privacyIDEA: Open-Source-Mehrfaktor-Authentifizierungssystem mit sicherem Rollout
Version 2.21 von privacyIDEA bringt ein wichtiges Sicherheits-Feature mit: Es unterbindet das beliebige Kopieren von Tokens während des Rollout-Prozesses für Smartphone-Apps.
- Ute Roos
Version 2.21 des Open-Source-Mehrfaktor-Authentifizierungssystem privacyIDEA wurde nun veröffentlicht. Die in Python geschriebenen Pakete sind in den öffentlichen Launchpad- Repositories für Ubuntu 14.04LTS und 16.04LTS verfügbar. Sie können über den Python Package Index auf beliebigen Distributionen installiert werden.
Zentrale Neuerung ist ein Feature, das das beliebige Kopieren des Tokens während des Rollout-Prozesses der Apps auf Smartphones verhindern soll. Die Problematik entsteht dadurch, dass der Google-Authenticator, den privacyIDEA unter anderem unterstützt, den geheimen Schlüssel (Key-URI) im Klartext im QR-Code vorhält (mehr dazu auf der Webseite von Netknights). Dadurch kann dieser Authentifizierungsfaktor beliebig kopiert und mehrfach genutzt werden – und ist somit im Unternehmensumfeld für die eindeutige Identifizierung von Mitarbeitern nicht zu gebrauchen.
Im Zusammenspiel mit dem privacyIDEA Authenticator löst privacyIDEA 2.21 das Problem. Das Rollout erfolgt in zwei Schritten. Der geheime Schlüssel, der für die Berechnung des QR-Codes verwendet wird, setzt sich aus einer Server-Komponente und einer Smartphone-Komponente zusammen und kann nun nicht mehr einfach 1:1 übernommen werden. Hierfür wurde die Key-URI-Spezifikation erweitert. Der privacyIDEA Authenticator wird diese Funktion unterstützen. Derzeit läuft noch der Beta-Test (an dem Interessierte noch teilnehmen können).
Vereinfachte Administration
Als weitere Neuerung lässt sich die Tokendatenbank bei Bedarf in eine verschlüsselte PSKC-Datei (Portable Symmetric Key Container) exportieren, die sich dann in ein anderes privacyIDEA- oder RFC6030-konformes System importieren lässt. Über Richtlinien kann der Administrator des Weiteren die Webbenutzeroberfläche an das Unternehmensdesign anpassen.
Die Entwickler haben außerdem den Event-Handler, das Audit-Log sowie die Unterstützung externer Hardware-Sicherheitsmodule verbessert. Ein vollständiges Changelog ist auf Github zu finden. In Kürze soll die privacyIDEA Enterprise Edition 2.21.1 herauskommen, sie wird zusätzlich für RHEL/CentOS 7 und den Univention Corporate Server verfügbar sein. (ur)
