Seit einiger Zeit macht das NIST von sich Reden. Es aktualisiert seinen Digital Authentication Guideline.
Das NIST
Das NIST ist das National Institute of Standards and Technologies. Es gehört zum Handelsministerium der Vereinigten Staaten und legt Standards fest, an denen sich andere Behörden und Unternehmen orientieren oder nach denen sogar richten. Als ebenfalls physikalisches Labor geht es hier auch um Themen wie Erdbeben und Feuerschutzrichtlinien aber eben auch um Standards in der IT. So gehen die Verschlüsselungsprotokolle DES und AES auch aus die Mitarbeit des NIST hervor.
Digital Authentication Guideline
Nun hat das NIST eine neue Vorabversion seiner Digital Authentication Guideline herausgebracht. Eine Richtlinie, die zum einen beschreibt, wie die Kritikalität verschiedener Anmeldesituationen in der IT zu bewerten sind aber dann auch konkrete Empfehlungen ausspricht, wie hier in den verschiedenen Sicherheitsstufen zu handeln ist. Das Thema Zwei-Faktor-Authentifizierung wird ins Feld geführt.
Interessant ist nun, dass im Draft SP800-63B explizit auf die Risiken von Out-Of-Band Authentifizierung mit SMS hingewiesen wird und in Abschnitt 5.1.3.2 sogar die Verwendung von SMS als überholt eingestuft wird.
OOB using SMS is deprecated, and may no longer be allowed in future releases of this guidance.
Authentifizierungsverfahren nicht für die Ewigkeit
Nun müssen wir nicht über SMS herziehen. Es sollte uns aber bewusst machen, dass auch kein Authentifizierungsverfahren für die Ewigkeit gemacht ist. Das Verfahren, mit dem wir heute noch sehr glücklich sind, kann morgen für Hacker schon ein leichtes Spiel sein.
Hier müssen wir also einen viel allgemeineren Schluss ziehen: Die eingesetzten Authentifizierungsverfahren sollten austauschbar sein. Wir sollten nicht auf ein Produkt setzen, das ausschließlich auf ein Authentifizierungsverfahren – in diesem Fall auf SMS – baut. Denn der Aufwand, nun wieder zu einem zeitgemäßen Authentifizierungsverfahren zu wechseln, bedeutet den kompletten Austausch eines solchen Produkts, des Backends nach einer langen Evaluierung eines geeigneten Herstellers und einer entsprechenden neuen Lösung.
Zukunftssicherheit mit privacyIDEA
Deswegen setzt die NetKnights GmbH auf privacyIDEA. privacyIDEA ist ein Authentifizierungssystem, das eine breite Anzahl an Token, Authentifizierungsgeräten und eben auch Authentifizierungsarten oder -protokollen unterstützt. Natürlich unterstützt privacyIDEA OTP per SMS oder Email. Aber eben auch Einmalpasswörter mittels Smartphone Apps, per Challenge Response, verschiedete OTP-Hardware-Token, Yubikeys und aber auch x.509-Zertifikate und SSH-Keys.
In diesem Fall kann ein Unternehmen, das privacyIDEA einsetzt, bei einer Veröffentlichung wie der des NISTs, entspannt neue Authentifizierungsgeräte an die Benutzer ausrollen, ohne die Software, den Hersteller und die Prozesse ändern zu müssen.
Auf diese Art und Weise spart privacyIDEA auch in Zukunft Verwaltungskosten und reduziert den TCO. Die NetKnights GmbH bietet verschiedene Support-Stufen für privacyIDEA, berät Sie bei der Integration in Ihr Netzwerk und liefert entsprechende Token-Hardware.
