Aktivieren von Multifaktor-Authentifizierung (MFA) für ein SX-GATE Benutzerkonto

    Was ist Multifaktor-Authentifizierung (MFA) mit TOTP?

    Die Multifaktor-Authentifizierung (MFA) ist eine zusätzliche Sicherheitsmaßnahme, die den Zugang zu einem Konto oder System schützt. Neben dem üblichen Passwort wird ein zweiter Faktor benötigt, um die Identität des Nutzers zu bestätigen.
    Eine häufig verwendete Methode für MFA ist TOTP (Time-based One-Time Password). Dabei handelt es sich um ein zeitbasiertes Einmalpasswort, das alle 30 Sekunden neu generiert wird.  Dieses Passwort kann entweder durch eine Authenticator-App (z. B. Google Authenticator, Microsoft Authenticator, AuthPoint) oder durch ein Hardware-Token (z. B. TOTP Token/Cards von Token2 - Model: Token2 OTPC-P1-i) erstellt werden.

    Wie funktioniert TOTP?

    1. Ersteinrichtung:
      Der Nutzer scannt einen QR-Code oder gibt einen geheimen Schlüssel in eine Authenticator-App ein.
      Alternativ kann ein Hardware-Token bereits vorab mit dem geheimen Schlüssel programmiert und einsatzbereit sein.
    2. Generierung von Codes:
      Die App oder das Hardware-Token erzeugt fortlaufend Einmalpasswörter, die nur für kurze Zeit gültig sind.
    3. Anmeldung mit MFA:
      Bei jeder Anmeldung gibt der Nutzer sein Passwort ein und anschließend den aktuellen TOTP-Code aus der App oder vom Hardware-Token.
    4. Sicherheit:
      Selbst wenn das Passwort gestohlen wird, kann sich ein Angreifer ohne den Einmalcode nicht anmelden.
      Hardware-Tokens bieten zusätzlichen Schutz, da sie nicht durch Malware oder Phishing kompromittiert werden können.

    Durch den Einsatz von TOTP-MFA wird der Schutz von Benutzerkonten erheblich verbessert, da ein erfolgreicher Login nicht mehr allein von einem Passwort abhängt. Insbesondere Hardware-Token bieten eine besonders sichere und unabhängige Möglichkeit, TOTP-Codes zu generieren, ohne auf ein Smartphone angewiesen zu sein.

    Wie aktiviere ich die Multifaktor-Authentifizierung (MFA) für ein SX-GATE Benutzerkonto?

    1. Melden Sie sich als Administrator in der Konfigurationsoberfläche des SX-GATE an.
    2. Wählen Sie das Menü "System" > "Benutzerverwaltung" > "Benutzer" und wählen Sie einen Benutzer aus. Klicken Sie dazu auf dem Anmeldenamen und fahren Sie mit Punkt 7 fort.
    3. Alternativ dazu legen Sie einen neuen Benutzer an. Wählen Sie dazu in der Tabelle "Benutzer" links unten die Schaltfläche "Neuer Eintrag".
    4. Vergeben Sie einen Benutzernamen, Vorname, Nachname und ein Kennwort für den neuen Benutzer.
    5. Wählen Sie die Schaltfläche "Weiter".
    6. Fügen Sie den Benutzer zur Gruppe "system-ras" hinzu. Speichern Sie die Einstellungen mit "Übernehmen".
    7. Wählen Sie den Tab "Passwort" aus. Die Option "Einmal Passwörter" sollte noch "deaktiviert" sein.
    8. Klicken Sie in dieser Zeile die Schaltfläche "Weiter".
    9. Wählen Sie jetzt die Option "160-Bit Schlüssel generieren" aus. Über die Schaltfläche "Fertigstellen" speichern die die Einstellungen ab.

      Alternative:
      Falls bereits ein TOTP Secret Key vorhanden ist, so kann dieser hier eingetragen werden. Dieses Vorgehen bietet sich z.B. bei einen bereits eingerichtetem Hardware-Token an, welches für mehrere Benutzerkonten eingesetzt werden soll. Sie umgehen damit das Verwenden einer zusätzlichen Token- oder Authenticator-Lösung.

    10. Jetzt werden der erzeugte OTP-Schlüssel und zusätzlich ein QR-Code angezeigt. Der QR-Code wird für das Einlesen des erzeugten OTP-Schlüsseln auf Smartphones oder dafür ausgelegten Hardware-Token verwendet. Bei Verwendung eines Hadware-Token in Form einer Checkkarte benötigen Sie den OTP-Schlüssel. Dieses verwenden Sie z.B. innerhalb des NFC-Writers, um den Hardware-Token zu initialisieren.
    11. Wenn Sie den QR-Code z.B. mit der Smartphone-App eingescannt haben, dann ist der Vorgang zur Aktiverung von MFA für dieses Benutzerkonto angeschlossen.

    Hintergrundinformationen

    Warum gibt es OTP-Schlüssel mit 160, 120 und 80 Bit Schlüssellänge?

    Einmalpasswörter (OTP – One-Time Passwords) werden zur sicheren Authentifizierung verwendet. Die für ihre Erzeugung genutzten Schlüssel haben je nach Implementierung unterschiedliche Längen. Besonders verbreitet sind 160, 120 und 80 Bit, die in verschiedenen Systemen und Hardware-Tokens zum Einsatz kommen.

    Die verschiedenen Schlüssellängen und ihre Hintergründe.

    1. 160 Bit Schlüssel
      • 160-Bit-Schlüssel sind ein etablierter Standard in OTP-Systemen.
      • Diese Länge basiert auf der weit verbreiteten SHA-1-Hash-Funktion und wird in vielen gängigen Software- und Hardware-Authentifizierungslösungen eingesetzt.
      • Sie bieten eine hohe Kompatibilität und werden oft für softwarebasierte OTP-Generatoren sowie leistungsfähige Hardware-Tokens verwendet.

    2. 120 Bit Schlüssel
      • 120-Bit-Schlüssel sind eine alternative Implementierung, die in bestimmten OTP-Systemen genutzt wird.
      • Sie können in ressourcenoptimierten Token zum Einsatz kommen, insbesondere in Geräten mit begrenzter Rechenleistung oder Speicher.
      • Diese Schlüssellänge ermöglicht eine effizientere Verarbeitung und kann helfen, die Betriebsdauer von batteriebetriebenen Token zu verlängern.

    3. 80 Bit Schlüssel
      • 80-Bit-Schlüssel werden in speziellen OTP-Implementierungen verwendet, insbesondere bei einfacheren oder älteren Hardware-Token.
      • Diese Token sind häufig auf eine kompakte und stromsparende Architektur ausgelegt und benötigen daher eine Schlüssellänge, die weniger Rechenleistung erfordert.
      • Der geringere Speicherbedarf kann in Smartcards, kostengünstigen Token oder in Umgebungen mit besonders begrenzten Hardware-Ressourcen von Vorteil sein.

    Warum gibt es verschiedene Schlüssellängen?


    Die Wahl der Schlüssellänge hängt von mehreren Faktoren ab, darunter:

    • Systemanforderungen:
      Unterschiedliche Anwendungen erfordern verschiedene Balancepunkte zwischen Sicherheit, Performance und Speicherbedarf.

    • Hardware-Kompatibilität:
      Besonders bei dedizierten Tokens oder Smartcards kann eine optimierte Schlüssellänge notwendig sein.

    • Effizienz und Leistung:
      Weniger leistungsfähige oder batteriebetriebene Geräte profitieren von optimierten Berechnungen mit geringeren Schlüssellängen.

    FAQs

    Fragen:
    Wie kann ich den QR-Code erneut anzeigen lassen, damit ich den TOTP-Schlüssel in meiner Smartphone-App installieren kann?

    Antwort:
    Der generierte TOTP Secret Key wird innerhalb der SX-GATE Konfiguration gespeichert. Damit ist es möglich den QR-Code erneut zu generieren. Gehen Sie dazu in die Konfiguration des Einmal-Passworts im Benutzerkonto. Sie können dort den TOTP Secret Code in maskierter Form sehen. Über den Klick auf das Schlosssymbol in der Eingabezeile wird dieser sichtbar angezeigt. Mit Klick auf "Fertigstellen" wird der QR-Code erbeut generiert und angezeigt. Der bisher vorhandenen TOTP Secret Code wird dabei nicht verändert und bleibt vollständig erhalten. Sie können den QR-Code bei Bedarf neu generieren und anzeigen lassen.
    Tags
    MFA
    Veröffentlicht