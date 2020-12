Vier-Augen-Prinzip

NetKnights gibt Version 3.5 der Multi-Faktor-Authentifizierungs-Software privacyIDEA frei. Diese ermöglicht es Anwendern, nun auch Smartcards zu verwenden und für besonders schützenswerte Accounts die Anmeldung mehrerer Benutzer vorauszusetzen. Das Absichern besonders kritischer Systeme ist außerdem über die Beschränkung auf bestimmte Token-Arten möglich. Auch die Administration hat der Anbieter vereinfacht.

privacyIDEA [1] ist ein quelloffenes Multi-Client- und Multi-Instanz-fähiges System zur Mehr-Faktor-Authentifizierung. Mit Version 3.5 möchte Netknights seinen Anwendern weitere Optionen geben, um ihre Sicherheitsmaßnahmen zu gestalten und auszubauen. Mit dem Release können Benutzer nun PIV-Smartcards ausrollen und von privacyIDEA attestieren lassen. Der Benutzer kann diese Smartcards dann zur Anmeldung oder für digitale Signaturen verwenden.



Weitere Neuerungen von privacyIDEA 3.5 sind der komplett überarbeitete Vier-Augen-Token, flexiblere Richtlinien, die auch Tokeneigenschaften mit einbeziehen, und Erweiterungen im Webinterface, um die Arbeit der Servicedesk-Mitarbeiter im Unternehmen zu erleichtern.



Neue Authentifizierungsmethoden

Die in der letzten Version eingeführte Funktion „Multi-Challenge-Response“ wird nun auch für den Vier-Augen-Token verwendet. Bei diesem kann der Administrator einstellen, wie viele Benutzer aus definierten Gruppen zusammenkommen müssen, um sich gemeinsam als ein besonders schützenswerter Account anmelden zu können. Der Workflow für diese Art der Authentifizierung wurde komplett überarbeitet, sodass mit immer neuen Challenges, weitere Benutzer aufgefordert werden, sich zu authentisieren. Diese Methode funktioniert auch transparent über das RADIUS-Protokoll, so dass sie in Standardszenarien wie der Anmeldung an einem Citrix Netscaler oder anderen VPN-Lösungen möglich ist.



Bei dem Rollout von x509-Zertifikaten kann privacyIDEA nun zusätzlich verlangen, dass ein Attestation-Zertifikat mitgesendet wird. Dies stellt sicher, dass die Zertifikatsanforderung auf einer Smartcard erzeugt wurde, und ist eine Vorbedingung, um Smartcards mit privacyIDEA verwalten zu können. Diese Funktion wurde erfolgreich mit dem Yubikey getestet, so dass privacyIDEA nun alle relevanten Authentifizierungsmechanismen des Yubikeys unterstützt: OTP, U2F, FIDO2 und x509.



Einfacheres Arbeiten für Administratoren

Seit der vorherigen Version von privacyIDEA bietet ein Dashboard den Administratoren und Servicedesk-Mitarbeitern einen Überblick über das System. Hinzugekommen ist jetzt eine neue Information, nämlich die Namen der Benutzer, die sich erfolglos angemeldet haben. Ein Klick auf diese führt den Servicedesk-Mitarbeiter direkt zu den Details des Benutzers und dessen Token, so dass er im Supportfall zügiger zu einer Lösung kommen kann.



Darüber hinaus enthält das Audit-Log alle signierten Informationen, was im System passiert. Ab dem Release 3.5 kann der Administrator definieren, welche Datenfelder die Servicedesk-Mitarbeiter angezeigt bekommen sollen, so dass diese nicht von der Informationsflut überfordert sind, sondern schneller finden, was sie suchen.



Die Bedingungen für die Richtlinien können nun auch beliebige Tokeneigenschaften enthalten. So kann der Administrator zum Beispiel definieren, dass die Anmeldung an besonders zu schützenden Systemen nur mit Hardware- aber nicht mit Software-Token erfolgen darf. Die Änderungen sind detailliert im Changelog auf GitHub aufgeführt. An gleicher Stelle werden alle Komponenten von privacyIDEA unter Federführung der NetKnights GmbH als quelloffene Software unter der AGPLv3 weiterentwickelt.



Verfügbarkeit

Die neue Version 3.5 von privacyIDEA ist ab sofort über den Python Package Index sowie in den Community Repositories für Ubuntu 16.04, 18.04 und neu auch 20.04 verfügbar. Zusätzlich bietet die NetKnights GmbH eine Enterprise Edition mit Support für Ubuntu LTS und RHEL/CentOS an und führt Auftragsentwicklungen für spezielle Anforderung durch.