privacyIDEA 2.21 macht 2FA mit Smartphones sicherer

Heute wurde privacyIDEA 2.21 veröffentlicht. Pakete sind in den öffentlichen Launchpad-Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Über den Python Package Index kann privacyIDEA auf beliebigen Distributionen installiert werden.

Sicherer Rollout der Smartphone-App

Die zentrale neue Funktion in privacyIDEA 2.21 ist die Möglichkeit, eine Smartphone-App nun auf sichere Art und Weise an den Benutzer auszurollen. privacyIDEA unterstützt schon seit jeher Apps wie den Google Authenticator oder FreeOTP. Jedoch haben wir schon vor geraumer Zeit auf die Problematik hingewiesen, die sich ergibt, wenn man die von Google eingeführte Key-URI verwendet. Während des Rollout-Prozesses kann der Benutzer beliebig viele Kopien des Tokens anfertigen. Für Unternehmen, die diesen zweiten Faktor nutzen wollen, um Mitarbeiter eindeutig zu authentifzieren, ist das ein nicht zu vernachlässigendes Problem.

Das Smartphone dient vielen Benutzern als Authentifizierungsmerkmal.

2-Step-Enrollment in privacyIDEA 2.21

Mit privacyIDEA ist nun ein Rollout in zwei Schritten möglich. Dabei setzt sich der geheime Schlüssel, der für die Berechnung verwendet wird, aus einer Server-Komponente und einer Smartphone-Komponente zusammen. Benutzer oder Angreifer können nun nicht mehr durch bloßes Kopieren des QR-Codes eine 1:1-Kopie des Authenticators herstellen.

Hierfür wurde die Key-URI-Spezifikation erweitert. Der privacyIDEA Authenticator wird diese Funktionalität unterstützen. Nutzen Sie noch die Zeit am Beta-Test für den privacyIDEA Authenticator teilzunehmen!

Leichte Administration

Weitere Neuerungen machen dem Administrator das Leben leichter.

Die Tokendatenbank kann bei Bedarf in eine verschlüsselte PSKC-Datei exportiert werden. Diese lässt sich dann in ein anderes privacyIDEA-System oder auch in andere Systeme, die RFC6030 folgen, wieder importieren. Der Administrator kann außerdem über Richtlinien das WebUI leichter dem CI seines Unternehmens anpassen. Die Event-Handler haben viele Detail-Verbesserungen erfahren: Der Notification-Handler bietet weitere Platzhalter für den Nachrichtentext und der Federation-Handler kann auch administrative Anfragen weiterleiten.

Audit-Log aufräumen

Die Funktionalität zum Rotieren des Audit-Logs wurde erheblich ausgebaut. So kann der Administrator nun für spezielle Ereignisse unterschiedliche  Aufbewahrungszeiten definieren. Weniger interessante Einträge können schon nach wenigen Tagen gelöscht werden, während spezielle administrative Einträge länger aufbewahrt werden.

Bessere HSM-Unterstützung

Die Unterstützung von externen Hardware-Sicherheits-Modulen wurde verbessert. So wurde die Stabilität der Netzwerkverbindung zum HSM optimiert und wenn möglich das HSM auch konsequent für die Generierung von Zufallszahlen herangezogen.

Ein komplettes Changelog findet sich bei github.

In wenigen Wochen wird die NetKnights GmbH die privacyIDEA Enterprise Edition 2.21.1 rausbringen. Diese wird zusätzliche für RHEL/CentOS 7 und den Univention Corporate Server verfügbar sein.