Beiträge

Flexiblere 2FA an ownCloud

,

Mit der privacyIDEA ownCloud App in Version 2.5.1 ist nun eine flexiblere Authentifizierung an ownCloud mit einem zweiten Faktor möglich. Benutzer können auch sogeannte Challenge Response Token beliebig kombinieren. So kann sich ein Benutzer bspw. mit U2F-Token oder auch mit einem Email- oder SMS-Token anmelden. Dies kann interessant sein, da schwächere Anmeldeverfahren wie SMS gerne als temporäres Backup oder im Zuge eines Rollout-Prozesses verwendet werden.

Die privacyIDEA ownCloud App in Version 2.5.1 ist im ownCloud Marketplace verfügbar.

Für Kunden, die eine kritische Infrasturktur betreiben oder auf die verlässliche Funktion Ihrer ownCloud angewiesen sind, bieten wir Support und ein Service Level Agreement für die privacyIDEA ownCloud App.

/von

privacyIDEA 2.19.1 auf Univention Corporate Server verfügbar

,

Die Enterprise Version 2.19.1 von privacyIDEA ist nun auch auf dem Univention Corporate Server verfügbar. Mit der Version 2.19.1 vollzieht die NetKnights GmbH außerdem den Wechsel zur Unterstützung des Univention Corporate Servers 4.2. Kunden können somit leicht von einem UCS 4.1 mit privacyIDEA 2.18 auf den UCS 4.2 mit privacyIDEA 2.19.1 upgraden.

Neben den Verbesserungen im Univention Corporate Server 4.2 bringt auch privacyIDEA 2.19.1 weitere Verbesserungen mit. Dies sind unter anderem der generische Benutzer-Cache, der die Anmeldezeiten erheblich verkürzen kann und eine bessere Verwaltung von U2F-Geräten, die es dem Administrator erlaubt zu definieren, welche Geräte die Benutzer überhaupt registrieren und benutzen dürfen. Ein Token-Janitor ermöglicht es dem Administrator, verwaiste Token aufzufinden und zu deaktivieren oder zu löschen. Wir berichteten bereits allgemein über privacyIDEA 2.19.

Service Level Agreement und Subskriptionen

privacyIDEA auf dem Univention Corporate Server kann aus dem Univention App Center leicht und schnell installiert werden. Weitere Details und Test-Subskriptionen finden Sie auf unserer Produktseite. Die normalen Service Level Agreements für privacyIDEA erlauben außerdem die Nutzung von privacyIDEA4UCS.

/von

Zwei-Faktor-Authentifizierung an ownCloud mit modernen U2F-Geräten

,

Sichere Anmeldung an ownCloud

Zwei-Faktor-Authentifizierung an ownCloud mit modernen U2F-Geräten dank privacyIDEA

Nürnberg, Kassel – 06. Februar 2016. Das IT-Security Unternehmen NetKnights GmbH ermöglicht mit der Version 2.2 der privacyIDEA ownCloud App die Anmeldung an ownCloud mit U2F-Geräten. Somit ist der Zugriff auf ownCloud nur mit einem zweiten Faktor möglich. Unternehmen können die Anmeldung der Benutzer mit einem zweiten Faktor erzwingen und dadruch Sicherheitsrisiken weiter minimieren.

Mit der privacyIDEA ownCloud App können Unternehmen sicherstellen, dass Benutzer bei der Anmeldung an ownCloud einen zweiten Besitzfaktor vorweisen müssen. Nur dann erhalten die Mitarbeiter Zugriff auf die sensiblen Unternehmensdaten. Die Besitzfaktoren werden dabei zentral in privacyIDEA verwaltet. Dies können OTP-Token wie klassische Hardware-Schlüsselanhänger, Smartphone Apps wie FreeOTP oder Google Authenticator, SMS oder OTP-Karten sein.

In der neuesten Version 2.2 der privacyIDEA ownCloud App können sich die Benutzer nun auch mit U2F-Geräten wie dem Yubikey 4 authentisieren. Das entsprechende U2F-Gerät wird entweder vom Administrator oder vom Benutzer zentral in privacyIDEA registriert und steht danach sofort für die Anmeldung an ownCloud zur Verfügung.

Der Vorteil für Unternehmen liegt hierbei auf der Hand. Alle Authentisierungs-Geräte stehen unter der zentralen Kontrolle des Authentisierungssystems und die Nutzung durch die Benutzer folgt fest definierten Richtlinien. Somit lassen sich auch die strengsten Compliance-Anforderungen umsetzen.

Über ownCloud

ownCloud ist die offene Plattform für die digitale Zusammenarbeit. ownCloud ermöglicht den bequemen Zugriff auf Dateien unabhängig von deren Speicherort oder dem verwendeten Gerät und steigert dadurch sowie durch eine Vielzahl kollaborativer Funktionen die Produktivität. Dabei können die Anwender selbst bestimmen, welche Daten in welche Cloud verlagert werden und welche im Unternehmen verbleiben (On-Premises). Gleichzeitig bietet ownCloud volle Kontrolle und Transparenz bei der Verwaltung sensibler Daten. Durch die Einbindung in bestehende sicherheits- und compliancekonforme Systeme können vorhandene Geschäftsprozesse weiter genutzt werden. Möglich wird dies durch die hohe Flexibilität von ownCloud auf Basis einer offenen, modularen Architektur mit vielfältigen Erweiterungsmöglichkeiten und einzigartigen Funktionen für die Modernisierung der Dateninfrastruktur.

Weitere Informationen unter http://www.owncloud.com/de.

Über NetKnights GmbH und privacyIDEA

Die NetKnights GmbH, Kassel, ist ein unabhängiges IT-Security-Unternehmen, das Dienstleistungen und Produkte aus den Bereichen starke Authentisierung, Identitätsmanagement
sowie Verschlüsselung anbietet. Die NetKnights GmbH stellt das Core-Entwickler-Team für die
modulare Authentifizierungslösung privacyIDEA, die sich auf einfache Weise in bestehende IT-
Infrastrukturen integrieren lässt. privacyIDEA hat als Open-Source-Software kein herstellerbestimmtes End-of-Life und lässt sich damit auf unbegrenzte Zeit nutzen. Für den
kritischen Einsatz von privacyIDEA in Unternehmen bietet die NetKnights GmbH eine Enterprise
Edition mit verschiedenen Subskriptions- und Support-Stufen an.

Weitere Informationen unter https://netknights.it.

 

/von

Webcast zu Single Sign On mit Zwei-Faktor Authentisierung

,

Single Sign On

In einem Webcast am Freitag zeigt Cornelius Kölbel, wie Single Sign On mit Zwei-Faktor-Authentifizierung auf dem Univention Corporate Server privacyIDEA-200pxumgesetzt werden kann. privacyIDEA bindet sich dabei an den SAML Identity Provider des Univention Corporate Servers an. Nun können sich Mitarbeiter gegen SAML mit einem bestehenden zweiten Faktor authentisieren, der von privacyIDEA verwaltet werden kann.

Der Zweite Faktor

Der zweite Faktor kann, wie bei privacyIDEA üblich ein normaler OTP-Token, ein Yubikey oder eine Smartdisplayer OTP-Karte sein. Es werden aber ebenso Challenge Response Mechanismen wie der Versand per Email oder SMS unterstützt. Interessant ist vor allem die Nutzung eines U2F-Tokens. Denn Mitarbeiter können ein und denselben U2F-Token sowohl bei privacyIDEA für den Single Sign On aber ebenso bei jedem anderen Webdienst (wie Google oder Github) registrieren. So kann ein Unternehmen die Akzeptanz für den zweiten Faktor bei den Mitarbeitern nachhaltig steigern.

Webcast

Melden Sie sich noch heute zu diesem spannenten Webcast am Freitag 19.02.2016 um 10 Uhr an.

/von

privacyIDEA SAML Komponente für Univention Corporate Server

Die privacyIDEA SAML Komponente für den Univention Corporate Server steht in einer aktualisierten Version bereit.

Zwei-Faktor-Authentifizierung mit U2F

Mit privacyIDEA SAML ist es möglich, Single Sign On am Univention Corporate Server mit zwei Faktoren durchzuführen. Neu ist außerdem, dass nun auch die Authentisierung mit einem U2F-Token möglich ist.

Dieses Video ansehen auf YouTube.
/von

privacyIDEA 2.8.1 auf Univention Corporate Server verfügbar

privacyIDEA 2.8.1 ist nun auf dem Univention Corporate Server verfügbar. Der Schwerpunkt liegt „Fuzzy Authentication“, auf einer verbesserten U2F-Unterstützung und verbesserten SSO-Eigenschaften.

Fuzzy Authentication

privacyIDEA-200pxFuzzy Authentication ist eine Idee, die mehr und auch weichere Kriterien in die Authentifizierungsentscheidung mit aufnimmt. Die ersten Merkmale, die nun implementiert sind, sind die Anzahl der durchgeführten Authentifizierungen. So kann die Anzahl der erfolgreichen Anmeldevorgänge innerhalb eines gewissen Zeitraums begrenzt werden. Auch die Anzahl der fehlgeschlagenen Anmeldevorgänge kann begrenzt werden. Diese Einstellungen können zu einem besseren Brute-Force-Schutz beitragen.

Wenn man weiß, dass ein Mitarbeiter sich nur einmal morgens anmeldet, so kann man bspw. nur eine erfolgreiche Anmeldung pro Stunde zulassen.

Auch lässt sich die maximale Zeit definieren, die zwischen erfolgreichen Anmeldeprozessen liegen darf.

So kann man sicherstellen, dass mindestens einmal pro Woche oder einmal pro Monat eine Anmeldung durchgeführt wird. So kann verhindert werden, dass unkontrolliert Token „verwaisen“. Es kann ansonsten Token geben, an die keiner mehr denkt, die aber immer noch gültig und benutzbar sind. Hiermit lässt sich verhindern, dass solche Token, die schon seit Monaten in einer Schublade liegen, plötzlich von unautorisierten Personen verwendet werden können.

Neue Funktionalitäten

  • Die U2F-Unterstütung wurde verbessert. Trusted Facets können definiert werden.
  • Challenge Response und U2F für SAML wurden hinzugefügt.
  • Das WebUI unterstützt nun Themes.
  • Am WebUI kann man sich mit HTTP Basic Auth und REMOTE_USER anmelden.
  • Fuzzy Authentication: Zeit und Anzahl der Authentisierungsversuche können beschränkt werden.

Erweiterungen

  • Die „Mangle“ Richtlinie kann nun auch für SSH Keys angewendet werden.
  • Das ownCloud plugin unterstützt nun Realms.
  • Der SQLResolver unterstützt nun Drupal Passwörter.
  • Während des Rollouts des Tokens kann der Gültigkeitszeitraum angegeben werden.
  • Der Standard-Typ des auszurollenden Tokens im WebUI kann angegeben werden.
  • Der LDAP-Resolver unterstützt nun LDAP Scopes.

Univention Summit 2016

univention_summit_2016_logoDie NetKnights GmbH wird am 21. Januar 2016 auf dem Univention Summit in Bremen vertreten sein. Dort wird Cornelius Kölbel auch einen Vortrag über privacyIDEA halten. Am Demo-Point können Sie ein persönliches Gespräch suchen und finden.

Kommen Sie und erfahren Sie Hintergründe und Pläne für das Jahr 2016.

 

/von

privacyIDEA 2.8 mit SSO und U2F

One key to rule them all...

One key to rule them all…

privacyIDEA 2.8 ist nun erschienen. Der Schwerpunkt liegt auf U2F und SAML.

Features

U2F Authentifizierung an anderen Webseiten und Diensten

privacyIDEA wurde im Bereich U2F nachhaltig erweitert. Es unterstützt nun die „Trusted Facets“. D.h. mit einem U2F Gerät, das man bei privacyIDEA zentral registriert hat, kann man sich an beliebigen Hosts im Netzwerk authentisieren.

U2F und Single Sign On

Das simpleSAMLphp Plugin wurde erweitert, so dass es nun auch U2F unterstützt. Somit kann man nun den U2F Token zentral bei privacyIDEA registrieren und sich dann an simpleSAMLphp anmelden, um für alle angeschlossenen Dienste ein Single Sign On zu erreichen.

Außerdem wurde das simpleSAMLphp Plugin um die Unterstützung für Challenge-Response-Token erweitert. Somit können nun auch SMS und Email, aber auch HOTP und TOTP im Challenge Response Mode verwendet werden.

Web UI Theme

Nun können eigene CSS definiert werden, um das Look and Feel des Web UI anzupassen. Dabei gehen diese Änderungen nach einem Update nicht mehr verloren.

Anmeldung mit HTTP Basic Authentication

Benutzer können sich nun mit Basic Authentication bzw. REMOTE_USER an dem Web UI anmelden. Somit lassen sich alle Apache Auth Plugins verwenden. Mit Hilfe des Shibboleth Plugins kann am WebUI auch SSO umgesetzt werden.

Fuzzy Authentication

Nachdem die Fuzzy Logic schon vor Jahren bei den Waschmaschinen Einzug gehalten hat, startet privacyIDEA mit den ersten Umsetzungen für Fuzzy Authentication. Die Idee ist dabei, die Authentifizierung von weiteren, eher weichen Faktoren abhängig zu machen.

In der Version 2.8 gibt es drei neue Richtlinien, die in diese Richtung gehen: auth_max_success, auth_max_fail und last_auth.

Mit auth_max_fail lässt sich bspw. festlegen, wieviele fehlerhafte Anmeldeversuche innerhalb eines Zeitraums erlaubt sind. Werden bspw. 3 fehlerhafte Anmeldeversuche in 5 Minuten erlaubt, so wird ein vierter Anmeldeversuch innerhalb der 5 Minuten nicht gelingen, selbst wenn die richtigen Credentials geschickt werden. Dies erhöht den Schutz vor Brute-Force-Angriffen.

Mit last_auth lässt sich verhindern, dass brachliegende Accounts oder Token missbraucht werden können. Wenn bspw. ein Token länger als ein definierter Zeitraum nicht mehr benutzt worden ist, so kann dieses Gerät für die Anmeldung nicht mehr verwendet werden.

In großen Installation kann es vorkommen, dass nicht ersichtlich ist, welcher Benutzer mit welchen Token noch aktiv ist oder aus der Organisation ausgeschieden. Dies führt zu Authentisierungsdevices, die technisch noch eine Anmeldung ermöglichen würden, aber eben vom Benutzer wahrscheinlich nicht mehr kontrolliert werden.

Erweiterungen

  • Die „Mangle“ Richtlinien lassen sich nun auch auf SSH Keys anwenden.
  • Das ownCloud Plugin wurde um die Unterstützung für Realms erweitert.
  • Der SQL Resolver unterstützt nun Drupal Passwörter.
  • Beim Rollout eines Tokens kann direkt der Gültigkeitszeitraum  angegeben werden.
  • Der Token-Typ, der zum Rollout in dem Web UI vorbelegt ist, kann festgelegt werden.
  • Der LDAP Resolver unterstützt nun LDAP Scope.

Fehlerbehebungen

  •  Failcounter Reset bei Challenge Response Token.
  • Die irreführenden Fehlermeldungen über existierende Tabellenspalten bei der Installation wurden beseitigt.
  • Das inkonsistente Verhalten der TLS Checkbox bei den Email-Token-Settings wurde korrigiert.
  • Der fehlerhafte Test in den Token-Details der TOTP Token wurde korrigiert.
  • Das Laden der SMS-Token-Settings wurde korrigiert.

privacyIDEA kann von den üblichen Quellen bezogen werden.

Bei Fragen, wie Sie ein modernes Zwei-Faktor-Authentifizierungs-System in Ihrem Netzwerk einbinden können, sprechen Sie uns einfach an.

/von

U2F im Unternehmenseinsatz

Universal 2nd Factor ist ein von der FIDO Alliance spezifiziertes Protokoll, bei dem die Anmeldung an einer Webseite um einen zweiten Faktor — konkret einen Hardware-Besitz — ergänzt wird.

Die FIDO Alliance

In der FIDO Alliance engagieren sich große Player mit einer großen Benutzeranzahl wie Google und Paypal und klassische Hardwarehersteller wir RSA, Gemalto, Feitian und Yubico. Die Masse der Benutzer bei Google und Paypal sind überwiegend denzentrale, nicht organisierte Endanwender.

Das U2F Protokoll

Security-Key-by-Yubico-in-USB-Port-on-Keychain

Yubico U2F Yubiky

Die Idee bei U2F ist, dass ein Benutzer lediglich ein Hardware-Gerät hat, mit dem er sich ausweisen kann. Dazu registriert er dieses Gerät an den Webdiensten und Portalen, die das U2F Protokoll unterstützen. Das besondere hierbei ist, dass die einzelnen Webdienste nichts voneinander wissen. D.h. der Webdienst B weiß nicht, dass das gleiche Gerät bei Webdienst A registriert wurde. Dies soll die Anonymität des Endanwenders sicherstellen und die komplette Unabhängigkeit zwichen den einzelnen Webdiensten gewährleisten.

U2F ist also ein Protokoll für eine denzentrale Authentifizierung von Endanwendern.

Die Registrierung und Authentifizierung

Um dies zu ermöglichen, muss der Benutzer an jedem Webdienst, das Gerät registrieren. Dabei wird ein asymmetrisches  Schlüsselpaar erzeugt. Der öffentliche Schlüssel wird mit weiteren Meta-Informationen bei dem Webdienst gespeichert.

Wenn nun der Benutzer sich später an dem Webdienst authentisieren möchte, kann der Webdienst eine Challenge zusammen mit den Metainformationen an das U2F-Device senden. Die Authentifizierung erfolgt als Challenge-Response-Verfahren mit dem asymmetrischen Schlüsselmaterial.

Wieviele Schlüsselpaare passen auf den Yubikey?

Unendlich viele. Wenn der Yubikey bei der Registrierung das Schlüsselpaar erzeugt, speichert er den privaten Schlüssel nicht ab. Sondern er generiert das Schlüsselpaar aus einem Masterkey, der fest auf dem Yubikey gespeichert ist.

In die Generierung fließen außerdem die Metainformationen mit ein. Allem voran die sogenannte AppId, die im wesentlichen der URL des Webdienstes entspricht. Hierzu später mehr.

D.h. wenn der Webdienst die Challenge und die Metainformationen an das U2F-Device sendet, kann der Yubikey daraus mit dem fest gespeicherten Masterkey wiederum den speziellen, privaten Schlüssel für diesen Webdienst berechnen und die Challenge korrekt beantworten.

U2F im Unterschied zu klassischen 2FA

OTP Authentifizierung

Die Authentifizierung mit Einmalpasswörtern setzt auf symmetrische Kryptographie. Außerdem wird für die Authentifizierung mit Einmalpasswörtern ein Backend benötigt, das den gemeinsamen, symmetrischen Schlüssel kennt. Will man sich mit Einmalpasswörtern an mehreren Webdiensten anmelden, so benötigt man entweder eine zentrale Authentifizierungsinstanz, die die symmtrischen Schlüssel kennt, oder man benötigt für jeden Webdienst ein eigenen OTP-Token.

Eine Weile sind verschiedene Anbieter den zweiten Ansatz gefahren. Bei allen möglichen Webdiensten konnte man sich einen Google Authenticator — speziell bei diesem Webdienst — ausrollen. Die Google Authenticator App quillt über mit Profilen unterschiedlicher Webdienste. Der Benutzer muss in der langen Liste der Profile, jeweils im richtigen Moment das richtige finden.

Mit einem U2F-Token ist das nicht nötig. Der Benutzer hat nur ein Gerät und wo er sich mit diesem Gerät überall registriert hat, ist im Endeffekt egal. Die Anzahl der registrierten Webdienste beeinträchtigt die Usability nicht.

Authentifizierung mit Smartcard

Eine Authentifizierung mit einer Smartcard arbeitet genau wie U2F mit einem asymmetrischen Schlüsselpaar. Der große Nachteil der Smartcard ist aber die Notwendigkeit eines Treibers. Nicht zuletzt ist das ein entscheidender Grund, weshalb in den vergangenen Jahren OTP ein solches Revival erlebt hat. Gerade im B2C bzw. Endanwender-Bereich ist es undenkbar, von Benutzern die Installation eines Treibers zu fordern.

Das U2F Protokoll wird mittels einer Javascript Bibliothek, die der jeweilige Webdienst einbinden muss, bereitgestellt.

Die Nutzung des USB-basierten U2F-Tokens funktioniert zur Zeit allerdings lediglich im Chrome Browser. Andere Browser sollen folgen.

U2F im Unternehmenseinsatz

U2F ist ein Protokoll, das deutlich für den Endanwender-Bereich gedacht ist. Es ist dezentral. Es schottet die einzelnen Webdienste gegeneinander ab. Der Benutzer kann bzw. muss den U2F-Token selber registrieren.

Wenn man sich die Player vom Anfang anschaut, dann macht auch dies Sinn. Die FIDO Alliance Mitglieder kommen zum größten Teil aus dem Endanwender-Markt. Ob Google, Mastercard, American Express. D.h. per se ist U2F nicht für den Unternehmenseinsatz entworfen.

Die charmante Handhabung bei der Anmeldung und der vergleichsweise niedrige Preis der Hardwaregeräte lassen uns aber trotzdem ein zweites mal über den Unternehmenseinsatz nachdenken.

Die AppId und Trusted Facets

Die oben erwähnte AppId ist im wesentlichen die URL. Anhand derer wird das für diesen Webdienst gültige Schlüsselpaar erzeugt bzw. später identifiziert. D.h. andere Webdienste mit anderen URLs müssten selber ein Schlüsselpaar registrieren. Da aber manche Anbieter wie https://google.com, https://maps.google.com, https://docs.google.com unter unterschiedlichen URLs mehrere Webdienste bereitstellen, für die der Anwender nicht jeweils wieder seinen U2F-Token registrieren soll, gibt es das Konzept der „Trusted Facets“. Hier kann definiert werden, dass ein einmal registrierter U2F-Token für spezielle Subdomains bzw. Hosts innerhalb der gleichen Domain verwendet werden darf.

D.h. der U2F-Token, der einmal für https://google.com registriert wurde kann außerdem auf https://maps.google.com und https://docs.google.com ohne erneute Registrierung verwendet werden.

Im Unternehmenseinsatz kommt man um die Nutzung der „Trusted Facets“ nicht umhin. Denn kein Unternehmen erwartet von seinen Benutzern, dass er sein Authentifizierungs-Device an https://crm.example.com, https://portal.example.com und https://vpn.example.com registrieren soll. Mit den „Trusted Factes“ lässt sich eine einmalige Registrierung realisieren.

Grenzen der Trusted Facets

Das Leben im Unternehmen gestaltet sich aber oft nicht so geradlinig. Innerhalb des Unternehmensnetzwerks sind manche Resourcen evtl. über andere Domainnamen als extern erreichbar. Manche Unternehmen verwenden intern bspw. eine Domain wie example.intranet oder example-intern.com, währen sie extern example.com verwenden.

Das CRM, das innerhalb des Unternehemsnetzwerk steht, ist also über https://crm.example-intern.com erreichbar, während der VPN-Zugang über https://vpn.example.com läuft. Die Trusted Facets erlauben aber nicht, eine andere Domain als vertrauenswürdig anzugeben. D.h. mit einem U2F-Token, der an https://example.com registriert wurde, kann man sich nicht an https://…example-intern.com anmelden. In dieser Domäne wäre eine erneute Registrierung nötig.

Zentrales Rollout

privacyIDEA-200pxWeiterhin will man im Unternehmensumfeld die Verteilung von Authentifizierungsgeräten zentral kontrollieren und nicht unbegrenzt und unkontrolliert dem Benutzer überlassen. Hierzu unterstützt ein Management-System wie privacyIDEA die Registrierung von U2F-Token nicht nur durch den Anwender, sondern auch durch den Administrator bzw. den Helpdesk. So können U2F-Geräte zentral und kontrolliert für die Mitarbeiter im Unternehmen ausgerollt bzw. registriert werden.

Der Masterkey

Schließlich gibt es bei den U2F-Geräten weiterhin einen Punkt, über den man sich im Klaren sein muss. Das Schlüsselmaterial. Zwar wird bei der Registrierung das asymmetrische Schlüsselpaar für den jeweiligen Webdienst erzeugt. Allerdings passiert dies auf Basis des Masterkeys. Dieser wurde vom Hersteller in einer konktrollierten Umgebung auf dem U2F-Token erzeugt. Es ist nicht vorgesehen, den Masterkey selber zu erzeugen. An anderer Stellen hatten wir bereits über die Risiken, das eigene Schlüsselmaterial nicht selber zu erzeugen, berichtet.

Die Argumentationslinie bei U2F ist hierbei folgende. Das Gerät schickt bei der Registrierung ein sogenanntes „Attestation Certificate“ — ein Beglaubigungszertifikat. Dieses Zertifikat soll gegenüber dem Registrar nachweisen, dass es sich um ein bestimmtes Gerät einer gewissen Klasse handelt. Somit könnte der Registrar sicherstellen, dass bspw. nur Geräte des Herstellers A registriert werden dürfen, weil diese vermeindlich einen höheren Sicherheitsstandard haben. D.h. durch das Beglaubigungszertifikat ist somit auch nachgewiesen, dass dies ein Gerät des Herstellers A ist und dieses Gerät nach gewissen Sicherheitsstandards erzeugt und initialisiert worden war. Könnte nun ein Anwender oder Unternehmen ein U2F-Token selber initialisieren, so wäre das Beglaubigungzertifikat nutzlos, da für den Registrar nicht mehr ersichtlich wäre, mit welchen Sicherheitsstandards der Token initialisiert wurde.

Hier muss jeder für sich abwägen, ob der Einsatz von vorinitialisierten U2F-Token im Unternehemsumfeld eine Option ist. Yubikeys im OTP- oder Challenge-Response-Modus lassen sich mit privacyIDEA initialieren, so dass Sie die Wahl zwischen U2F, OTP und Challenge Response haben.

 

 

/von

privacyIDEA 2.7 mit U2F auf Univention Corporate Server

Logo_UCS_certified

privacyIDEA ist in der Version 2.7 nun auch für den Univention Corporate Server verfügbar.

Die zwei großen Neuerungen sind die Unterstützung von U2F-Token wie dem Yubikey und die Signatur der JSON API.

Der U2F Yubikey kann für Benutzer ausgerollt werden und so können sich Benutzer (auch Administratoren) mit dem U2F Token einfach, sicher und schnell am Web UI anmelden.

Weitere kleinere Erweiterungen sind:

Beim Import von Token kann der Realm angegeben werden, in den die Token importiert werden sollen.

Das Audit-Log enthält die Information, wenn ein OTP-Wert ein zweites Mal verwendet wurde und eine Anmeldung deshalb fehlschlägt. Dies hilft dem Helpdesk, Benutzerprobleme bei der Anmeldung leichter zu erkennen und zu beheben.

privacyIDEA4UCS kann einfach aus dem Univention App Center installiert werden und ist somit schnell einsatzbereit.

 

/von