Warum Sie Single Sign-On ohne 2FA vermeiden sollten
In vielen Unternehmen ist die Erkenntnis gereift, dass die Vielzahl an Nutzername/Passwort Kombinationen, die sich der Mitarbeiter merken muss, einen erheblichen Effizienzverlust darstellt. Vergessene Passwörter, geblockte Zugänge und deren Rücksetzung über den Helpdesk sind ein extrem kostspieliges Unterfangen – und einer der schnellen Auswege war (und ist!) die Nutzung von Single Sign-On Lösungen. Es kann jedoch mit Fug und Recht behauptet werden, dass die Etablierung eines SSO Systems ohne die gleichzeitige Einführung einer hierfür genutzten 2FA Lösung eine Sicherheitslücke der besonderen Art darstellt: Eine große Anzahl unterschiedlicher Nutzername/Passwort Kombinationen durch nur eine Nutzername/Passwort Kombination zu ersetzen und damit Zugriff auf alle dahinter liegenden Anwendungen zu ermöglichen, mag für den einzelnen Anwender bequem erscheinen – aus Perspektive der IT-Sicherheit ist das jedoch nur als „grob fahrlässig“ zu betrachten. Entweder muss der Zugriff auf das Betriebssystem mit 2FA gesichert werden, oder die Anmeldung an der zentralen oder lokalen SSO Komponente muss mittels 2FA gesichert sein! Und bitte daran denken: Auch die Nutzung von Kerberos-Token im internen Netz eines Unternehmens stellt eine solche Art des SSO dar und sollte demnach über die Nutzung einer sicheren 2FA für die Anmeldung am Windows Betriebssystem geschützt sein.
Autor: Thomas W. Frick, 08.10.2018, Thema: zwei-Faktor-Authentifizierung (2FA)
Kurznavigation in diesem Beitrag:
Seite 1 Beitrag / Diskussionsgrundlage
Seite 2 Am nächsten persönlichen Erfahrungsaustausch teilnehmen
Seite 3 Kostenloses PDF-Angebot zum Artikel
Seite 4 Expertenzugriff in unserem langjährigen Netzwerk
1. Tipp: Punktlösungen vermeiden trotz Mythos
Die Idee „überall individuell“ Punktlösungen zum Einsatz zu bringen, um Rückwirkungen zu vermeiden, ist – zumindest aus Sicht der Investitionen und der Betriebskosten nach der Installation – eine ebenso schlechte Idee, wie alles aus einem Bausatz heraus zu realisieren. Wie viele (größere) Unternehmen haben keine 2FA-Strategie entwickelt und fanden sich nach einigen Jahren mit einem bunten Blumenstrauß an Einzellösungen für diverse Bereiche wieder? Smartcards und Zertifikate für die sichere Anmeldung am PC und den Schutz des SAP Zugangs – aber nur für eine kleine Gruppe an Anwendern. Teure One-Time Token für die Absicherung des Remote Access per VPN. Gridkarten für den Zugang zum Kundenportal. SMS-Token für die Rücksetzung des Passwortes aus dem Helpdesk und arkane biometrische Verfahren für die Anmeldung an Hochsicherheitssystemen. Jede dieser Punktlösungen mit ihrer eigenen Management Oberfläche, einer eigenen Lizenz, einem eigenen Supportvertrag und den daraus resultierenden explodierenden Betriebskosten.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
2. Tipp: Setzen Sie das Sicherheitsniveau aller 2FA Lösungen nicht gleich
Es wird weitgehend von „starker Authentisierung“ gesprochen, wenn man Verfahren jenseits der üblichen Nutzername/Passwort Kombination meint. Inhaltlich ist das jedoch nicht korrekt, denn als wirklich „stark“ sollten nur solche Verfahren bezeichnet werden, die auf kryptografischen Funktionen basieren – also etwa die Nutzung von Zertifikats-basierten Verfahren oder solche mit OTP-Token, die Zeit- oder Eventbasiert sind. Die Übersendung einer SMS ans Telefon, die Eingabe einer PIN zusätzlich zu einem Passwort oder das pure Vorhandensein eines physischen Tokens, wie einer Karte oder einem RFID-Dongle, kann jedoch nicht als „starkes“ Verfahren eingestuft werden. Sowohl die Erzeugung von einmalig zu nutzenden Keys/OTP, als auch die Speicherung der „Secrets“, also des Schlüsselmaterials und/oder der Zertifikate, sollte möglichst sicher in einem speziellen Hardware- Baustein erfolgen. Das trifft nur für die allerwenigsten, zumeist auf dedizierter Hardware basierenden Lösungen wie Smartcards oder OTP Token zu. Eine Ausnahme dazu bieten wenige Mobiltelefon-basierte Lösungen, die sichere Hardware-Elemente im Mobiltelefon nutzen – etwa die Secure Enclave bei Apple iOS Geräten oder das Trusted Execution Environment bei Android Geräten. Diese Varianten stellen „das obere Drittel“ der Sicherheitspyramide dar:
- Smartcard mit Zertifikaten, Zugriff gesichert über Biometrie mit „Match on Card“
- Selbiges jedoch geschützt durch eine PIN
- OTP Token mit PIN-Schutz für die Erzeugung des Codes
- Smartphone gestützte Systeme unter Nutzung von SE/TEE zur Speicherung der Zertifikate / Keys
- OTP-Token, deren Code zusätzlich mit einer PIN verstärkt wird, bzw. reine OTP Token
- App/SMS gestützte Systeme über das Mobiltelefon (reine „out-of-band“ Übertragung des Codes)
- App-gestützte Systeme, die individuelle, sehr lange Passworte/Phrasen speichern
- Grid-Karten oder ähnliche einfache Papier/PDF basierte Systeme
3. Tipp– Beachten Sie die Anwendungsvielfalt bei Ihrer 2FA- Strategie
Eine gute 2FA Lösung muss mehrere Anwendungsbereiche abdecken können, um nicht ein teures Nischendasein zu fristen. Eine ganze Reihe von Lösungen sind in der Lage als „klassische Add-on Technologie“ einen zweiten Faktor – etwa über das RADIUS Protokoll – in eine Anmeldung einzufügen. Dies sieht man oft bei VPN Zugängen, Web-Access auf interne Anwendungen und die Administration von Netzwerkkomponenten. Der klassische Vertreter ist hier das OTP-Token der bekannten Anbieter. Die Smartcard ist im Gegenzug eher für die primäre Anmeldung am Windows Client bekannt. Man tut sich jedoch oft schwer diese Technologie auch bei nachgelagertem Zugriff auf Webanwendungen oder Remote-Desktop Anwendungen „durchzuschleifen“. Zusätzlich ist zu beachten, dass alle auf separater Hardware basierenden Systeme (also OTP, Smartcard etc.) immer auch mit erheblichem organisatorischem Aufwand und hohen Logistikkosten einhergehen und somit für Externe, Dienstleister, Teilzeitkräfte oder ähnlichen Nutzern gar nicht wirtschaftlich zum Einsatz gebracht werden können.
Im Endeffekt sollte sich jedes Unternehmen im Vorfeld strategische Gedanken über die Absicherung seiner IT-Landschaft mit 2FA Verfahren machen und daraus eine „2FA-Strategie“ ableiten. Darin sollten die wirklichen Kern-Anwendungsbereiche mit erhöhtem Schutzbedarf und hoher Anwenderzahl von den Nischen mit wenigen Anwendern und sehr hohem Schutzbedarf abgegrenzt werden. Auch empfiehlt es sich interne Kräfte, Leihkräfte und Dienstleister, sowie Kunden und Zulieferer, als mögliche Anwendergruppen zu unterschieden. Ohne eine nachhaltige Risikomodellierung der möglichen Schadensfälle, kann hier der eigentliche Schutzbedarf nur sehr grob geschätzt werden. Eine ordentliche Erhebung und Einstufung scheint mehr als geboten, um hier keine Fehlinvestition zu tätigen.
Hinweis: Unsere Berichte sind oft sehr ausführlich. Daher bieten wir an dieser Stelle eine Zusendung des Artikels im PDF-Format zur späteren Sichtung an. Nutzen Sie das Angebot um sich die Praxis-Impulse in Ruhe durchzulesen, Sie können hierfür auch einfach auf das PDF-Symbol klicken.
2FA-Experten aus unserem Netzwerk helfen durch den 2FA-Dschungel
Es wird für kein Unternehmen „die eine und wahre 2FA Lösung“ geben, die alle Probleme erschlägt. Zu vielfältig sind die Anforderungen, zu bunt der Strauß an möglichen Varianten und Herausforderungen, die sich durch Kombination von Anwendungsszenarien ergeben. Wer jedoch im Sinne einer guten Planung und Vorbereitung eine 2FA Strategie erstellt und seine Anwendungsfälle ordnet, der kann sehr viel einfacher den Dschungel der 2FA Lösungen durchqueren und „seine“ passgenaue Kombination geeigneter Bausteine finden.
Vielen Dank an unseren Impulsgeber und Interviewpartner
APIIDA AG
Marktstraße 47-49
64401 Gross-Bieberau
Web: www.apiida.com