Mehr Zuverlässigkeit beim Rollout und bei der Offline-Anmeldung

Das IT-Security-Unternehmen NetKnights gibt die Version 3.7 der professionellen Multi-Faktor-Authentifizierungs-Software privacyIDEA frei. Diese bietet eine zuverlässige Offline-Anmeldung an Windows-Notebooks. Außerdem kann der Administrator nun sicherstellen, dass Benutzer beim Self-Enrollment eines OTP-Tokens nicht vergessen, den QR-Code mit ihrem Smartphone zu scannen. Die neue Version ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 16.04, 18.04 und 20.04 verfügbar.

Eine Offline-Anmeldung mit Einmalpasswörtern birgt immer das Problem, dass der symmetrische Schlüssel oder ein gewisser Vorrat an Credentials auf dem System, das offline gehen soll, verfügbar gemacht werden muss. In der Version 3.7 von privacyIDEA hat der Kasseler Security-Anbieter Netknights den Mechanismus, mit dem das Notebook seine Offline-Credentials auffüllen kann, nun wesentlich robuster gestaltet.

Sensible Daten in privacyIDEA sind seit jeher in der Datenbank verschlüsselt abgelegt. Mit der Version 3.7 ist es nun noch einfacher geworden, den Verschlüsselungskey mit Hilfe eines Hardware-Security-Moduls sicher zu schützen.

Zuverlässige Offline-Anmeldung an Notebooks

In Verbindung mit dem bestehenden privacyIDEA Credential Provider kann der Administrator nun definieren, welcher Token eines Benutzers für die Anmeldung an einem Notebook genutzt werden kann. Somit hat der Benutzer die Möglichkeit, sich am Notebook mit dem zweiten Faktor anzumelden, auch wenn das Notebook offline ist und den privacyIDEA-Server nicht erreichen kann.

Für den Administrator ist es nun einfacher geworden, den zweiten Faktor für die Offline-Funktion für den Benutzer verfügbar zu machen. Außerdem wurde die Funktionalität, die die Offline-Credentials automatisch wieder auffüllt, so gestaltet, dass dies bei jeglicher Netzwerkverbindung möglich ist. Dies stellt einen robusteren Offline-Betrieb sicher.
Im Zusammenspiel mit dem privacyIDEA Credential Provider können Yubikeys und HOTP Smartphone Apps für die Offline-Anmeldung an Notebooks genutzt werden.

Verify-Enrollment

privacyIDEA 3.7 bietet nun eine neue Möglichkeit, den Rolloutprozess von HOTP, TOTP, SMS und Email-Token zuverlässiger zu gestalten. In der Vergangenheit konnte es vorkommen, dass Benutzer beim Rollout vergaßen, den QR-Code zu scannen. Per Richtlinie kann der Administrator nun steuern, dass der Benutzer, wenn ihm der QR-Code angezeigt wird, von privacyIDEA zur Eingabe eines validen OTP-Wertes aufgefordert wird. Erst danach gilt für privacyIDEA der Token als erfolgreich ausgerollt. Hiermit kann die IT-Abteilung vermeiden, dass es zu ausgerollten, aber nicht nutzbaren Token kommt. Gerade in Installationen mit großen Benutzerzahlen konnte diese Fehlbedienung durch den End User zu Problemen führen. Die IT-Abteilung kann in Zukunft somit Support-Aufwände reduzieren.

Schlüsselmaterial sicher mit einem Hardware-Security-Modul schützen

privacyIDEA hat schon immer sensible Informationen in der Datenbank verschlüsselt abgespeichert. Der Administrator konnte den Verschlüsselungskey bisher auf Festplatte oder in ein Hardware-Security-Module (HSM) legen. Der Verschlüsselungskey im Verzeichnis ist einfach und schnell, aber weniger sicher. Liegt der Verschlüsselungskey im HSM, ist dies sehr sicher, aber auch aufwendig und langsamer. privacyIDEA 3.7 bietet dem Admin nun eine dritte Art, den Verschlüsselungskey zu sichern. Mit der neuen, dritten Variante wird der Verschlüsselungskey einmalig bei Systemstart im HSM entschlüsselt und danach im Speicher vorgehalten. Dies erlaubt einen vernünftigen Kompromiss aus Sicherheit und Geschwindigkeit.

Somit können Unternehmen auch mit einem limitierten Budget durch die Nutzung von einfacher Hardware wie einem Yubikey den Verschlüsselungskey mit einem HSM besser absichern und ihre Gesamtsicherheit erhöhen.

Alle weiteren Änderungen sind detailliert im Changelog auf GitHub aufgeführt. An gleicher Stelle werden alle Komponenten von privacyIDEA unter Federführung der NetKnights GmbH als quelloffene Software unter der AGPLv3 weiterentwickelt.

Verfügbarkeit

Die neue Version 3.7 von privacyIDEA ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 16.04, 18.04 und 20.04 verfügbar. Zusätzlich bietet die NetKnights GmbH die Enterprise Edition mit Support für Ubuntu LTS, RHEL/CentOS und einem Appliance-Tool an und führt Auftragsentwicklungen für spezielle Anforderungen durch.

Über privacyIDEA

privacyIDEA ist ein quelloffenes Multi-Client- und Multi-Instanz-fähiges System zur Mehr-Faktor-Authentifizierung. Die Entwicklung erfolgt transparent auf Github. Installationen und Updates sind leicht über den Python Package Index oder über Repositories für Ubuntu möglich. Wenige Wochen nach dem jeweiligen Community Major-Release veröffentlicht die NetKnights GmbH ein stabiles Enterprise Release für Ubuntu LTS und RHEL/CentOS.
Weitere Informationen über die neuesten Entwicklungen rund um privacyIDEA finden sich unter https://netknights.it/aktuelles/.

Link zum privacyIDEA-Projekt: https://www.privacyidea.org/privacyidea-3-7-released/