von Redaktion IT-A…
Lesezeit
3 Minuten
Anwenderbericht: Zwei-Faktor-Authentifizierung ohne Token
Vom Hauptsitz in den Vereinigten Arabischen Emiraten aus ist die LuLu Group mit mehr als 100 Hyper- und Supermarkets weltweit tätig. Um Informationen abzurufen und zu speichern, loggen sich Mitarbeiter und Partner in das eigene Netzwerk ein. Früher nutzte LuLu dazu ein Token-basiertes System, allerdings war die Token-Übergabe an die Partner sehr umständlich. Daher wechselte das Unternehmen auf ein tokenloses Werkzeug. Es nutzt vorhandene mobile Endgeräte, indem es den zur Nutzeridentifizierung benötigten Passcode per SMS, E-Mail oder App versendet. Der Anwenderbericht schildert die Details des Projekts.
31.440 Mitarbeiter der LuLu Group International rund um den Globus betreuen neben dem Retail-Sektor auch Projekte in den Bereichen Import & Export, Handelsverkehr, Verschiffung, IT, Reisen & Tourismus sowie Bildung. Für schlanke Strukturen und eine effiziente Kommunikation setzt die Unternehmensgruppe als "Early Adopter" oftmals auf neue Technologien.
Token-basierte Authentifizierung auf dem Prüfstand
Als weniger innovativ empfanden Mitarbeiter, Partner und Verkäufer der LuLu-Gruppe mit der Zeit das bislang eingesetzte tokenbasierte System zur Nutzerauthentifizierung. Mittels Hardware-Tokens identifizierten sich die Befugten für den Zugriff auf das Unternehmensnetzwerk. Allerdings war die Nutzung dieses Systems mit hohen Kosten verbunden: Denn zur Anschaffung der Tokens kamen Wartungs- sowie Ersatzkosten hinzu. Außerdem gestaltete sich die Übergabe der Geräte an die Partner schwierig. Durch die internationale Ausrichtung des Unternehmens mussten auch die Tokens weltweit nutzbar sein.
Kosten sparen durch Einsatz vorhandener Devices
Da der Token-Hersteller keine Software anbot, begaben sich die Verantwortlichen der LuLu Group International auf die Suche nach einer Alternative. IT-Partner CodeGreen Systems, Anbieter von Netzwerk- und Security-Lösungen, machte sie im Zuge dessen auf das Produkt SecurAccess von SecurEnvoy aufmerksam. Das Besondere an dieser Zwei-Faktor-Authentifizierungssoftware: Sie arbeitet tokenlos, das heißt es sind keine zusätzlichen Komponenten erforderlich.
Stattdessen nutzt SecurAccess vorhandene Endgeräte wie Mobiltelefone, Laptops und Tablets. Einer der Vorteile dabei ist, dass die Nutzer diese Devices ohnehin meist bei sich tragen und darauf auch eher achtgeben als auf Hardware-Tokens. Neben den persönlichen Zugangsdaten, bestehend aus Benutzername und Passwort, müssen die Zugangsberechtigten beim Login ins Netzwerk ebenfalls eine Ziffernfolge eingeben. Nur die korrekte Kombination dieser beiden Faktoren erlaubt den Zugriff.
Der sogenannte One Time Passcode (OTP) ist einmalig gültig und besteht aus sechs Ziffern. Übermittelt wird er je nach Wunsch per SMS, E-Mail oder Festnetzanruf. Auch die Generierung der Codes innerhalb der Soft Token App für Smartphones ist möglich. Mit der neuen Server Engine-Version 7.2 von SecurEnvoy ist ein weiterer Authentifizierungsweg hinzugekommen: die One Swipe-Methode. Sie funktioniert ohne Mobilfunk- oder Internetverbindung. Möchte sich der Nutzer mittels One Swipe identifizieren, generiert er einfach einen einmalig gültigen QR-Code in der Soft Token App für Smartphones. Diese Grafik fotografiert er anschließend mit der Webcam seines Laptops, Netbooks oder Tablets ab und kann sich so eindeutig ausweisen.
Authentifizierungscodes per SMS, E-Mail und Soft Token App
Genau diese Übertragungsvielfalt der Passcodes bewog die Entscheidungsträger bei LuLu letztlich dazu, SecurAccess zu wählen. Die Installation der Lösung führte CodeGreen Systems im laufenden Betrieb durch, ohne dabei Downtimes zu verursachen. Seitdem erhalten die Mitarbeiter ihre Passcodes bequem per Soft Token App, E-Mail oder SMS, je nach Endgerät. Im Einsatz sind aktuell BlackBerry-Geräte sowie iPhones und iPads. Partner und Verkäufer hingegen empfangen die Zugangscodes per E-Mail.
Optimierte Sicherheitsvorkehrungen
Neben der tokenlosen Arbeitsweise profitiert das Unternehmen außerdem von verbesserter Sicherheit. Denn wie sich herausstellte, befand sich in der zuvor genutzten tokenbasierten Lösung eine Schwachstelle im integrierten Pseudozufallszahlengenerator. Sie machte die darauf aufbauende Verschlüsselung angreifbar. SecurEnvoy geht hier einen anderen Weg. Der zur Verschlüsselung benötigte Seed Record wird stets in zwei Teile getrennt. Die eine Hälfte ist ein vorprogrammierter Code, die andere entsteht aus einem individuellen Charakteristikum des Endgeräts, zum Beispiel Informationen über die SIM-Karte oder die CPU, die zurück an den Server gesendet wird, sobald sich der Nutzer anmeldet.
Von diesen Eigenschaften leitet SecurAccess die zweite Hälfte des Seed Record ab, sodass nur die Hälfte des Record auf dem Telefon selbst gespeichert ist. Jedes Mal, wenn der User einen Passcode abfordert, entschlüsselt das Endgerät den ersten Seed Record-Part und leitet wie oben beschrieben den zweiten Teil ab. Die so erstellten Seed Records sind nur dem lokalen Security-Server bekannt; das Endgerät kennt nur eine Hälfte des gesamten Record. Auf diese Weise findet jemand, der das Endgerät hackt, nicht genug Informationen vor, um den Seed Record komplett zu rekonstruieren. Dadurch ist das Unternehmen vor Datenlecks geschützt.
Die LuLu Group plant bereits die Ausweitung ihrer User-Lizenzen. Nach der Installation gab es zwar zunächst Schwierigkeiten bei der Passcode-Zustellung per E-Mail. Dies ließ sich aber zusammen mit den Experten von CodeGreen schnell beheben. Die Gruppe setzten das tokenbasierte und das tokenlose System zunächst parallel ein, bis der Vertrag mit dem Token-Anbieter auslief und alle User nahtlos ohne Unterbrechungen oder Ausfälle auf das neue System migriert wurden.
Fazit
Die Analyse der bislang eingesetzten tokenbasierten Authentifizierungslösung ergab, dass sie auf Dauer und mit zunehmender Nutzerzahl zu teuer sowie zu umständlich in Verwaltung und Bedienung war. Mit dem Wechsel auf eine tokenlose Alternative spart die Unternehmensgruppe Kosten, da sie statt gesonderter Token vorhandene mobile Endgeräte einsetzt. Die Bereitstellung von Fernzugriffen für Partner erfolgt bequem per E-Mail; Mitarbeiter erhalten die Zugangscodes per SMS oder Soft Token App auf ihre Mobilgeräte.
ln/Andy Kemshall, Mitgründer und Technical Director bei SecurEnvoy
Token-basierte Authentifizierung auf dem Prüfstand
Als weniger innovativ empfanden Mitarbeiter, Partner und Verkäufer der LuLu-Gruppe mit der Zeit das bislang eingesetzte tokenbasierte System zur Nutzerauthentifizierung. Mittels Hardware-Tokens identifizierten sich die Befugten für den Zugriff auf das Unternehmensnetzwerk. Allerdings war die Nutzung dieses Systems mit hohen Kosten verbunden: Denn zur Anschaffung der Tokens kamen Wartungs- sowie Ersatzkosten hinzu. Außerdem gestaltete sich die Übergabe der Geräte an die Partner schwierig. Durch die internationale Ausrichtung des Unternehmens mussten auch die Tokens weltweit nutzbar sein.
Kosten sparen durch Einsatz vorhandener Devices
Da der Token-Hersteller keine Software anbot, begaben sich die Verantwortlichen der LuLu Group International auf die Suche nach einer Alternative. IT-Partner CodeGreen Systems, Anbieter von Netzwerk- und Security-Lösungen, machte sie im Zuge dessen auf das Produkt SecurAccess von SecurEnvoy aufmerksam. Das Besondere an dieser Zwei-Faktor-Authentifizierungssoftware: Sie arbeitet tokenlos, das heißt es sind keine zusätzlichen Komponenten erforderlich.
Stattdessen nutzt SecurAccess vorhandene Endgeräte wie Mobiltelefone, Laptops und Tablets. Einer der Vorteile dabei ist, dass die Nutzer diese Devices ohnehin meist bei sich tragen und darauf auch eher achtgeben als auf Hardware-Tokens. Neben den persönlichen Zugangsdaten, bestehend aus Benutzername und Passwort, müssen die Zugangsberechtigten beim Login ins Netzwerk ebenfalls eine Ziffernfolge eingeben. Nur die korrekte Kombination dieser beiden Faktoren erlaubt den Zugriff.
Der sogenannte One Time Passcode (OTP) ist einmalig gültig und besteht aus sechs Ziffern. Übermittelt wird er je nach Wunsch per SMS, E-Mail oder Festnetzanruf. Auch die Generierung der Codes innerhalb der Soft Token App für Smartphones ist möglich. Mit der neuen Server Engine-Version 7.2 von SecurEnvoy ist ein weiterer Authentifizierungsweg hinzugekommen: die One Swipe-Methode. Sie funktioniert ohne Mobilfunk- oder Internetverbindung. Möchte sich der Nutzer mittels One Swipe identifizieren, generiert er einfach einen einmalig gültigen QR-Code in der Soft Token App für Smartphones. Diese Grafik fotografiert er anschließend mit der Webcam seines Laptops, Netbooks oder Tablets ab und kann sich so eindeutig ausweisen.
Authentifizierungscodes per SMS, E-Mail und Soft Token App
Genau diese Übertragungsvielfalt der Passcodes bewog die Entscheidungsträger bei LuLu letztlich dazu, SecurAccess zu wählen. Die Installation der Lösung führte CodeGreen Systems im laufenden Betrieb durch, ohne dabei Downtimes zu verursachen. Seitdem erhalten die Mitarbeiter ihre Passcodes bequem per Soft Token App, E-Mail oder SMS, je nach Endgerät. Im Einsatz sind aktuell BlackBerry-Geräte sowie iPhones und iPads. Partner und Verkäufer hingegen empfangen die Zugangscodes per E-Mail.
Optimierte Sicherheitsvorkehrungen
Neben der tokenlosen Arbeitsweise profitiert das Unternehmen außerdem von verbesserter Sicherheit. Denn wie sich herausstellte, befand sich in der zuvor genutzten tokenbasierten Lösung eine Schwachstelle im integrierten Pseudozufallszahlengenerator. Sie machte die darauf aufbauende Verschlüsselung angreifbar. SecurEnvoy geht hier einen anderen Weg. Der zur Verschlüsselung benötigte Seed Record wird stets in zwei Teile getrennt. Die eine Hälfte ist ein vorprogrammierter Code, die andere entsteht aus einem individuellen Charakteristikum des Endgeräts, zum Beispiel Informationen über die SIM-Karte oder die CPU, die zurück an den Server gesendet wird, sobald sich der Nutzer anmeldet.
Von diesen Eigenschaften leitet SecurAccess die zweite Hälfte des Seed Record ab, sodass nur die Hälfte des Record auf dem Telefon selbst gespeichert ist. Jedes Mal, wenn der User einen Passcode abfordert, entschlüsselt das Endgerät den ersten Seed Record-Part und leitet wie oben beschrieben den zweiten Teil ab. Die so erstellten Seed Records sind nur dem lokalen Security-Server bekannt; das Endgerät kennt nur eine Hälfte des gesamten Record. Auf diese Weise findet jemand, der das Endgerät hackt, nicht genug Informationen vor, um den Seed Record komplett zu rekonstruieren. Dadurch ist das Unternehmen vor Datenlecks geschützt.
Die LuLu Group plant bereits die Ausweitung ihrer User-Lizenzen. Nach der Installation gab es zwar zunächst Schwierigkeiten bei der Passcode-Zustellung per E-Mail. Dies ließ sich aber zusammen mit den Experten von CodeGreen schnell beheben. Die Gruppe setzten das tokenbasierte und das tokenlose System zunächst parallel ein, bis der Vertrag mit dem Token-Anbieter auslief und alle User nahtlos ohne Unterbrechungen oder Ausfälle auf das neue System migriert wurden.
Fazit
Die Analyse der bislang eingesetzten tokenbasierten Authentifizierungslösung ergab, dass sie auf Dauer und mit zunehmender Nutzerzahl zu teuer sowie zu umständlich in Verwaltung und Bedienung war. Mit dem Wechsel auf eine tokenlose Alternative spart die Unternehmensgruppe Kosten, da sie statt gesonderter Token vorhandene mobile Endgeräte einsetzt. Die Bereitstellung von Fernzugriffen für Partner erfolgt bequem per E-Mail; Mitarbeiter erhalten die Zugangscodes per SMS oder Soft Token App auf ihre Mobilgeräte.
ln/Andy Kemshall, Mitgründer und Technical Director bei SecurEnvoy