Multi-Faktor-System privacyIDEA 3.7 erschienen Mehr Zuverlässigkeit beim Rollout und bei der Offline-Anmeldungn

Von Peter Schmitz

Die neue Version 3.7 der professionellen Multi-Faktor-Authentifizierungs-Software privacyIDEA bietet eine zuverlässige Offline-Anmeldung an Windows-Notebooks. Außerdem kann der Administrator nun sicherstellen, dass Benutzer beim Self-Enrollment eines OTP-Tokens nicht vergessen, den QR-Code mit ihrem Smartphone zu scannen.

Anbieter zum Thema

Mit privacyIDEA 3.7 kann sich ein Benutzer an seinem Notebook mit einem zweiten Faktor anmelden, auch wenn das Gerät offline ist und den privacyIDEA-Server nicht erreichen kann.
Mit privacyIDEA 3.7 kann sich ein Benutzer an seinem Notebook mit einem zweiten Faktor anmelden, auch wenn das Gerät offline ist und den privacyIDEA-Server nicht erreichen kann.
(Bild: tippapatt - stock.adobe.com)

Eine Offline-Anmeldung mit Einmalpasswörtern birgt immer das Problem, dass der symmetrische Schlüssel oder ein gewisser Vorrat an Credentials auf dem System, das offline gehen soll, verfügbar gemacht werden muss. In der Version 3.7 von privacyIDEA hat der Kasseler Security-Anbieter NetKnights den Mechanismus, mit dem das Notebook seine Offline-Credentials auffüllen kann, nun wesentlich robuster gestaltet.

Sensible Daten in privacyIDEA sind seit jeher in der Datenbank verschlüsselt abgelegt. Mit der Version 3.7 ist es nun noch einfacher geworden, den Verschlüsselungskey mit Hilfe eines Hardware-Security-Moduls sicher zu schützen.

Zuverlässige Offline-Anmeldung an Notebooks

In Verbindung mit dem bestehenden privacyIDEA Credential Provider kann der Administrator nun definieren, welcher Token eines Benutzers für die Anmeldung an einem Notebook genutzt werden kann. Somit hat der Benutzer die Möglichkeit, sich am Notebook mit dem zweiten Faktor anzumelden, auch wenn das Notebook offline ist und den privacyIDEA-Server nicht erreichen kann.

Für den Administrator ist es nun einfacher geworden, den zweiten Faktor für die Offline-Funktion für den Benutzer verfügbar zu machen. Außerdem wurde die Funktionalität, die die Offline-Credentials automatisch wieder auffüllt, so gestaltet, dass dies bei jeglicher Netzwerkverbindung möglich ist. Dies stellt einen robusteren Offline-Betrieb sicher.

Im Zusammenspiel mit dem privacyIDEA Credential Provider können Yubikeys und HOTP-Token (Hardware oder Smartphone Apps) für die Offline-Anmeldung an Notebooks genutzt werden.

Verify-Enrollment

Um den Rollout-Prozess abzuschließen muss der Benutzer noch einen gültigen OTP-Wert eingeben. So kann der Administrator sicher sein, dass der Benutzer beim Self-Enrollment auch wirklich den QR-Code gescannt hat.
Um den Rollout-Prozess abzuschließen muss der Benutzer noch einen gültigen OTP-Wert eingeben. So kann der Administrator sicher sein, dass der Benutzer beim Self-Enrollment auch wirklich den QR-Code gescannt hat.
(Bild: NetKnights)

privacyIDEA 3.7 bietet nun eine neue Möglichkeit, den Rolloutprozess von HOTP, TOTP, SMS und Email-Token zuverlässiger zu gestalten. In der Vergangenheit konnte es vorkommen, dass Benutzer beim Rollout vergaßen, den QR-Code zu scannen. Per Richtlinie kann der Administrator nun steuern, dass der Benutzer, wenn ihm der QR-Code angezeigt wird, von privacyIDEA zur Eingabe eines validen OTP-Wertes aufgefordert wird. Erst danach gilt für privacyIDEA der Token als erfolgreich ausgerollt. Hiermit kann die IT-Abteilung vermeiden, dass es zu ausgerollten, aber nicht nutzbaren Token kommt. Gerade in Installationen mit großen Benutzerzahlen konnte diese Fehlbedienung durch den Enduser zu Problemen führen. Die IT-Abteilung kann in Zukunft somit Support-Aufwände reduzieren.

Schlüsselmaterial sicher mit einem Hardware-Sicherheits-Modul schützen

privacyIDEA hat schon immer sensible Informationen in der Datenbank verschlüsselt abgespeichert. Der Administrator konnte den Verschlüsselungskey bisher auf Festplatte oder in ein Hardware-Security-Module (HSM) legen. Der Verschlüsselungskey im Verzeichnis ist einfach und schnell, aber weniger sicher. Liegt der Verschlüsselungskey im HSM, ist dies sehr sicher, aber auch aufwändig und langsamer. privacyIDEA 3.7 bietet dem Admin nun eine dritte Art, den Verschlüsselungskey zu sichern. Mit der neuen, dritten Variante wird der Verschlüsselungskey einmalig bei Systemstart im HSM entschlüsselt und danach im Speicher vorgehalten. Dies erlaubt einen vernünftigen Kompromiss aus Sicherheit und Geschwindigkeit.

Somit können Unternehmen auch mit einem limitierten Budget durch die Nutzung von einfacher Hardware wie einem YubiHSM oder Yubikey den Verschlüsselungskey mit einem HSM besser absichern und ihre Gesamtsicherheit erhöhen.

Alle weiteren Änderungen sind detailliert im Changelog auf GitHub aufgeführt. An gleicher Stelle werden alle Komponenten von privacyIDEA unter Federführung der NetKnights GmbH als quelloffene Software unter der AGPLv3 weiterentwickelt.

Download und Verfügbarkeit

Eine komplette Liste der Änderungen findet sich im Changelog bei Github. privacyIDEA 3.7 ist ab sofort über über den Python Package Index, die Community Repositories für Ubuntu 16.04, 18.04 und 20.04 verfügbar. Zusätzlich bietet die NetKnights GmbH eine Enterprise Edition mit Support für Ubuntu LTS und RHEL/CentOS an und führt Auftragsentwicklungen für spezielle Anforderung durch.

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:48190548)