Mach’s den Hackern nicht leicht

Multifaktor-Authentifizierung erschwert es Angreifern, an Anmeldedaten von Nutzenden zu kommen. Das RRZE hat 2023 für die Einführung sogenannter YubiKeys an der FAU ein Geschenk des Ministeriums erhalten.

Die Wohnungstür abschließen oder das Fahrrad anschließen – das ist sinnvoll, um es Einbrechern und Dieben nicht zu leicht zu machen. Genauso verhält es sich mit der IT-Sicherheit. Um es Hackern nicht zu leicht zu machen, sind Passwörter eine erste Hemmschwelle – eine weitere Hürde ist ein zusätzlicher Authentifizierungs-Faktor, wie zum Beispiel die Methode One-Time-Password (OTP). Für die Multifaktor-Authentifizierung (MFA) gibt es am RRZE zwei mögliche Verfahren: Hardware- und Software-basierte. Software-Tokens werden mithilfe einer Anwendung über das jeweilige Endgerät zur Verfügung gestellt, während Hardware-basierte einen Hardware-Token, zum Beispiel einen YubiKey benötigen.

Der YubiKey ist ein Produkt der Firma YubiCo und sieht aus wie ein ganz normaler USB-Stick, ist aber nicht für den Transport von Daten, sondern für die Generierung eines OTP vorgesehen. Melden sich Nutzende zum Beispiel beim Identity Management (IdM) an, werden sie nach einem OTP gefragt. Stecken sie daraufhin ihren YubiKey ein, generiert die Software im Hintergrund mittels Secret-ID und Public-ID ein One-Time-Password. Dieses Prinzip ist für jeden YubiKey individuell und ein solches OTP gilt nur für diesen einen Anmeldeprozess. „Der entscheidende Vorteil eines zweiten Faktors ist der, dass jemand, der ein IdM-Passwort stiehlt, sich trotzdem nicht einfach anmelden kann, weil ihm der zweite Faktor fehlt“, erklärt Andrei Galea. Er ist Mitarbeiter der Unix-Gruppe am RRZE und für die Multifaktor-Authentifizierung verantwortlich.

Für Administratoren verpflichtend

Aktuell betrifft das insbesondere Personen, die an der FAU Administratorrechte besitzen. Stück für Stück wird MFA für weitere Dienste und Benutzergruppen an der FAU verpflichtend. Um das zu unterstützen, hat der Digitalverbund Bayern sich für eine zentrale Beschaffung von Hardware-Token für Universitäten und Hochschulen in Bayern eingesetzt. Der Digitalverbund Bayern ist ein Zusammenschluss aller bayerischen IT-Verantwortlichen an Universitäten und Hochschulen. Er dient dem Austausch und der gegenseitigen Unterstützung. Um MFA an den bayrischen Hochschulen voranzutreiben, wurde jeder Hochschule ein bestimmtes Kontingent an YubiKeys vom Bayrischen Staatsministerium für Wissenschaft und Kunst kostenfrei zur Verfügung gestellt.

So hat das RRZE 3.800 YubiKeys zur Verfügung und gibt diese systematisch an Nutzerinnen und Nutzer der FAU aus. Damit die Einrichtung für alle Nutzenden an der FAU unkompliziert ist, gibt es zudem ein Tool, das die Einrichtung automatisiert. Ist ein zweiter Faktor für einen Nutzer oder eine Nutzerin eingerichtet, ist dieser verpflichtend zu nutzen.

„Der Vorteil gegenüber einem zeitbasierten One-Time-Password ist, man steckt den YubiKey ein und das One-Time-Password wird auf Knopfdruck generiert. Es ist also ein Eckchen bequemer, als das Handy rauszuholen, ein Passwort generieren zu lassen und den sechsstelligen Code einzutippen“, erklärt Galea. Besonders empfehlenswert sei die Einrichtung beider Verfahren. Dadurch könne man sich trotzdem einloggen, sollte man sein Smartphone zuhause vergessen oder seinen YubiKey verlieren. Im Falle des Verlusts kann man dann auch den anderen Token selbst sperren. Ansonsten ist ein Zurücksetzen nur mit Ausweiskontrolle an der Zentralen Service-Theke des RRZE möglich. Schritt für Schritt wird MFA an der kompletten FAU für immer mehr Dienste eingeführt, um es Angreifern immer schwerer zu machen, in die Systeme einzudringen.

 

Anleitung der Einrichtung eines YubiKeys.

 


Text: Corinna Russow