Beiträge

privacyIDEA Authenticator – der bessere Smartphone-Faktor

privacyIDEA Authenticator Smartphone App

Das Smartphone ist nicht mehr wegzudenken. Es ist zum täglichen Begleiter und zum digitalen Spiegelbild der eigenen Identität geworden.
Die gesellschaftlichen Implikationen zu erörtern ist heute nicht Thema. Wir nehmen einfach den Fakt wahr.

Das Smartphone als zweiter Faktor

Für viele Benutzer und Organisationen ist es deswegen auch naheliegend und attraktiv, das Smartphone für eine sichere oder auch bequemere Anmeldung zu nutzen. Mit Hilfe von Applikationen wie dem Google Authenticator soll das Smartphone zum zweiten Faktor bei der Anmeldung werden. Auch wenn wir das Smartphone nicht als einen sehr sicheren Faktor ansehen, so hat das privacyIDEA Authentication System seit jeher das Smartphone als zweiten Faktor unterstützt.

Werfen wir kurz einen Blick zurück auf die Sicherheit einer App wie dem Google Authenticator. Denn die Problematik, die beim Ausrollen dieses Faktors an die Benutzer entsteht, haben wir in einem früheren Blogbeitrag bereits diskutiert. Der einfache und aber auch sehr unsichere Rollout einer Smartphone-App hat uns lange umgetrieben und schließlich dazu bewegt, eine eigene Smartphone-App zu entwickeln. Wir stellen heute den privacyIDEA Authenticator vor, den wir ebenfalls transparent in einem Github-Repository entwickeln.

Sicherer Rollout

Das erste zentrale, neue Feature auf der langen Featureliste ist, den Rollout-Prozess der Smartphone-App sicherer zu machen. Dies erreicht der privacyIDEA Authenticator, indem beim Rollout auch das Smartphone selbst eine Schlüssel-Komponente generiert und der eigentliche OTP-Schlüssel aus der Server-Komponente und der Smartphone-Komponente zusammengesetzt wird.

Der QR-Code eines TOTP-Tokens kann jederzeit von beliebig vielen Smartphones gescannt werden und liefert immer den gleichen OTP-Wert.

Damit wird effektiv das leichte Kopieren des geheimen Schlüssels während des Rollouts verhindert. Durch das zu leichte Kopieren konnten Benutzer oder Angreifer einfach und unbemerkt das Authentifizierungsdevice und damit die Identität des Benutzers klonen. Mit der privacyIDEA Authenticator App gehört dies nun der Vergangenheit an.

Beta-Tests

Die privacyIDEA Authenticator App ist abwärtskompatibel zum Google Authenticator oder FreeOTP. Ihr volles Potential spielt der privacyIDEA Authenticator mit dem privacyIDEA Server ab Version 2.21 aus. Ab dieser Version ist der gerade beschriebene, sichere Rollout (Two-Step-Enrollment) möglich.

Die privacyIDEA Authenticator App befindet sich im Beta-Status. privacyIDEA 2.21 wird ebenfalls diesen Monat veröffentlicht werden. Im Python Package Index bzw. im Developer PPA repository für Ubuntu 14.04LTS und 16.04LTS sind die Release Kandidaten bereits verfügbar.

Das privacyIDEA Server pre-Release kann installiert werden wie folgt:

pip install privacyidea==2.21dev2

oder die Repositories einbinden via

add-apt-repository ppa:privacyidea/privacyidea-dev

Mehr Infos zur Installation enthält die Online-Dokumentation.

Wer die privacyIDEA Authneticator App testen möchte, ist herzlich eingeladen, Kontakt mit uns aufzunehmen. Sie haben die Mögichkeit im Vorfeld vor dem Release Einfluss auf die App zu nehmen. Der privacyIDEA Authenticator ist für Android verfügbar. Die Installlation im Beta-Test erfolgt ganz normal über den Playstore, so dass keine Änderungen an ihrem Smartphone nötig sind.

Kontaktieren Sie uns noch heute für die Teilnahme am Beta-Test.

privacyIDEA 2.11 ermöglicht leichte Migration

Heute wurde privacyIDEA 2.11 veröffentlicht. Sie können privacyIDEA von Github herunterladen oder aus dem Python Package Index oder aus dem Launchpad-Repository auf Ubuntu 14.04 installieren.

Die Aktualisierung von privacyIDEA auf einer Ubuntu-Installation funktioniert einfach aus dem Launchpad-Repository heraus. Wenn Sie eine PIP Installation aktualisieren, achten Sie bitte darauf, dass für die neue Version eine neue Datenbanktabelle angelegt werden muss.

Migration alter OTP-Systeme

privacyIDEA 2.11 erleichtert die Migration eines alten, proprietären OTP-Systems nach privacyIDEA. Hierzu wurde die RADIUS passthru Richtlinie ergänzt. privacyIDEA kann die Authentifizierungsanfragen aller Benutzer, die noch keinen Token innerhalb von privacyIDEA haben, an einen externen RADIUS-Server weiterleiten. Dies geschieht völlig transparent und ist innerhalb einer Minute konfiguriert. Sobald ein Benutzer einen Token innerhalb von privacyIDEA zugewiesen bekommt, erfolgt die Authentifizierung innerhalb von privacyIDEA.

LDAP Erweiterungen

Der LDAP-Resolver unterstütz nun alle Sonderzeichen im Benutzernamen und auch im Passwort. Bei einem Active Directory mit Windows 2012 kann nun auch die objectGUID des Benutzerobjekts als UID verwendet werden.

Die Suche im LDAP erfolgt nun seitenweise. So können Sie alle Benutzer im LDAP-Verzeichnis auflisten.

Changelog

Das komplette Changelog finden Sie bei Github.

Service und Support

Kunden mit einem gültigen Supportvertrag erhalten Pakete für Ubuntu, Redhat/CentOS und später den Univention Corporate Server. Abhängig von der gebuchten Support-Stufe führt die NetKnights GmbH auch das Update für Sie durch.

Cebit 2016: Sicher und bequem mit Open Source

Cornelius Kölbel wird am Donnerstag, 17.032016 um 14:45 auf der Cebit einen Vortrag zur sicheren und bequemen Zwei-Faktor-Authentifizierung mit Open Source halten. Dabei geht es um die Kombination von Zwei-Faktor-Authentifizierung und Single Sign-On, um somit das Leben für die Benutzer einfacher zu gestalten und dennoch die Sicherheit zu erhöhen. Kommen Sie in Halle 12, B81 zum Stacking IT Stage bei DatacenterDynamics.

Sicherheit und Benutzerfreundlichkeit mit Open Source

Die Bequemlichkeit von Single Sign-On kombiniert mit der Sicherheit eines zweiten Faktors

Keiner merkt sich gerne die Unmengen an Passwörtern, denen wir heute ausgeliefert sind. Passwort-Manager – offline und online – sollen hier helfen.

Doch kein Unternehmen lässt seine Mitarbeiter gerne Passwörter von Unternehmensaccounts online bei Drittanbietern speichern. Als Unternehmen brauchen Sie die Kontrolle über den Authentifzierungs-Prozess. Single Sign-On kann hier Abhilfe schaffen. Auf dem Unternehmensdesktop sind dazu Schlagworte wie Kerberos und Active Directory bekannt. Aber das Leben und die Arbeit ist schon längst online ins Web gewandert. Immer mehr Aufgaben werden auch beruflich bei Diensten wie denen von Google oder Salesforce erledigt. An dieser Stelle kommt das Web Single Sign-On Protokoll SAML (Security Assertion Markup Language) ins Spiel. Das Unternehmen kann die Hoheit über die Benutzer-Authentifizierung behalten und der Anwender muss sich nicht nochmals anmelden um einen solchen Dienst zu nutzen. Mit Hilfe eines zweiten Besitz-Faktors kann die Anmeldesicherheit entscheidend erhöht werden. Der Benutzer erhält nur noch Zugriff, wenn er sein einziges Passwort kennt und einen konkreten Besitz vorweisen kann. Damit sind die Angriffsszenarien für Cracker und Industriespione erheblich aufwändiger geworden und Ihre Unternehmensdaten bleiben dort, wo sie sein sollen. In Ihrem Unternehmen.

Dieser Vortrag zeigt, dass sich ein solches Szenario flexibel, investitionssicher und backdoor-frei auch und vor allem mit Open Source umsetzen lässt.

NetKnights kombiniert Single Sign-on mit Zwei-Faktor-Authentifizierung

Einfache und sichere Anmeldung am Firmennetz, Webseite oder Kundenportal

Kassel, 11. Februar 2016. Sich auf komfortable, aber dennoch sichere Weise an einem PC, dem Unternehmensnetz oder einem Web-Portal anmelden zu können, ist ein Wunsch vieler IT-Nutzer und vieler IT-Verantwortlicher. Die NetKnights GmbH aus Kassel hat eine Lösung entwickelt, die diese Anforderung erfüllt. Sie kombiniert ein Single Sign-on-Verfahren (SSO) mit Zwei-Faktor-Authentifizierung. Single Sign-on macht die sichere Anmeldung einfacher, weil sich ein Nutzer nur einmal authentisieren muss, um auf unterschiedliche IT-Systeme oder Anwendungen zuzugreifen. Zwei-Faktor-Authentifizierung macht diese einmalige Anmeldung erheblich sicherer, da der Benutzer für die Authentifizierung eben einen zweiten Faktor – meist einen Besitz – vorweisen muss.

SSO mittels SAML

Ein Bestandteil der Lösung von NetKnights ist die aktuelle Version 2.10 von privacyIDEA in Verbindung mit dem privacyIDEA SAML-Plugin (Security Assertion Markup Language). privacyIDEA ist eine modulare Lösung für die Zwei-Faktor-Authentifizierung. Sie unterstützt nicht nur klassische OTP-Token (Einmal-Passwort) und Yubikeys, sondern auch SSH-Schlüssel, X.509-Zertifikate und U2F-Token (Universal Second Factor), etwa den Yubikey U2F oder Nitrokey U2F.

U2F-Token im Unternehmen und privat nutzen

Ein Vorteil von U2F-Token ist, dass ein Nutzer sie sowohl im Unternehmen als auch privat einsetzen kann. Somit kann er sich an IT-Systemen oder Online-Diensten anmelden. Diese doppelte Nutzung macht es Unternehmen leichter, ihre Mitarbeiter zu motivieren, solche Token zu verwenden.
Der U2F-Token wird in privacyIDEA für einen bestimmten Nutzer registriert. Weiterhin kann der User den Token auch bei anderen Diensten registrieren. Bei der Single Sign-on-Anmeldung steckt der Nutzer den registrierten U2F-Token einen USB-Port seines Rechners oder Tablets – fertig. Anschließend kann er sich mit diesem zweiten Faktor an Portalen anmelden oder über ein virtuelles privates Netz (VPN) auf das Firmennetzwerk zugreifen.

Details zu privacyIDEA

privacyIDEA lässt sich dank der modulare Struktur auf einfache Weise anpassen und um neue Typen von Token erweitern. Eine einfache REST-Schnittstelle ermöglicht es zudem, die Lösung ohne hohen Aufwand in bestehende Arbeitsabläufe einzubinden. Dadurch eignet sich privacyIDEA auch für heterogene und große Installationen, beispielsweise in Universitäten, Krankenhäusern und bei Service Providern.
privacyIDEA ist Open Source und ermöglicht es somit Unternehmen, die Software leicht zu auditieren und sich von der ordnungsgemäßen Funktion zu überzeugen.

Einsatzszenarien

privacyIDEA lässt sich auf beliebigen Linux-Distributionen installieren. Auch auf dem Univention Corporate Server (UCS) von Univention ist privacyIDEA im App Center vertreten. Daher kann die Lösung von NetKnights in einer Univention-Domäne in vielen Bereichen die Anmeldung um einen zweiten Faktor erweitern und das Sicherheitsniveau deutlich erhöhen. In diesem Fall wird das Single Sign-on am SAML-Identity-Provider durchgeführt, der auch im UCS zum Einsatz kommt.

privacyIDEA kommt für eine große Zahl von Anwendungsfällen in Betracht. Außendienstmitarbeiter können beispielsweise mithilfe der Lösung auf sichere Weise von unterwegs aus über ein VPN auf vertrauliche Informationen im Unternehmensnetz zugreifen. Kommt ihnen ihr Notebook oder das Passwort für das VPN abhanden, hat ein Angreifer dank der Zwei-Faktor-Authentifizierung dennoch keine Möglichkeit, sich Zugang zum Unternehmensnetzwerk zu verschaffen.

Auch der Zugriff auf Arbeitsplatzrechner und mobile Systeme lässt sich mit privacyIDEA absichern. Weiterhin kann die Lösung verschiedene Portale wirkungsvoll schützen. Beispiele dafür sind Kundenportale, Börsenhandelsplätze und Web-Portale, über die vertrauliche Informationen wie medizinische Daten eingegeben werden.

Web-Cast zu privacyIDEA und Single Sign-on

Am 19.02.2016 wird um 10 Uhr zu diesem Thema ein Webcast angeboten: „SSO und Zwei-Faktor-Authentifizierung auf dem Univention Corporate Server mittels privacyIDEA“. Über den Link können Sie sich für diesen Webcast registrieren.

Über NetKnights GmbH

Die NetKnights GmbH ist ein unabhängiges IT-Security-Unternehmen und ein Anbieter von Dienstleistungen und Produkten aus den Bereichen starke Authentisierung, Identitätsmanagement und Verschlüsselung. Gegründet wurde NetKnights im Mai 2014 in Kassel. Mit privacyIDEA hat NetKnights eine modulare Lösung für die Zweifaktor-Authentisierung entwickelt, die sich auf einfache Weise in bestehende IT-Infrastrukturen integrieren lässt. Für den Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH unterschiedliche Support-Stufen an.
Weitere Informationen unter www.netknights.it.

Pressekontakt

punktgenau PR
Christiane Schlayer
Fon +49 (0)911 9644332
Mobil +49 (0)179 5053522
christiane.schlayer@punktgenau-pr.de
www.punktgenau-pr.de

Kontakt zu Netknights

Netknights GmbH
Cornelius Kölbel
Mobil +49 (0)151 29601417
cornelius.koelbel@netknights.it
www.netknights.it

Benutzerregistrierung mit privacyIDEA – Der Blick hinter die Kulissen

Die Entwicklungen für privacyIDEA 2.10 rund um das Thema Benutzerregistrierung laufen auf Hochtouren.

Benutzerregistrierung in privacyIDEA.

In der Version 2.10 von privacyIDEA wird es die Möglichkeit geben, dass sich neue Benutzer registrieren. Im Blog von privacyIDEA.org finden sich weitere technische Details.

Neue Szenarien mit Benutzerregistrierung

Mit der Möglichkeit, dass sich Benutzer am privacyIDEA-System selber registrieren können, ergeben sich neue Benutzungsszenarien für Zwei-Faktor Authentisierung.

Zwei-Faktor-Provider

Zwei-Faktor Authentifizierung kann nun also Benutzer angeboten werden, die vorher nicht bekannt sind. So kann bspw. ein Provider mit Hilfe einer privacyIDEA-Installation einen öffentlichen Zwei-Faktor-Dienst anbieten. Benutzer können sich somit frei an privacyIDEA registrieren, der Provider kann mit einem entsprechenden Abrechnungsmodell für den Benutzer eine monatliche Gebühr erheben. Der Benutzer kann ein Authentisierungs-Gerät aus der vom Provider vorgegebenen Liste wählen. Dies können klassische HOTP oder TOTP Token sein, Google Authenticator oder andere Apps oder U2F-Geräte wie der Yubikey oder NitroKey.

Die Authentifizierung kann der Provider über unterschiedliche Protokolle wie bspw. SAML, RADIUS oder die WebAPI anbieten.

Gast-Accounts

In Unternehmen oder Hotels können sich Gäste an einem privacyIDEA System registrieren, um einen zweiten Faktor auszurollen. Damit können sie bspw. für einen bestimmten Zeitraum Zugriff auf sensible Resourcen erhalten. Wenn sich ein externer Mitarbeiter registriert und einen zweiten Authentisierungs-Faktor im privacyIDEA erstellt hat, könnte das Unternehmen ihm mit diesem zweiten Faktor Zugriff auf schützenswerte Projektinformationen gewähren.

Neue Workflows

Auch innerhalb eines Unternehmens, einer Organisation oder einer Universität ermöglicht die Benutzerregistrierung neue Abläufe. Anstatt während des Rollout-Prozesses aktiv den Benutzern den Token zuzuweisen oder den Rolloutprozess lediglich an das Wissen des Domänenpasswortes zu binden, kann ein Mitarbeiter sich selber registrieren müssen. Durch den Registrierungsprozess wird er identifiziert und erhält seinen zweiten Faktor, den er dann bpsw. für den Remote-Zugriff mittels VPN nutzen kann.

Die Registrierung kann auf einen bestimmten Mitarbeiterkreis bspw. anhand der Email-Adresse beschränkt werden.

privacyIDEA Workshop

Über die Registrierung hinaus bietet privacyIDEA bereits eine Vielzahl an flexiblen Einsatzmöglichkeiten. Lernen Sie privacyIDEA besser kennen und sehen Sie, wie es in Ihrem Unternehmen die Anmeldeverfahren sicherer machen kann und wie Sie auf einfache Art und Weise Ihren Mitarbeitern einen zweiten Faktor ausstellen. Besuchen Sie hierzu im Januar das kostenlosen privacyIDEA-Webinar.

 

OTP Starter Kit

youcandoit

Wir bieten nun OTP Starter Kits für privacyIDEA an. Ein Starter Kit beinhaltet alles, was Sie benötigen, um einfach und schnell mit Zwei-Faktor-Authentisierung mit privacyIDEA loszulegen.
Die Starter Kits gibt es mit verschiedener Token-Hardware. Das so installierte System können Sie sofort un unbegrenzt nutzen und ausbauen.

Lesen Sie mehr dazu auf der Produktseite der OTP Starter Kits.

OTP Anmeldung an Windows mit dem privacyIDEA Credential Provider

Um die Anmeldung an einem Windows-Desktop besser abzusichern, kann auch dort ein zweiter Faktor eingesetzt werden.

In diesem Beispiel wird der privacyIDEA Credential Provider verwendet, um die Anmeldung an einem Windows 8 Desktop nur zuzulassen, wenn der Benutzer im Besitz einer Smartdisplayer OTP-Karte ist.

Domänen-Setup mit Univention Corporate Server

In diesem Video wird ein Setup mit einem Univention Corporate Server genutzt. Der privacyIDEA Credential Provider kann natürlich genauso in einer nativen Windows-Domäne verwendet werden. Die OTP-Karte wird im privacyIDEA, das ebenfalls auf dem Univention Corporate Server läuft, verwaltet. Genauso können dort auch beliebige andere Authentifizierungs-Devices wie bspw. Yubikeys oder Google Authenticator verwaltet werden und somit zur Anmeldung am Windows Desktop genutzt werden.