Multifaktor-Authentifizierung (MFA)

Das RRZE bietet für die Absicherung verschiedener Dienste eine Multifaktor-Authentifizierung mittels eines Zeitbasierten One-Time-Passwords (TOTP). Über das IdM-Selfservice Portal können Tokens für den MFA Dienst verwaltet werden.

Tokenverwaltung mittels IdM-Selfservice

Im Bereich Multi-Faktor-Athentifizierung des IdM-Selfservice Portals können MFA-Tokens generiert und gelöscht werden. Eine weitere Funktion ist das Zurücksetzen des Fehlerzählers eines Tokens. Um die Multi-Faktor-Athentifizierung für das IdM-Portal zu aktivieren muss im Rechten Bereich die entsprechende Auswahlbox angeklickt sein.

Generierung:

      1. Bei der Erstellung eines neuen Tokens wird zunächst eine Beschreibung für diesen Token abgefragt. Diese ist später zur Identifikation der Tokens sinnvoll. Im nächsten Schritt wird im Browserfenster ein QR-Code angezeigt. Dieser Code kann in der bevorzugten Authentifizierungs Anwendung (siehe Anwendungs-Empfehlungen) eingescannt werden. Falls eine Desktop Anwendung genutzt wird, in der kein Scannen möglich ist kann der Secret/Key (durch klicken auf Show Secret/Key) angezeigt werden und per Copy&Paste in der Anwendung eingefügt werden. Zur Validierung des Tokens muss ein OTP der von der Authentifizierungs Anwendung generiert wird eingegeben werden.

 

Löschen:

      1. Tokens können in diesem Bereich des IdM-Selfservice gelöscht werden. Das Löschen wird mit einem One-Time-Password bestätigt. Der letzte Token kann nur gelöscht werden, wenn die Multifaktor-Authentifizierung für den IdM-Zugang deaktiviert ist.

 

Fehlerzähler zurücksetzen:

    1. Eine weitere Funktion im Bereicht Multifaktor-Authentifizierung ist das zurücksetzen des Fehlerzählers eines Tokens. Bei einer Fehlgeschlagenen OTP-Validierung wird der Fehlerzähler hochgesetzt. Es erfolgt eine E-Mail-Benachrichtigung über einen fehlgeschlagenen Versuch. Wenn der Fehlerzähler den Wert 50 erreicht wird der Token gesperrt. In diesem Fall erfolgt das entsperren über unseren Service-Theken.

Tokens sollten mit Vorsicht gehandhabt werden. Das QR-Code bzw. der Secret/Key sollten nur einmalig in die Authentifizierungs Anwendung eingepflegt werden, und nicht in Bild- bzw. Textform gespeichert werden. Falls ein Token verloren geht, wird immer empfohlen einen neuen zu generieren.

Empfehlung für Authentifizierungs Anwendungen

In diesem Abschnitt werden Authentifizierungs Anwendungen für die gängigen Mobilen und Desktop Betriebssysteme empfohlen.

Android – FreeOTP+

Für die Nutzung des MFA-Dienstes auf ein Mobiles Android Gerät empfiehlt das RRZE die Anwendung FreeOTP+. Es ist ein Open-Source Fork der App FreeOTP und ist für Android Versionen ab 5.0 im Google Play Store verfügbar. Die App kann zusätzlich z.B. mit einer Fingerabdruck Prüfung abgesichert werden. Das Hinzufügen von Tokens erfolgt durch das Scannen des generierten QR-Codes. Falls ein neues Gerät angeschafft wird, können die Tokens im JSON Format exportiert und auf das neue Gerät wieder importiert werden.

Linux – OTPClient

Die Anwendung OTPClient wird für die Nutzung unter dem Linux Betriebssystem empfohlen. Es ist ein leichtgewichtiges OpenSource Projekt und ist für Ubuntu Installationen (die vom RRZE supportete Linux Distribution) als Paket verfügbar. Ab Ubuntu 21.10 ist die Anwendung direkt über den Paketmanager installierbar. Für ältere Ubuntu Versionen gibt es eine Launchpad PPA welche die passenden Pakete bereitstellt. Hier finden sich auch Installationshinweise.

Beim ersten Starten der Anwendung wird eine Verschlüsselte Datenbank, die mit einem Passwort abgesichert werden sollte angelegt in der die Tokens gespeichert werden. Daraufhin hat man verschiedene Möglichkeiten Tokens hinzuzufügen: Webcam (QR-Code scannen), QR-Code über Clipboard, QR-Code aus einem Image File, QR-Code über ein Screenshot und zuletzt das manuelle Eingeben des Secrets/Keys. Es können Tokens aus anderen Anwendungen oder in andere Anwendungen z.B. FreeOTP+ importiert werden.

macOS, iOS, iPadOS und watchOS – Step Two

Die Anwendung Step Two ist über Apples App Store verfügbar. Sie kann kostenlos geladen werden und ist für die Nutzung von bis zu 10 MFA Accounts frei nutzbar. Das Hinzufügen eines neuen Accounts kann entweder über das Einscannens des QR-Codes über die Kamera (hierzu muss die Zustimmung zur Nutzung der Kamera gegeben werden) oder manuell über den angezeigten Code erfolgen. Zur besseren Übersicht lassen sich einzelnen Accounts unterschiedliche Farben zuweisen. Durch Klicken auf den angezeigten Code (iOS/iPadOS) wird dieser in die Zwischenablage kopiert.

Apple bietet seit iOS 15 die Möglichkeit MFA Codes systemseitig in der verschlüsselten Keychain zu speichern. Die Einrichtung ist nicht ganz so einfach und deshalb empfiehlt das RRZE die Nutzung einer App wie Step Two.