Oftmals setzen Unternehmen aus Sicherheitsgründen eine 2-Faktor Authentifizierung voraus. Dies wird sehr oft durch eine Token-Authentifizierung bewerkstelligt, welche eine hohe Sicherheit gewährleisten soll: Der Benutzer muss ein Passwort kennen („Etwas, das man weiss“) und in Besitz seines Tokens sein („Etwas, das man hat“), um sich dem Rechner, dem Netzwerkdienst etc. gegenüber ausweisen zu können. Der Token generiert zyklisch eine neue Zahl, die nur durch den Server vorhersagbar ist.
SecurAccess ist eine tokenlose 2-Faktor Authentifizierung. Diese spart die Anschaffung traditioneller Hardware-Token sowie deren Verwaltung und nutzt stattdessen die vorhandenen mobilen Devices, wie Smartphones, Tablets und Notebooks der Anwender.
Funktionsweise von SecurAccess
Anwender melden sich, wie gewohnt, über die zur Verfügung gestellte Remote-Access-Plattform (z.B. von Microsoft, Citrix, Cisco, VMware, Juniper uvm.) bzw. virtuelle Umgebung (z.B. von VMware, HyperV) an. SecurAccess integriert sich nahtlos in die Anmeldemaske und fragt ein zusätzliches Einmalpasswort (OTP) ab. Ist als Authentifizierungsverfahren das SMS-Passcode-Verfahren eingestellt, generiert SecurAccess den Passcode (OTP) in Echtzeit und sendet diesen als (Flash)-SMS auf das Mobiltelefon des Anwenders. Das Passwort ist nur einmal für die aktuelle Session (session-locked) und für eine bestimmte Zeit gültig. SecurAccess bietet aber auch weitere Authentifizierungsverfahren für die unterschiedlichsten Szenarien an:
- Soft Token Authentifizierungen
- E-Mail Authentifizierungen
- Voice Call Authentifizierungen
Praxisbeispiel mit SharePoint
Ein Unternehmen wollte die SecurAccess-Lösung einführen und die bestehenden RSA Token schrittweise ablösen, wodurch ein paralleles Betreiben (RSA Token und SMS Lösung) gewährleistet werden musste.
Wie funktioniert das?
Alle User, welche der Activedirectory Gruppe „SecurAccess“ angehören und eine Mobiltelefonnummer hinterlegt haben, werden automatisch auf die SMS-Lösung umgestellt.
Kann diese Umstellung auch direkt in SharePoint vorgenommen werden?
Ja. Die IOZ hat ein GUI entwickelt, in welchem dem User die entsprechenden Attribute mitgegeben werden können, ohne dafür in das ActiveDirectory wechseln zu müssen. Beispielsweise kann ein User, der sich aktuell mit der Variante „RSA Token“ einloggt, mittels Klick auf die Variante „SMS Authentifizierung“ umgestellt werden. Nach dem Speichern wird der User automatisch der entsprechenden AD-Gruppe „SecurAccess“ zugewiesen.
Wie sieht ein Login-Prozess aus?
1) Der User meldet sich mittels Windowslogin (Benutzername Passwort) an.
2) Der User gibt das generierte SecurAccess Passwort ein (letzte 6 Ziffern) und wird eingeloggt.
Gibt es die Möglichkeit den Passcode real-time zu versenden?
Da der TMG Server das Challenge/Response-Verfahren nicht unterstützt, wird die One Time Passwort SMS vorgängig an den Benutzer versendet.
Beim Aktivieren eines Benutzers für die SMS-OTP-Lösung erhält dieser direkt das erste OTP per SMS zugeschickt. Beim nächsten Anmelden ist diese SMS dann gültig. Löscht der Benutzer diese SMS, kann er sich am TMG ohne SMS OTP anmelden und erhält direkt ein neues OTP.
Viele Anwender sind sich gewohnt, dass das OTP SMS erst während des Anmeldeprozesses geschickt wird. Der Hersteller hat dieses Problem erkannt und eine eigene TMG Erweiterung hergestellt, welche mit real-time OTP funktioniert.
Gibt es Alternativen zur SMS Lösung?
Es besteht die Möglichkeit, die Loginvariante auf eine Art „Token-App“ umzustellen. Dies kann jeder User selber umstellen (siehe Bild).
Einfache Umstellung
Ein grosser Vorteil besteht darin, dass man die neue SMS-Lösung von SecurAccess parallel zur noch bestehenden RSA-Token-Lösung einführen kann. Die User werden dadurch bei ihrer täglichen Arbeit nicht beeinträchtigt.
Die IOZ testet aktuell auch die 2-Faktor Authentifizierung im Cloud-Bereich mit Windows Azure. News dazu präsentieren wir in diesem Blog zu einem späteren Zeitpunkt.
Beitrag teilen