Um sich noch sicherer mit dem PC oder einem mobilen Computer von unterwegs ins Unternehmensnetz zu verbinden, setzt team2work mit SSH-VPN zusätzlich auf die Multi-Faktoren-Authentifizierung. Dabei verbindet sich jeder Anwender mit dem Unternehmens-PC oder Server über seinen SEC-Stick mit dem SEC-Stick Server. Zum physischen SEC-Stick (Besitz) benötigt der Anwender ein Passwort (Wissen). Bei der zusätzlichen TOTP-Authentifizierung wir das Passwort individuell generiert und ist nur eine gewisse Zeit gültig und als weiterer Authentifizierungs-Faktor besonders sicher. Warum ist das von Vorteil?
Viele Passwörter für mehr Sicherheit
Wir alle geben täglich Passwörter in diverse Anwendungen ein: Social-Media-Plattform, beim Onlineshopping oder dem Banking im Internet. Diese Passwörter sichern unsere sensiblen Daten vor Zugriffe von anderen Menschen. Aber Tatsache ist, dass noch immer viele Nutzer nicht genug Sorgfalt walten lassen, was unter anderem mit der Menge an Passwörtern zusammenhängt, die sie „verwalten“ müssen. Einfache Passwörter lassen sich von Profis innerhalb von Sekunden knacken. Weitere Aspekte sind, dass Passwörter nicht sicher aufbewahrt werden (eine Haftnotiz am Monitor ist bei Weitem nicht unüblich) oder, dass Passwörter bei den Anbieter-Diensten nicht ausreichend gesichert werden und im Falle eines Datenklaus sensible Passwörter ins Netz gestellt werden.
Wer genau wissen will, ob sein Passwort sicher ist, kann zum Beispiel über den Dienst von https://haveibeenpwned.com/ checken, ob sein Passwort durch ein Datenleck gestohlen wurde. Unerlässlich ist, Passwörter regelmäßig zu ändern, oder einen Passwortmanager zu verwenden.
Die TOTP-Authentifizierung
Eine Möglichkeit, das Risiko zu minimieren, ist die TOTP-Authentifizierung. Dabei wird mit Hilfe eines zusätzlichen Gerätes, wie z.B. einem Smartphone oder einem Token ein nur für kurze Zeit gültiges Einmal-Passwort generiert. Ein Passwort, das also nur über ein bestimmtes Gerät und für eine kurze Zeit zur Verfügung steht. Wird das Passwort, das via Token oder App über das Internet übermittelt wird, einmal oder nicht in der entsprechenden Zeit verwendet verfällt es und ist ungültig.
Die einfachste Lösung wäre also, das Passwort ständig zu ändern, was aber sehr lästig wäre und viel Disziplin benötigt. Genau das Prinzip steckt aber hinter TOTP. Ein Passwort, das immer dann, wenn es gebraucht wird neu generiert wird und dann nur für kurze Zeit gültig ist. Somit reduziert sich das Risiko, dass Kriminelle ein Passwort ausspionieren, denn es bringt nichts, dieses zu speichern oder es zu knacken (die Zeit reicht einfach nicht aus).
Das Prinzip basiert auf einem Algorithmus den die Internet Enineering Task Force (IETF), eine Arbeitsgruppe, die sich mit der technischen Weiterentwicklung des Internets und vor allem mehr Sicherheit im Internet befasst, 2011 veröffentlicht hat. Im Kern bildet der TOTP-Algorithmus Passwörter bestehend aus einer Zahlenfolge, die mit einem Zeitstempel (Unixzeit = Sekundenwert, der seit dem 01. Januar 1970 gezählt wird) versehen sind. Da es sich um ein kryptografisches Verfahren (auch Hashfunktion genannt) handelt, werden diese Zeichenfolgen in eine neue Zeichenkette umgewandelt, was tatsächlich keine Verschlüsselung, sondern eine irreversible Zerstückelung ist. Das Passwort wird generiert und ist für die entsprechende Zeit dem Nutzer über die App oder Token UND dem Server auf der Gegenseite bekannt.
FreeOTP kann individuell Buchstaben Zahlen und Länge und Zeit handeln, Google nicht!
Die Hashfunktion unterscheidet sich von Authentifikator zu Authentifikator. So wird z.B. beim Google Authenticator ein Hashwert mit einer Länge von 160 Bit generiert. Damit das Passwort dann nicht zu lang ausfällt, wird es komprimiert und ist am Ende z.B. 6 Zeichen lang. Das ist das Passwort, das dann dem Anwender per App auf das Smartphone oder über den Token übermittelt wird.
Mehr Sicherheit mit vielen Authentifikatoren
Zum direkten SSH-VPN-Tunnel, der an sich schon sehr sicher ist, kommt nun in der aktuellen Version des SEC-Stick Servers zusätzlich die Zwei-Faktor-Authentifizierung hinzu. team2work hat bei der Integration darauf geachtet, dass alle gängigen Authentifikatoren wie Microsoft Authenticator, FreeOTP oder Google Authenticator eingesetzt werden können.
Alle Parameter können in dem SEC-Stick Server selbst definiert werden und dem eigenen Sicherheitsniveau angepasst werden.