© Ralf Herschbach, Fotolia
Zwei-Faktor-Authentifizierung gilt als teuer und exotisch. Doch mit Googles Authenticator existiert eine flexible und quelloffene Lösung, die sogar zwei Kommunikationskanäle nutzt. Über ein Android-Telefon und ohne Verbindung zum Datenkraken Google lassen sich so Linux-Server und -Dienste absichern.
Wissen und Besitz gelten als hervorragendes Paar, wenn es darum geht, sichere Authentifizierung zu bewerkstelligen. Weder der erfolgreiche Brute-Force-Angriff auf ein Passwort noch der Diebstahl des Token allein ermöglichen das unbefugte Eindringen ins System. Gelangt dann ein One-Time-Passwort auch noch über einen getrennten Kanal zum Anwender, steht einem sicheren Login nichts im Wege.
Der Internetriese Google zeigt derzeit mit einer Smartphone-App und einem PAM-Modul, wie das funktionieren kann. Weil Letzteres als RFC standardisiert ist und sich nach dem flexiblen Standard der Pluggable Authentication Modules (PAM) richtet, können Admins ohne großen Aufwand einzelnen Usern und Diensten unterschiedliche Authentifizierungsmethoden verordnen.
Geldhäuser nutzen seit den Anfängen des Onlinebankings ähnliche Systeme, lange Jahre mit Hilfe von papierenen TAN-Listen, mittlerweile überwiegend über dynamisch per Smartcard erzeugte TANs oder mit per SMS versandten One-Time-TANs. Für die Fernwartung gibt es Hardware-Tokens, die eine von fest verbauter Kryptohardware erzeugte Zahlenfolge zum Abtippen präsentieren oder sich über USB als Tastatur ausgeben, auf der der Anwender sein Geheimnis direkt eingibt, oder Zertifikate und Keys für den Zugriff sicher verwahren [1].
Experten unterscheiden grob zwischen Systemen auf TOTP- und auf HOTP-Basis. HOTP steht für HMAC-based OTP (One-time Password) und nutzt einen in RFC 4226 [2] spezifizierten Algorithmus auf Basis eines Hashwerts, der sich bei jeder Benutzung ändert. Der Algorithmus führt einen Zähler mit, der bei Benutzer und Dienst stets auf dem aktuellen Stand gehalten sein will. TOTP dagegen steht für Time-based OTP und befindet sich derzeit noch in der Spezifizierungsphase [3]. Bei diesem Algorithmus sorgt kein Zähler dafür, dass sich der Wert ändert, sondern schlicht die Zeit. Diese Abhängigkeit von der aktuellen Uhrzeit macht das OTP vergänglich, es ist nur für eine kurze Zeitspanne nutzbar.
Umfang: 5 Heftseiten
Preis € 0,99
(inkl. 19% MwSt.)
Alle Rezensionen aus dem Linux-Magazin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...
