Zwei-Faktor-Authentifizierung (2FA)

Bedienung und Konfiguration

1. Allgemeines und Voraussetzungen ...... 1 1.1 Einmal-Passwort (TOTP) ...... 1 1.2 Universal 2nd Factor (U2F) ...... 2 2. Konfiguration ...... 3 2.1 Benutzereinstellungen/Administration ...... 3 2.2 TOTP - Software-Token ...... 4 2.3 TOTP - Hardware-Token ...... 8 2.4 Sicherheitsschlüssel - U2F ...... 11 2.5 Zwei-Faktor-Authentifizierung deaktivieren ...... 13 3. Login ...... 14 4. Links ...... 14 5. Abkürzungen ...... 15 syBOS Zwei-Faktor-Authentifizierung (2FA)

1. Allgemeines und Voraussetzungen

Die Zwei-Faktor-Authentifizierung (2FA) stellt eine weitere, unabhängige Methode zur Benutzer- Authentifizierung in syBOS zur Verfügung. Die erste Komponente bilden der Benutzername und das Passwort. Als zweite Komponente können ein zeitlich beschränktes Einmal-Passwort oder die Bestätigung mittels eines Sicherheitsschlüssels verwendet werden. Beide Varianten sind nach offenen Standards implementiert und werden ausschließlich am syBOS Server validiert.

Um die Zwei-Faktor-Authentifizierung zu nutzen, gibt es mehrere Möglichkeiten:

Smartphone mit App Hardware Token Sicherheitsschlüssel Universal 2nd Factor (U2F, USB Stick)

Die Anmeldung an syBOS ist nach der Aktivierung der Zwei-Faktor-Authentifizierung nur mehr mit dem zweiten Faktor möglich, daher sollte bei der Auswahl des Verfahrens unter anderem bedacht werden:

Verwendete Browser: Zugriff auf USB-Anschlüsse gestattet (U2F) Hardware-Token: Verfügbarkeit - auch während des Logins Support für Benutzer (Konfiguration, verloren gegangene Geräte)

1.1 Einmal-Passwort (TOTP)

Das Einmal-Passwort ist ein zeitlich limitiertes Kennwort, welches entweder 30 oder 60 Sekunden gültig ist. Es wird nach RFC 6238 (time-based one-time password - TOTP) berechnet. Hierbei können entweder Hardware-Tokens verwendet werden, welche das aktuelle Passwort anzeigen, oder Apps für Handys (zB Google Authenticator oder FreeOTP unter Android). Da das Passwort zeitlich begrenzt ist, ist es entscheidend, dass beim Server und bei den Geräten dieselbe Uhrzeit konfiguriert ist. Alle syBOS Server synchronisieren ihre Uhrzeit mit NTP Servern.

Für alle gängigen Betriebssysteme gibt es ebenfalls Anwendungen, welche Einmal-Passwörter generieren können. Jedoch sollte die Generierung des Einmal-Passwortes nicht mit demselben PC erfolgen, auf dem auch der Login in syBOS stattfindet. Wird dieser PC kompromittiert, ist es auch möglich, an gültige Einmal-Passwörter zu gelangen.

Die Zwei-Faktor-Authentifizierung mit einem U2F Security Token ist entsprechend dem FIDO v1.0 Standard implementiert. In einem U2F Security Token ist ein privater Schlüssel gespeichert, welcher nicht ausgelesen werden kann. Eine Login-Anforderung wird durch den Token signiert, und der Server kann die Signatur in weiterer Folge prüfen. Ein U2F Security Token wird an einen USB Anschluss des PC angeschlossen.

Dieses Verfahren unterstützen jedoch nicht alle Browser:

Google Chrome: seit Oktober 2014

Mozilla Firefox bis Version 60: nur mit Plugin möglich

Mozilla Firefox ab Version 60: U2F muss in den Einstellungen aktiviert werden about:config aufrufen Einstellung security.webauth.u2f suchen und mit Doppelklick auf true setzen

2.1 Benutzereinstellungen/Administration

Die Konfiguration der Zwei-Faktor-Authentifizierung wird über die Berechtigungs-Funktion gesteuert. Damit jeder Benutzer die Einstellungen selbst ändern kann, muss in der Berechtigungs-Funktion "Portal" die Berechtigung "Zwei-Faktor-Authentifizierung" aktiviert werden. Um die Funktion für die Benutzer-Verwaltung freizuschalten, muss die Berechtigung in der Berechtigungs-Funktion "Benutzer-Verwaltung" gesetzt werden.

Die Konfiguration erfolgt unter dem Menüpunkt Portal | Einstellungen / Tab Passwort ändern oder in der Benutzer-Verwaltung unter dem Menüpunkt Portal | Administration | Berechtigung | Benutzer- Verwaltung.

Bei einem Klick auf das Schloss-Symbol öffnet sich in beiden Fällen ein Assistent, der durch die Konfiguration der Zwei-Faktor-Authentifizierung führt. Die Zwei-Faktor-Authentifizierung bleibt auch dann aktiviert, wenn der Benutzer ein neues Passwort über "Passwort vergessen" anfordert. Geht der zweite Faktor verloren, kann dieser nur durch den Administrator deaktiviert oder geändert werden.

Um einen Software-Token verwenden zu können, muss eine passende App auf einem Handy zur Verfügung stehen (z.B. FreeOTP oder Google Authenticator für Android oder FreeOTP Authenticator für iPhone).

1. Nachdem der Assistent zur Konfiguration der Zwei-Faktor-Authentifizierung gestartet wurde, muss als Aktion "Neuen Software-Token (OATH-TOTP) generieren" gewählt werden.

2. Im zweiten Schritt werden die Parameter für das Einmal-Passwort festgelegt. Dazu zählen die Gültigkeitsdauer und die Anzahl der Ziffern. Der Verschlüsselungsalgorithmus ist mit SHA1 festgelegt. Dieser kann für einen Software-Token nicht geändert werden.

3. Nach dem Klick auf weiter erscheint ein QR Code. Zur einfachen Übertragung der Daten kann mit den meisten Apps dieser QR Code gescannt werden. Falls das Scannen des QR Codes nicht durch die App möglich ist, müssen die Daten manuell eingegeben werden. Der Schlüssel (BASE32 Schlüssel) wird hier ebenfalls in Klartext angezeigt.

4. Im letzten Schritt muss das aktuelle Einmal-Passwort eingegeben werden. Somit wird sichergestellt, dass der Server und die App dasselbe Einmal-Passwort generieren. Erst nach dem Speichern wird die Zwei-Faktor-Authentifizierung aktiviert. Ein unabsichtliches Aussperren auf Grund einer falschen Konfiguration ist somit ausgeschlossen!

Es können beliebige Hardware-Tokens verwendet werden, welche das Einmal-Passwort nach RFC 6238 generieren.

1. Nachdem der Assistent zur Konfiguration der Zwei-Faktor-Authentifizierung gestartet wurde, muss als Aktion "Hardware Token (OATH-TOTP) verwenden" gewählt werden.

2. Jetzt müssen alle relevanten Daten des Tokens eingegeben werden. Diese Daten stellt der Hersteller des Tokens zur Verfügung. Die Token-Seriennummer wird später beim Login angezeigt und ermöglicht somit eine Identifikation des Tokens. Die Seriennummer ist im Regelfall auch am Token ablesbar. Der Schlüssel (secret) kann entweder im Base 32 Format oder Hexadezimal eingetragen werden. Das Format des Schlüssels, die Gültigkeitsdauer, die Anzahl der Ziffern und der Verschlüsselungsalgorithmus sind im Datenblatt des Herstellers ersichtlich.

3. Im letzten Schritt muss das aktuelle Einmal-Passwort eingegeben werden. Somit wird sichergestellt, dass der Server und der Hardware-Token dasselbe Einmal-Passwort generieren. Erst nach dem Speichern wird die Zwei-Faktor-Authentifizierung aktiviert. Ein unabsichtliches Aussperren auf Grund einer falschen Konfiguration ist somit ausgeschlossen!

Der ausgewählte Sicherheitsschlüssel muss FIDO v1.0 kompatibel sein. Der Browser muss U2F unterstützen.

1. Nachdem der Assistent zur Konfiguration der Zwei-Faktor-Authentifizierung gestartet wurde, muss als Aktion "Sicherheitsschlüssel (FIDO U2F) verwenden" gewählt werden.

2. Im zweiten Schritt muss der Sicherheitsschlüssel mit dem PC verbunden und dann bestätigt werden.

3. Wird der Sicherheitsschlüssel erkannt, wird dieser erst nach dem Speichern dem Benutzer zugeordnet und die Zwei-Faktor-Authentifizierung aktiviert.

1. Nachdem der Assistent zur Konfiguration der Zwei-Faktor-Authentifizierung gestartet wurde, muss als Aktion "2-Faktor Authentifizierung deaktivieren" gewählt werden.

2. Mit speichern wird die Zwei-Faktor-Authentifizierung deaktiviert.

Der Login erfolgt bei aktivierter Zwei-Faktor-Authentifizierung in zwei Schritten.

Im ersten Schritt müssen wie gewohnt der Benutzername und das Passwort eingegeben werden.

Im zweiten Schritt muss entweder der Sicherheitsschlüssel bestätigt werden oder das Einmal- Passwort eingegeben werden.

Bei einem Fehler in der Zwei-Faktor-Authentifizierung (zu viele Fehlversuche bei der Eingabe des Einmal-Passwortes, falscher Sicherheitsschlüssel, Timeout bei der Bestätigung des Sicherheitsschlüssel) wird der Benutzer abgemeldet.

4. Links

Links für TOTP-Apps

Google Authenticator / Android https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2

FreeOTP Authenticator / iOS https://itunes.apple.com/de/app/freeotp-authenticator/id872559395

WinAuth / Windows https://winauth.com/

5. Abkürzungen

2FA Zwei-Faktor Authentifizierung NTP Network Time Protocol OATH Initiative for Open Authentication RFC Requests for Comments TOTP time-based one-time password U2F Universal 2nd Factor