:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/2b/8b2b54e445a1feb1e0c7e80adaa0f064/0112150345.jpeg "Im Security-Talk besprechen wir weit mehr als Pleiten, Pech und Patches. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/b1/19/b119dde55e2269c94ef94a6d1d0a291e/0114244104.jpeg "Der Erfolg eines Bug Bounty Programms hängt weitgehend von der Organisation der Zusammenarbeit mit den Forschenden ab. (Bild: Tobias - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/2b/d52bab1274ffd2ebf852bc5151087ce2/0114319310.jpeg "Schweden erlebte im Zusammenhang mit seiner NATO-Bewerbung im Mai einen DDoS-Angriff, der in 500 Gbit/s gipfelte. (Bild: metamorworks - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/c2/cac291e0070a2c8ed93aa4c2b15ced0c/0114113039.jpeg ""Daten sichern mit Daten - Die Zukunft der Cybersicherheit", ein Interview von Oliver Schonschek, Insider Research, mit Matthias Canisius von SentinelOne. (Bild: Vogel IT-Medien / SentinelOne / Schonschek)")
:quality(80)/p7i.vogel.de/wcms/8a/c9/8ac992219c3dea0e3a61db00f9cf4a94/0114320983.jpeg "Bundesinnenministerin Nancy Faeser (SPD) möchte unabhängig vom Spionage-Thema auch eine zu große Abhängigkeit von chinesischen 5G-Komponenten verhindern. (Bild: Artinun - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c8/2a/c82a7e10b02b1679f7eacdc8fa1dafec/0113847105.jpeg "Rubrik setzt bei „AI-Powered Cyber Recovery“ unter anderem auf generative KI. (Bild: Rubrik)")
:quality(80)/p7i.vogel.de/wcms/12/58/12582dfe400f011eb34437a6a7510c94/0114247209.jpeg "Cyberkriminelle nutzen immer häufiger verschlüsselten Datenverkehr um Unternehmen anzugreifen. Gigamons Precryption-Technologie deckt bisher verborgene Bedrohungen auf, einschließlich Lateral Movement, Malware-Verteilung und Datenexfiltration in virtuellen, Cloud- und Container-Anwendungen. (Bild: freshidea - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/82/91/8291aade8ce1ba7b0c9ca477cc338fba/0114233278.jpeg "Unternehmen sollten die im Artikel vorgestellten vier Prinzipien umsetzen, offener mit dem Thema Sicherheit umgehen und Informationen und Best Practices zu teilen, um die Sicherheit der gesamten Branche zu verbessern. (Bild: Gorodenkoff - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/c4/54c4a0adf74bd1c468477c6da476dff2/0114233608.jpeg "Penetationstests sind eine wichtige Grundlage für das Schließen von Sicherheitslücken. (Bild: Mediaparts - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a4/41/a441d1fcb6898f9bc0139d483077730b/0113477103.jpeg "Die Integration von Sicherheitsprozessen in den Software Development Lifecycle sollte mglichst transparent erfolgen. (© ipopba-stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/df/4d/df4dddc448214d8fcc5545d729fc566d/0114322223.jpeg "Digitale Identitäten können den Zugang in die digitale Welt erleichtern und auch Gegenstände identifizierbar machen. (Bild: vegefox.com - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/67/77/6777619429ac7c92cadc7368950ef7ac/0114229692.jpeg "Die neuen Tokentypen Tagespasswort und applikationsspezifisches Passwort in privacyIDEA 3.9 ermöglichen dem Administrator auch in heterogenen Umgebungen, die Authentifizierung an alten Applikationen zentral zu verwalten. (Bild: privacyIDEA)")
:quality(80)/p7i.vogel.de/wcms/3a/0e/3a0e510718ff64c8142c752d9244e514/0114089617.jpeg "Durch einen kompromittierten Microsoft-Account und einen ungeschützten Crash-Dump konnte die Hackergruppe Storm-0558 einen Master-Signatur-Schlüssel von Microsoft stehlen. Die Folgen sind gravierend. (Bild: Skórzewiak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a5/85/a585575bd16dcca383fb99f047ac6b97/0114320278.jpeg "Organisationen aller Art müssen sicherstellen, dass sie auf Security-Bedrohungen angemessen vorbereitet sind. (Bild: chinnarach - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/40/e0/40e0210cf7edf333e58492904af25b94/0112115131.jpeg "Business Continuity Management (BCM) ist ein ganzheitlicher Ansatz zur Fortführung der Geschäftsprozesse im Krisenfall. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/68/47/6847dbe6e975e7baac1f48295a15ef54/0112115142.jpeg "Anything-as-a-Service ist ein Sammelbegriff für Services als Dienstleistung aus der Cloud. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Benutzerverwaltung Flexible Authentifizierung in Web-Applikationen
Sichere Authentifizierung ist ein Muss bei der Entwicklung einer neuen Web-Applikation. Dies gilt für E-Shops und Dienstleistungsportale ebenso wie für Web-basierte Monitoring- oder Ticketing-Systeme.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/117800/117805/65.png "VIT_Logo_RGB_Full.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/c3/60c36cdf3aea0/sysob-logo-weiss-auf-o.png "sysob-logo-weiss-auf-o (sysob)"){kind=logo}
Passwörter werden heutzutage besonders gesichert, bevor sie in einer Datenbank abgelegt werden. In der Regel wird zunächst der Prüfwert (Hash) errechnet und um eine zufällige Zeichenfolge erweitert (Salt). Wer noch sicherer gehen möchte, reichert das Passwort sogar noch vor der Hash-Berechnung mit zufälligen Zeichen an (Pepper).
Doch manchmal – wie in unserem Fallbeispiel – bringt eine Web-Applikation auch ihre eigene, neue Benutzerverwaltung ins Spiel. Dabei sind die Benutzer im Unternehmen oder die Accounts der Kunden in der Regel aber bereits an anderer Stelle vorhanden.
Und war da nicht was mit Passwörtern? In den letzten Jahren gab es häufig genug Schlagzeilen über den massenhaften Diebstahl und Missbrauch von derartigen Passwortdatenbanken. Auch eine Web-Applikation sollte also den Authentifizierungsprozess flexibel genug abbilden.
Benutzer müssen extern verwaltet werden können
Einige proprietäre Hersteller und Open-Source-Projekte haben das natürlich schon lange erkannt und bieten verschiedene Module oder Plug-ins, über die sich alternative Benutzerquellen ansteuern lassen. So vertrauen viele Web-Anwendungen eben nicht auf die eigene, interne Benutzerdatenbank, sondern bieten bspw. die Möglichkeit, einen LDAP-Server anzubinden.
In diesem Fall werden die Benutzer und ihre Berechtigungen im LDAP gepflegt und die Authentifizierung der Benutzer läuft gegen das LDAP-Passwort. So setzen dies zwei bekannte Cloud-Hosting-Lösungen um. Das erscheint erstmal sehr attraktiv, stößt allerdings bald an seine Grenzen, wenn man Benutzer eben nicht mehr mit einem einzelnen LDAP-Passwort authentifizieren möchte, sondern eventuell mit zwei Faktoren.
Auch lässt sich ein Single Sign-on über SAML oder OpenID Connect hiermit nicht einfach abbilden. In diesem Fall müsste ein komplettes Modul geschrieben werden, dass sich um das Benutzerobjekt, dessen Berechtigungen innerhalb der Applikation und die Authentifizierung mit zwei Faktoren oder im Falle von SSO die Authentifizierung gegen den Identity Provider kümmert.
Trennung von Benutzerverwaltung und Authentifizierung
Die Aufgaben, die bei dem Anmeldeversuch des Benutzers anfallen, sind im Wesentlichen:
- Überprüfen, ob ein Account überhaupt existiert,
- Allgemein Benutzerinformationen anhand des Login-Namens feststellen (Vorname, Nachname, Email-Adresse, Telefonnummer...),
- Autorisierung: Welche Rechte hat dieser Benutzer innerhalb der Applikation,
- Authentifizierung des Benutzers.
Will man eine flexible, modulare Web-Anwendung entwickeln oder einsetzen, so ist an dieser Stelle darauf zu achten, dass ein Benutzer- oder Anmelde-Plug-in, nicht zwingend all diese Schritte abbilden muss. Ein existierendes LDAP-Plug-in bildet die Schritte Account, Benutzerinfo, Autorisierung gegebenenfalls schon perfekt ab.
Ein Anmelde-Plug-in, das die Web-Applikation um eine Zwei-Faktor-Anmeldung erweitert, sollte also nicht zwingend diese drei bereits sehr gut implementierten Schritte erneut implementieren müssen. Das Anmelde-Framework bzw. der Anmeldestack der Web-Applikation muss also sicherstellen, dass diese verschiedenen Schritte auch unabhängig voneinander implementiert und konfiguriert werden können.
Gute Beispiele: PAM und FreeRADIUS
Die oben aufgeführten Gedanken und Konzepte sind nicht neu. Die bekanntesten Vertreter, die dies umsetzen sind PAM (Pluggable Authentication Modules) und FreeRADIUS.
PAM ist der Anmelde-Stack, der sich in den meisten „unixoiden“ Betriebsystemen durchgesetzt hat. Es unterscheidet mit den Modultypen eben genau diese unterschiedlichen Zuständigkeitsbereiche. So gibt es den Modultyp „account“, der feststellt, ob ein Benutzer existiert, bzw. prinzipiell berechtigt ist, eine Applikation zu benutzen. Der Modultyp „auth“ authentifiziert dann diesen Benutzer. In den PAM-Konfigurationen können für eine Applikation für die verschiedenen Bereiche auch unterschiedliche Module konfiguriert und flexibel kombiniert werden. So muss der Bereich „account“ nicht notwendigerweise geändert werden, wenn man lediglich die Authentifizierung (Bereich „auth“) um einen zweiten Faktor erweitern möchte.
FreeRADIUS legt ebenfalls eine unbegrenzte Flexibilität an den Tag, um den Benutzer zu authentifizieren und dessen Berechtigung zu überprüfen. Dieser Ansatz kennt neben vielen anderen die Bereiche „authorize“ und „authenticate“, die grob den Bereichen „account“ und „auth“ in PAM entsprechen. Auch der FreeRADIUS Server kann in der Sektion „authorize“ unterschiedliche und auch mehrere Module einbinden, um zu überprüfen, ob ein Benutzer überhaupt berechtigt ist, sich hier und auf diese Art und Weise anzumelden. Wenn dies positiv beantwortet wird, wird die Sektion „authenticate“ abgearbeitet und die Anmeldeinformationen (Login Credentials) können auf vielfältige und unterschiedliche Art und Weise – auch abhängig vom Bereich „authorize“ – überprüft werden.
Der jeweils springende Punkt bei PAM und FreeRADIUS ist, dass die Berechtigungen und die Authentifizierung unabhängig voneinander betrachtet werden. Entwickler von Authentifizierungsmodulen können sich rein auf die Authentifizierung konzentrieren und müssen sich nicht zwingend um Benutzer-Accounts oder LDAP-Anbindungen kümmern.
Dies vermeidet Code-Duplizierung und ermöglicht somit schlankeren Code. Weniger Code enthält weniger Fehler, so dass hier von robusteren Modulen ausgegangen werden kann. Ein Modul zu schreiben, dass sich nur um einen Teilbereich und nicht um das komplette Benutzerhandling kümmern muss, ist weniger aufwändig. Dadurch wird es für Drittanbieter attraktiver, für solch einen Anmelde-Stack ein schlankes Modul zu verfassen. Es ist kein unrealistisches Ziel, dass innerhalb dieses Stacks ein individuelles Authentifizierungsmodul in weniger als 60 Zeilen Code verfasst werden können sollte.
Fazit
Jede Web-Applikation die entwickelt wird, sollte diese Gedanken im Hinterkopf behalten und eine entsprechende, leichte Erweiterbarkeit des Anmeldevorgangs erlauben. Existierende Web-Applikationen sollten – bevor sie eingesetzt werden – auf diese Flexibilität hin überprüft werden. Dies muss, um die Zukunftssicherheit zu gewährleisten, ein Entscheidungskriterium bei der Auswahl der entsprechenden Web-Applikation sein.
* Cornelius Kölbel war in den Bereichen Verschlüsselung und starke Authentisierung viele Jahre als Berater tätig und implementierte Lösungen auf Basis marktüblicher Produkte. Bereits seit 1994 beschäftigt er sich mit Open-Source-Projekten, nach 2010 war er Produktmanager eines quelloffenen Zwei-Faktor-Produkts. 2014 rief er das Open-Source Projekt „privacyIDEA“ ins Leben und gründete die NetKnights GmbH.
(ID:44251704)
:quality(80)/p7i.vogel.de/wcms/21/7e/217ed606225dd35aad2f242c58bfab38/0106313777.jpeg "802.1X ist ein IEEE-Standard zur Layer-2-Authentifizierung in lokalen Rechnernetzwerken. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/13/06/13064f565825d0dba349f0798ba9d3c2/0109839962.jpeg "Ein Brute-Force-Angriff ist der Versuch, ein Passwort im Wesentlichen per Versuch und Irrtum zu knacken. (Bild: valerybrozhinsky - stock.adobe.com)")