdraw this access again.

It is important to note, that usually not *the* administrator gives access to the data. Complying to the concept of duty of separation, the administrator may be responsible for providing the storage and taking care of the backup, but he might not be allowed, to read the data and probalby will not be allowed to decide who is allowed to read the data.

This leads us to the requirement for a bit more sophisticated key management.

Key Management

If files are encrypted with passwords then a password based key derivation function (PBKDF) is used to generate the encryption key. A badly implemented encryption would use this key to encrypt the file. This would result in the problem, that – if you change the password – the complete file needs to be decrypted with the old password and re-encrypted with the new password. This might be fine for one small file but totally fails with a complete directory, a harddisk or a huge storage.

When you look at encryption a multi-step encryption has proven to be sensible. Even in the case of a PGP encrypted Email, the email is for many reasons not encrypted with the public key of the recipient directly but with a symmetric data encryption key (DEK), which is unique to this email.
Only this DEK is encrypted with the public key of the recipient. This is called Key Encryption Key (KEK).

The other great thing when using a DEK and KEK is, that several users can have access to the same data with different passwords – or different KEKs. This way a user who has access to the data can also be allowed to grant access on the data to a new user. The software can access the DEK with the KEK of the old user and encrypt the DEK of the file with the KEK of the new user.

This way, each file has a list of KEK-encrypted DEKs attached to it. Thus an enterprise encryption software needs to allow adding users with their key encryption key to files.
Users need to have different roles like adding users to access groups or only being allowed to access the data.

(Of course you can not effectively avoid the user breach: The user who has been granted access to the data can go rogue and print the data, take a photograph or copy. If you want to tackle with this threat you need to think about implementing data leakage prevenion.)

So what the heck with the KEK?

You might use the latest and greatest symmetric unbreakable encryption algorithms for actually encrypting the data. But these are of no use, if the access to this encryption – usually the password – is week. An attacker would always target the KEK (a.k.a. Passwords) and not the DEK (The encryption itself).

Thus, another important requirement is not only to encrypt the data but also to protect the access to this encryption. A good way to do this is not to use a password based access but to use public key cryptography.
As mentioned with the PGP example, the KEK is the public key of the user. The DEK is encrypted with the public key.
The user has to provide his private key to decrypt the DEK to access the data.

Perfectly the private key is located on a smartcard, so that the private key can not (easily) be copied or stolen.
If the private key was initially created on the smartcard, you can in addition be sure that the private key was not stolen or copied.

Data Read Escalation

As we required earlier the administrator usually can not read the data and can not add users to the group of data users, who can read the encrypted data.
But in certain cases – when all users have lost their smartcard, forgotten their passwords, have quit the job – the company needs to be able to access the encrypted data without one of the originial users available.

In this case the encryption solution needs to provide a process with preferably 4 eyes principle to regain access.
4 eyes principle is important to increase the trust and allow full deniability for all participants.

Technicaly the key management can to this by adding a system-KEK or recovery-KEK to all files.

Hardware Security Modules

Besides using smartcards for the user’s KEKs, the support for hardware security modules can be a good idea. The HSM can be used to protect the system-KEK or recovery-KEK or to sign configuration data. Otherwise a user with the right to only read encrypted data could escalate his rights to „assign-new-users to the encryption group“ by flipping some bytes in the database.

Reencryption

We already said, that reencrypting the data is a bad idea and should be avoided. Nevertheless it can be necessary. E.g. if the symmetric encryption algorithm used to encrypt the files is know to have weeknesses. This is especially important if you need to upgrade the encrpytion algorithm.
In a worst case scenario the system- or backup-key could be compromized, then this keys need to be changed.
The solution should provide the possibility to reencrypt the data.

Possible Solutions

There is a quite nice long list of commercial products, which cover those requirements. Some are better and more convenient in smartcard support, some in group management and some in automation.
It is always a good idea, to identify your own needs and evaluate the right solution.
Most of the tools are products of companies located in Germany and thus comply to the (still) stirct data protection laws.

Why is there no open source?

Nevertheless there is no open source tool, which is capable of covering the requirements and competing with the commercial tools available. This might be due to the scratch-your-own-itch concept of open source development. Individuals start open source projects, which will provide a solution to their own problem. A perfect example is the tool cryptomator. It does a great job in file encryption and covers a lot of requirements but totally lacks the key management and because of this will only work for a single user, but not for project groups in a company.
Another reason might be, that the customers for such an enterprise file encryption tool in 95% of the cases runs Windows on their clients and may thus be used to install and use closed source software – so why should the software vendor bother about an open source busines model?

With the growing pressure of undemocratic survailance requests even by the German government the threat through backdoors and unpublished zero days increases dramatically. In a sensitive area like data encryption, where data obviously is to be protected from preying eyes, open source solutions can help to regain the trust in such software.
So I urge all open source companies with data storage centric products to think about enhancing their portfolio with an open source project for a trustyworthy, modern, enterprise ready file encryption solution. In my opinion this is not only a gap in the market but would also be a great help for a mature and democratic society.

,

ownCloud X Launch Event

Zwei-Faktor-Authentifizierung für ownCloud mit privacyIDEA.

Am 23. Mai 2017 fand in Köln das ownCloud X Launch Event statt. Die NetKnights GmbH war als Sponsor dort vertreten und ich selber hielt einen Vortrag über Zwei-Faktor-Authentifizierung – speziell mit ownCloud.

In den Pausen konnten die Besucher an den Ständen der Sponsoren vorbeischauen oder etwas zu Trinken oder zu Essen genießen.

Zwei-Faktor-Authentifizierung im ganzen Unternehmen

Die Gespräche mit den Interessenten zeigten erneut deutlich:

Der Wunsch nach Zwei-Faktor-Authentifizierung ist nicht isoliert auf eine Anwendung wie ownCloud zu betrachten sondern Teil einer übergeordneten Sicherheitsstrategie.

privacyIDEA bietet einen zentralen Authentifizierungs-Dienst der die ideale Ergänzung für das Identity-Management im Unternehmen ist. ownCloud kann mit Hilfe der privacyIDEA ownCloud App an privacyIDEA angebunden werden – doch genauso kann das Authentifizierungsobjekt des Benutzers für die Anmeldung an Firewall, VPN, CRM, CMS oder jedem anderen beliebigen TLA genutzt werden.

Möchten Sie gerne mehr erfahren, wie Zwei-Faktor-Authentifizierung auch in Ihrem Unternehmen sinnvoll umgesetzt werden kann?

Dann kontaktieren Sie uns!

Möchten Sie auf dem Laufenden bleiben? Dann abonnieren Sie unseren Newsletter!

,

privacyIDEA mit Open Source Business Award ausgezeichnet

Im Mai diesen Jahres haben wir privacyIDEA als Projekt bei dem Open Source Business Award eingereicht.

Am Mittwoch Abend wurden im Rahmen der Open!2016 Konferenz die Gewinner gekührt.

privacyIDEA belegt den ersten Platz beim Open Source Business Award

Die Spannung steigt! Schließlich wurde privacyIDEA auf die Bühne gerufen. Die hochkarätig besetzte Jury verleiht dem Open Source Projekt privacyIDEA den ersten Platz (in Gold 😉 beim OSBAR. 

Ich war in Stuttgart am Mittwoch Abend zugegen und konnte freudig den Preis entgegennehmen. Die Sponsoren Kopano, Nextcloud und Spreed unterstützen die Auszeichnung außerdem noch jeweils mit einem Sachwert. Das erstplatzierte Projekt darf sich über eine Spreedbox freuen, mit der sichere Webkonferenzen durchgeführt werden können.

Ausgezeichnete Sicherheit

Nicht nur wurden Projekte nach dem Innovations- und Reifegrad bewertet sondern vor allem auch nach dem Nutzen für Business-Anwender. Lange schien in der Öffentlichkeit die Bereitschaft, etwas für Sicherheit zu tun, ein Lippenbekenntnis zu sein.

Meine persönliche Interpretation der Auszeichnung ist, dass die Jury erkannt hat, dass durch die Verwendung einer Sicherheitslösung wie privacyIDEA eben durchaus ein Mehrwert für Unternehmen geschaffen wird – indem geheime Daten geschützt und Complience-Regeln eingehalten werden. Als Open Source Produkt, das unter der Kontrolle des Anwenders on Premise läuft, behält ein Unternehmen vollständig seine Identitätssouveränität.

Ihre Sicherheit

privacyIDEA ist ein System zur zentralen Verwaltung von Authentifizierungsobjekten zur Zwei- oder Mehr-Faktor-Authentifizierung. Das Open Source Produkt ist produktiv zuverlässig einsetzbar, für den Unternehmenseinsatz ist eine Enterprise Edition mit entsprechenden Subskriptionen/SLAs verfügbar.

,

Zukunftssichere Zwei-Faktor-Authentifizierung mit privacyIDEA

Seit einiger Zeit macht das NIST von sich Reden. Es aktualisiert seinen Digital Authentication Guideline.

Das NIST

Das NIST ist das National Institute of Standards and Technologies. Es gehört zum Handelsministerium der Vereinigten Staaten und legt Standards fest, an denen sich andere Behörden und Unternehmen orientieren oder nach denen sogar richten. Als ebenfalls physikalisches Labor geht es hier auch um Themen wie Erdbeben und Feuerschutzrichtlinien aber eben auch um Standards in der IT. So gehen die Verschlüsselungsprotokolle DES und AES auch aus die Mitarbeit des NIST hervor.

Digital Authentication Guideline

Die Verwendung von SMS für Authentifizierung wird von NIST als veraltet eingestuft.

Die Verwendung von SMS für Authentifizierung wird von NIST als überholt eingestuft.

Nun hat das NIST eine neue Vorabversion seiner Digital Authentication Guideline herausgebracht. Eine Richtlinie, die zum einen beschreibt, wie die Kritikalität verschiedener Anmeldesituationen in der IT zu bewerten sind aber dann auch konkrete Empfehlungen ausspricht, wie hier in den verschiedenen Sicherheitsstufen zu handeln ist. Das Thema Zwei-Faktor-Authentifizierung wird ins Feld geführt.

Interessant ist nun, dass im Draft SP800-63B explizit auf die Risiken von Out-Of-Band Authentifizierung mit SMS hingewiesen wird und in Abschnitt 5.1.3.2 sogar die Verwendung von SMS als überholt eingestuft wird.

OOB using SMS is deprecated, and may no longer be allowed in future releases of this guidance.

Authentifizierungsverfahren nicht für die Ewigkeit

Nun müssen wir nicht über SMS herziehen. Es sollte uns aber bewusst machen, dass auch kein Authentifizierungsverfahren für die Ewigkeit gemacht ist. Das Verfahren, mit dem wir heute noch sehr glücklich sind, kann morgen für Hacker schon ein leichtes Spiel sein.

Hier müssen wir also einen viel allgemeineren Schluss ziehen: Die eingesetzten Authentifizierungsverfahren sollten austauschbar sein. Wir sollten nicht auf ein Produkt setzen, das ausschließlich auf ein Authentifizierungsverfahren – in diesem Fall  auf SMS – baut. Denn der Aufwand, nun wieder zu einem zeitgemäßen Authentifizierungsverfahren zu wechseln, bedeutet den kompletten Austausch eines solchen Produkts, des Backends nach einer langen Evaluierung eines geeigneten Herstellers und einer entsprechenden neuen Lösung.

Zukunftssicherheit mit privacyIDEA

Deswegen setzt die NetKnights GmbH auf privacyIDEA. privacyIDEA ist ein Authentifizierungssystem, das eine breite Anzahl an Token, Authentifizierungsgeräten und eben auch Authentifizierungsarten oder -protokollen unterstützt. Natürlich unterstützt privacyIDEA OTP per SMS oder Email. Aber eben auch Einmalpasswörter mittels Smartphone Apps, per Challenge Response, verschiedete OTP-Hardware-Token, Yubikeys und aber auch x.509-Zertifikate und SSH-Keys.

In diesem Fall kann ein Unternehmen, das privacyIDEA einsetzt, bei einer Veröffentlichung wie der des NISTs, entspannt neue Authentifizierungsgeräte an die Benutzer ausrollen, ohne die Software, den Hersteller und die Prozesse ändern zu müssen.

Auf diese Art und Weise spart privacyIDEA auch in Zukunft Verwaltungskosten und reduziert den TCO. Die NetKnights GmbH bietet verschiedene Support-Stufen für privacyIDEA, berät Sie bei der Integration in Ihr Netzwerk und liefert entsprechende Token-Hardware.

Sprechen Sie uns an.

 

,

privacyIDEA bewirbt sich für den Open Source Business Award

OSBAR

Der Open Source Business Award (auch OSBAR) wird von der Open Source Business Alliance durchgeführt. Dabei werden Open Source Projekt und auch Ideen prämiert, die innovativ sind und einen entscheidenden Mehrwert für Unternehmen und Institutionen der öffentlichen Hand bieten.

privacyIDEA

Wir glauben, dass das Open Source Projekt privacyIDEA dies voll erfüllt. Gegenüber herkömmlichen OTP-Systemen setzt es viele, neue Ideen um und ermöglich den Anwendern so, individuelle und elegante Lösungen in ihrer Infrastruktur zu bauen.

Daher hat die NetKnights GmbH das Projekt privacyIDEA beim Open Source Business Award eingereicht. Hier können Sie die Einreichung lesen: privacyIDEA_OSBAR_2016.

,

Zwei-Faktor-Authentifizierung mit Event Handler Framework

privacyIDEA wird in der kommenden Version um ein Event Handler Framework erweitert.

Richtlinien für Zwei-Faktor-Authentifizierung

Das Zwei-Faktor-Authentifizierungssystem privacyIDEA lässt sich bereits über Richtlinien (Policies) detailliert konfigurieren und das Verhalten abhängig von vielen Rahmenbedingungen beeinflussen. So lassen sich mit Hilfe der Richtlinien unterschiedliche Szenarien abbilden und zu nahezu allen Herausforderungen eine Lösungen finden. Richtlinien verändern das Authentifizierungs- und Autorisierungsverhalten. Der Administrator kann beispielsweise verschiedene Sicherheitsstufen abbilden oder einfache Migrationen durchführen.

Event-Handler

Mit Hilfe der neuen Event-Handler eröffnen sich noch mehr Möglichkeiten. Die Richtlinien beeinflussen und verändern das Verhalten von privacyIDEA an sich. Der Event-Handler hingegen ändert nichts an dem Verhalten, sondern startet, abhängig von eintretenden Ereignissen, zusätzliche Aktionen, ohne das eigentliche Ereignis zu verändern.

event-handler-privacyidea

So wird in dem obigen Beispiel an das Ereignis „token_init“ (Ein Token wird für einen Benutzer ausgerollt) die Aktion „sendmail“ gehängt.

Um die Logik kümmert sich das Event-Handler-Modul „UserNotification“. Das Interessante ist nun, dass der Administrator ganz flexibel die entsprechende Aktion an jedes beliebige Ereignis hängen kann.

Weitere Event-Handler-Module

Als erstes Event-Handler-Modul wird „UserNotification“ ausgeliefert. Weitere Module sind denkbar und können schnell folgen. So könnte ein Modul „Enrollment“ für einen Benutzer einen speziellen Token-Typen ausstellen — als Reaktion auf ein beliebiges Ereignis.

Somit eröffnen sich ungeahnte Möglichkeiten, neue, kreative Konfigurationen und Workflows abzubilden. Einmal mehr beweist privacyIDEA, dass es ein modernes, innovatives und richtungsweisendes Authentifizierungssystem ist.

Abonnieren Sie unseren Newsletter, um immer auf dem Laufenden zu sein.

, ,

Migration einer proprietären OTP / Zwei-Faktor-Lösung

Leichte Migration eines bestehenden OTP-Systems zu privacyIDEA

Oftmals entscheiden sich Kunden, ihr bestehendes, proprietäre OTP-System zur Zwei-Faktor-Authentifizierung abzulösen. Dies hat verschiedene Gründe. Das bestehende System ist zu alt und es gibt keine Updates mehr. Gleichzeitig wird es zu unflexibel. Die für das System verfügbaren Token erfüllen nicht mehr die Anforderungen der heutigen Zeit. Unternehmen wachsen zusammen und jedes Unternehmen bringt seine eigene, proprietäre Lösung mit. Manchmal ist das bestehende System auch einfach zu teuer oder im Zuge der Vertrauens- und Überwachungsthematik möchte man lieber ein Open Source System einsetzen.

Dies sind Gründe, wieso sich Kunden für die Nutzung von privacyIDEA entscheiden.

privacyIDEA bietet schon heute verschiedene Möglichkeiten — bspw. mit den RADIUS Token, eine solche Migration sanft durchzuführen. Doch mit der Version 2.11 wird eine solche Migration nochmal leichter. privacyIDEA 2.11 wird am 18. März veröffentlicht. Wenn Sie auf dem Laufenden bleiben wollen, abonnieren Sie bitte hier unseren Newsletter.

Zentral definierte RADIUS-Server

In privacyIDEA 2.11 ist es möglich, an zentraler Stelle mehrere RADIUS-Sever zu konfigurieren. Dies ist vergleichbar mit der letztens eingeführten Möglichkeit, zentral SMTP-Server zu konfigurieren.

Zentral definierte RADIUS-Server

Zentral definierte RADIUS-Server „RSA SecurID“.

Diese RADIUS-Server können für den RADIUS-Token oder auch in den Richtlinien verwendet werden.

Bisher (bis einschließlich privacyIDEA 2.10) muss für jeden Benutzer in privacyIDEA ein RADIUS-Token ausgestellt werden. Dieser RADIUS-Token verweist auf den alten RADIUS-Server des abzulösenden OTP-Systems. Solange der Benutzer also noch keinen OTP-Token innerhalb von privacyIDEA hat, kann er sich noch immer mit dem alten Token authentisieren.

Eine Richtlinie für alle Benutzer

Ab Version 2.11 können die zentral definierten RADIUS-Server in den privacyIDEA-Richtlinien verwendet werden.

policy-radius-passthru

Der zentral definierte RADIUS-Server „RSA SecurID“ wird in der passthru-Policy verwendet.

Hierzu wurde die bereits existierende passthru-Richtlinie erweitert. Die passthru-Richtlinie greift, wenn ein Benutzer innerhalb von privacyIDEA noch keinen Token zugewiesen bekommt. Die Authentifizierungsanfrage wird dann an das LDAP oder AD weitergereicht oder – nun neu in 2.11 – an einen konfigurierten RADIUS-Server.

Das bedeutet, dass in einem sanften Migrationsszenario von Ihrem alten OTP-System hin zu privacyIDEA nur noch eine einzige Richtlinie zu definieren ist, und Sie nach und nach allen Benutzern einen neuen Token innerhalb von privacyIDEA ausstellen können!

Migrieren!

Das hier beschriebene Szenario funktioniert problemlos für alle Systeme, die einen RADIUS-Server bereitstellen. Darunter Systeme wie Kobil, RSA SecurID, SafeNet, Vasco (in alphabetischer Reihenfolge).

Sprechen Sie uns an!

,

Benutzerregistrierung mit privacyIDEA – Der Blick hinter die Kulissen

Die Entwicklungen für privacyIDEA 2.10 rund um das Thema Benutzerregistrierung laufen auf Hochtouren.

Benutzerregistrierung in privacyIDEA.

In der Version 2.10 von privacyIDEA wird es die Möglichkeit geben, dass sich neue Benutzer registrieren. Im Blog von privacyIDEA.org finden sich weitere technische Details.

Neue Szenarien mit Benutzerregistrierung

Mit der Möglichkeit, dass sich Benutzer am privacyIDEA-System selber registrieren können, ergeben sich neue Benutzungsszenarien für Zwei-Faktor Authentisierung.

Zwei-Faktor-Provider

Zwei-Faktor Authentifizierung kann nun also Benutzer angeboten werden, die vorher nicht bekannt sind. So kann bspw. ein Provider mit Hilfe einer privacyIDEA-Installation einen öffentlichen Zwei-Faktor-Dienst anbieten. Benutzer können sich somit frei an privacyIDEA registrieren, der Provider kann mit einem entsprechenden Abrechnungsmodell für den Benutzer eine monatliche Gebühr erheben. Der Benutzer kann ein Authentisierungs-Gerät aus der vom Provider vorgegebenen Liste wählen. Dies können klassische HOTP oder TOTP Token sein, Google Authenticator oder andere Apps oder U2F-Geräte wie der Yubikey oder NitroKey.

Die Authentifizierung kann der Provider über unterschiedliche Protokolle wie bspw. SAML, RADIUS oder die WebAPI anbieten.

Gast-Accounts

In Unternehmen oder Hotels können sich Gäste an einem privacyIDEA System registrieren, um einen zweiten Faktor auszurollen. Damit können sie bspw. für einen bestimmten Zeitraum Zugriff auf sensible Resourcen erhalten. Wenn sich ein externer Mitarbeiter registriert und einen zweiten Authentisierungs-Faktor im privacyIDEA erstellt hat, könnte das Unternehmen ihm mit diesem zweiten Faktor Zugriff auf schützenswerte Projektinformationen gewähren.

Neue Workflows

Auch innerhalb eines Unternehmens, einer Organisation oder einer Universität ermöglicht die Benutzerregistrierung neue Abläufe. Anstatt während des Rollout-Prozesses aktiv den Benutzern den Token zuzuweisen oder den Rolloutprozess lediglich an das Wissen des Domänenpasswortes zu binden, kann ein Mitarbeiter sich selber registrieren müssen. Durch den Registrierungsprozess wird er identifiziert und erhält seinen zweiten Faktor, den er dann bpsw. für den Remote-Zugriff mittels VPN nutzen kann.

Die Registrierung kann auf einen bestimmten Mitarbeiterkreis bspw. anhand der Email-Adresse beschränkt werden.

privacyIDEA Workshop

Über die Registrierung hinaus bietet privacyIDEA bereits eine Vielzahl an flexiblen Einsatzmöglichkeiten. Lernen Sie privacyIDEA besser kennen und sehen Sie, wie es in Ihrem Unternehmen die Anmeldeverfahren sicherer machen kann und wie Sie auf einfache Art und Weise Ihren Mitarbeitern einen zweiten Faktor ausstellen. Besuchen Sie hierzu im Januar das kostenlosen privacyIDEA-Webinar.