(openPR) Einfacher Umstieg von proprietärem OTP-System nach offenem privacyIDEA
Kassel, 14. April 2016. NetKnights hat eine neue Version seiner modularen Lösung für die Zwei-Faktor-Authentifizierung vorgestellt. Sie basiert auf Version 2.11 der Open-Source-Software privacyIDEA. Zu den Besonderheiten der neuen Ausgabe von privacyIDEA und der darauf aufsetzenden Lösung zählt die einfache Bedienung. Außerdem lassen sich bestehende proprietäre One-Time-Passwort-Systeme (OTP) zur Zwei-Faktor-Authentifizierung mit minimalem Aufwand durch das offene, standardbasierte privacyIDEA ersetzen.
Der Ansatz von NetKnights löst eines der zentralen Probleme, mit dem sich Unternehmen und deren IT-Abteilungen konfrontiert sehen: unflexible Anmeldeverfahren und umständliche Verwaltung von Authentifizierungstoken. Das IT-Sicherheitsunternehmen aus Kassel ermöglicht nun Unternehmen, flexible Anmeldeverfahren abzubilden, die Verwaltung in die bestehenden Arbeitsabläufe zu integrieren und mit einem herstellerunabhängigen Ansatz auch lange in Zukunft kosteneffizient arbeiten zu können.
Die Zwei-Faktor-Technologie in privacyIDEA macht die Anmeldung erheblich sicherer, weil der Benutzer für die Authentifizierung eben einen zweiten Faktor - meist einen Besitz - vorweisen muss. Das kann ein OTP-Token sein, ein Yubikey oder SSH-Schlüssel, ein X.509-Zertifikat oder ein U2F-Token (Universal Second Factor).
Einfache Migration
Die Version 2.11 vereinfacht eine Migration von einem vorhandenen, proprietären OTP-System zu der modernen Authentisierungs-Lösung privacyIDEA. Eine Migration zur Lösung von NetKnights funktioniert bei allen Systemen, die einen RADIUS-Server verwenden. Dazu zählen Systeme von Kobil, McAfee, RSA, SafeNet und Vasco. Eine Umstellung kann aus mehreren Gründen erforderlich sein, etwa, weil der Hersteller keine Updates mehr bereitstellt oder die eingesetzten Token nicht mehr den Anforderungen in Bezug auf Sicherheit und Wirtschaftlichkeit entsprechen. Hinzu kommt, dass proprietäre Produkte häufig kostspielig sind und Unternehmen ein offenes und flexibles Open-Source-System bevorzugen.
Anfragen werden weitergereicht
Um diese einfache Migration zu ermöglichen, wurde in privacyIDEA 2.11 eine Richtlinie ergänzt, durch die privacyIDEA Anfragen aller Nutzer, die noch keinen Token in privacyIDEA besitzen, transparent an das alte OTP-System weiterleitet. Mit minimalem Konfigurationsaufwand definieren Administratoren bei der Migration zu privacyIDEA nur diese eine Richtlinie. Sobald einem Benutzer in privacyIDEA ein neuer Token zugewiesen wurde, erfolgt automatisch die Authentisierung im Rahmen von privacyIDEA. Die Anfrage wird nicht mehr an das alte System weitergeleitet.
Dieses Verfahren ist deutlich komfortabler als bei bisherigen Vorgehensweisen, bei denen jeder alte Token einzeln deaktiviert oder große Mengen an Token auf einen Schlag ausgetauscht werden mussten. Zusätzlich stellt die Lösung einen erheblichen Sicherheitsgewinn dar, da der alte Token sofort inaktiv ist.
privacyIDEA lässt sich dank seiner modularen Struktur auf einfache Weise an die Anforderungen von Nutzern anpassen und um neue Arten von Token erweitern. Zudem ermöglicht die gut dokumentierte REST-Schnittstelle, die Lösung mit geringem Aufwand in bestehende Geschäftsprozesse und Arbeitsabläufe zu integrieren. Das ist gerade in großen und komplexen IT-Umgebungen von Vorteil.
Auch auf dem Univention Corporate Server verfügbar
privacyIDEA 2.11 kann auf beliebigen Linux-Distributionen installiert werden, beispielsweise Ubuntu, Debian, CentOS und Red Hat. Die Lösung von NetKnights steht auch auf dem Univention Corporate Server (UCS) zur Verfügung und ermöglicht es, die Anmeldung von Nutzern um einen zweiten Faktor zu erweitern.
Anwendungsfälle
privacyIDEA kommt für eine große Zahl von Anwendungsfällen in Betracht. Außendienstmitarbeiter können beispielsweise mithilfe der Lösung auf sichere Weise von unterwegs aus über ein VPN auf vertrauliche Informationen im Unternehmensnetz zugreifen. Auch dann, wenn einem Mitarbeiter ein Notebook oder das Passwort für das VPN entwendet werden, hat ein Angreifer dank der Zwei-Faktor-Authentifizierung keine Möglichkeit, sich Zugang zum Unternehmensnetzwerk zu verschaffen.
Auch der Zugriff auf Arbeitsplatzrechner und mobile Systeme lässt sich mit privacyIDEA absichern. Zudem kann die Lösung Portale wirkungsvoll schützen, beispielsweise Kundenportale, Börsenhandelsplätze und Web-Portale, über die vertrauliche Informationen, Personaldaten oder Patientendaten eingegeben werden.
