Zertifikatsgestützte Sicherheit
Single Sign-On mit Krypto-Token
Die Kombination eines serverbasierten Zulassungsmanagements mit einer zertifikatsgestützten kryptographischen Zweifaktor-Authentifizierung verbessert entscheidend die Sicherheit der Autorisierungsprüfung bei allen angeschlossenen Systemen. Dies gilt auch für kennwortbasierende Varianten.
Professionelles Zugangsmanagement auf Serverbasis mit Zugriffsmöglichkeit auf starke
Authentifizierung ermöglicht über die Sicherheistvorteile hinaus eine höhere Flexibilität bei der
Wahl der tatsächlichen Anmeldemethode, wodurch die Rollout-Problematik einer PKI-basierten
Anmeldevariante entspannt wird. Die Konzentration auf besonders sicherheitskritische
Unternehmensbereiche fällt damit leichter.
Ein serverbasiertes Zulassungsmanagementsystem verwaltet alle Benutzer des
Single-Sign-On-Systems (SSO) zentral und ordnet diese Benutzer zu Benutzerkonten auf allen
Zielsystemen mit den jeweils aktuellen Zugangsinformationen zu. Der Benutzer wird nur mit einem
einzigen Anmeldevorgang konfrontiert, durch die er sich gegenüber dem SSO-Server authentifizieren
muss. Dadurch wird er für die entsprechenden Zielsysteme zugelassen. Die eigentliche Anmeldung an
den Zielsystemen nimmt eine Client-Komponente für den Benutzer unsichtbar vor.
Für Zielsysteme können Vorschriften zur automatischen Änderung hinterlegt werden; so lassen sich
beispielsweise auf passwortbasierten Systemen die Benutzerpasswörter in wählbaren Intervallen mit
zufällig generierten Kennwörtern automatisch durch das SSO-System ändern. Die modifizierten
Passwörter werden im Repository hinterlegt und dem SSO-Client übermittelt. Der Benutzer kommt mit
diesen Zufallspasswörtern nicht in Verbindung, muss sie sich also auch nicht merken.
Beim kombinierten Einsatz von PKI-basierter Authentifizierung und einem
Zulassungsmanagementsystem ist es wichtig, Benutzerauthentifizierung und Applikations-Login
voneinander zu trennen. Dann können nach Wunsch völlig unterschiedliche Anmeldeverfahren parallel
betrieben werden. Die Anmeldung mit einem signaturgesetzkonformen USB-Token oder mit einer
Smartcard (beides im Folgenden als "Token" bezeichnet) bietet dabei besonders hohe Sicherheit.
Dabei kommt ein übliches Challenge-Response-Verfahren zum Einsatz. Der Server verifiziert, ob der
Benutzer den privaten Schlüssel besitzt, indem er ihn eine zufällig generierte Bytefolge
(Challenge) kryptographisch signieren lässt. Der private Schlüssel verlässt dabei nicht das
Anmelde-Token, da die kryptographischen Operationen vom Token selbst durchgeführt werden. Auf der
anderen Seite ist es keineswegs notwendig, die in das System integrierten Anwendungen auf
PKI-Anmeldeverfahren umzustellen. Bei passwortgestützten Zielsystemen können das Passwort und sogar
die User-IDs auf den verschiedenen Systemen unterschiedlich sein.
In einem SSO-System hat der angemeldete Benutzer direkten Zugriff auf alle seine Zielsysteme.
Daher kommt der Sicherheit der Authentifizierung und dem Schutz der angemeldeten Session besondere
Bedeutung zu. Die kryptographische Anmeldung per Token deckt beide Anforderungen ab.
Die Authentifizierung des Benutzers erfolgt nicht nur durch Wissen, also ein Passwort, sondern
durch die zwei Faktoren "Wissen" und "Besitz": Zur Anmeldung ist der Besitz des Token und die
Kenntnis des Kennworts nötig, mit dem das Token gesperrt wurde. Im Smartcard-Umfeld wird hier oft
von einer PIN gesprochen – wohl aus der Tradition von Banken heraus, Karten durch eine vier- oder
fünfstellige Zahl zu sichern. Bei modernen kryptographischen Tokens handelt es sich bei dieser "PIN"
allerdings um ein allgemeines Passwort oder gar einen ganzen Satz.
Sicherheitsaspekte
Das Zulassungsmanagementsystem bietet allerdings auch zusätzliche Sicherheit gegenüber einer
reinen Token-Lösung, denn bei Verlust eines Tokens muss nur das dazugehörige Zertifikat zentral
gesperrt werden. Zugangsinformationen zu Zielsystemen befinden sich nicht oder nur in einem zentral
administrierbaren Umfang auf dem Token, sodass Zugänge nicht auf jedem Zielsystem geändert werden
müssen.
Die laufende Sitzung eines Benutzers lässt sich durch konsequenten Einsatz der Bildschirmsperre
und den Einsatz des Tokens für verschiedenste Leistungen im Unternehmen sichern. Sobald das Token
abgezogen ist, sperrt das System die Sitzung (alternativ kann die Sitzung auch sofort beendet
werden).
Wenn das Token aber auch zur Zugangskontrolle, für die Kaffeemaschine, die Bezahlung in der
Kantine und so weiter eingesetzt wird, muss es der Mitarbeiter überall mitnehmen und wird
demzufolge selten vergessen, es abzuziehen. Natürlich bleibt es möglich, die Sitzung auch nach
einer gewissen Zeit der Inaktivität zu sperren. Auch in diesem Fall ist zum Freischalten die
PIN-Eingabe für das Token nötig.
Wie sieht es aber mit der Sicherheit der Anmeldung an den Zielsystemen aus? Schließlich werden
hier häufig noch alte User-ID/Passwort-Mechanismen verwendet. Hier greift die Funktion der
automatischen Passwortänderung durch das Zulassungmanagementsystem. Auf allen angeschlossenen
passwortbasierten Zielsystemen können automatisch neue, zufällige Kennwörter gesetzt werden, die
den auf dem System verfügbaren Passwortraum vollständig ausnutzen. Die Häufigkeit einer solchen
Änderung ist zentral administrierbar. Systeme mit kleinem erlaubten Passwortbereich schränken also
nicht mehr den Kennwortraum für andere Systeme ein – ein Problem nicht nur in
Passwortsynchronisationssystemen, sondern auch in unabhängig betriebenen Systemen, da Benutzer dazu
neigen, ihre Passwörter möglichst auf allen Systemen selbst synchron zu halten.
Gelingt es einem Angreifer also, ein Passwort für ein Zielsystem herauszufinden, ist der Schaden
auf dieses Zielsystem und den Zeitraum bis zur nächsten automatischen Änderung begrenzt. Da die
Passwortwechsel durch den Server durchgeführt werden, gilt dies auch für selten benutzte Systeme.
Auch die Zugänge eines Mitarbeiters, der seinen Jahresurlaub nimmt, werden somit weiter mit neuen
Passwörtern versehen – ein Sicherheitseffekt, den man durch reine Passwortalterungsregeln nicht
erreicht.
Neben Sicherheitsvorteilen gewinnt das Unternehmen durch die Kombination mit
Zulassungsmanagementsystemen aber auch Flexibilität bei Betrieb und Rollout von PKI-basierten
Authentifizierungsverfahren, da zum Beispiel eine User-ID/Kennwort-gestützte SSO-Anmeldung parallel
zur PKI-basierten Anmeldung eingesetzt werden kann. Die Anwendungsserver müssen dabei nicht für die
eingesetzten Authentifizierungsverfahren vorbereitet werden, da die Anmeldung auf dieser Ebene
unabhängig von der Authentifizierung ist.
Im Zuge eines Rollout-Prozesses kann der Arbeitsplatz von einem Tag zum andern von
User-ID/Passwort-Anmeldung auf Token-basierte Anmeldung umgestellt werden, ohne dass sich sein
Arbeitsablauf nach erfolgter Anmeldung ändern würde, oder die von ihm benutzten Systeme
umkonfiguriert werden müssten. Darüber hinaus kann sich ein- und derselbe Benutzer mit Token oder
Passwort anmelden – zum Beispiel an einem Arbeitsplatz, der noch nicht für Token-Anmeldung
ausgerüstet ist.
Außerdem ist es möglich, den Einsatz der PKI-Anmeldung auf bestimmte Abteilungen zu beschränken,
für deren Authentifizierungsmechanismen besonders hohe Sicherheitsanforderungen bestehen. Die
Übermittlung bestimmter Zulassungen durch den SSO-Server lässt sich dabei auf ein bestimmtes
Sicherheitsniveau der Benutzerauthentifizierung beschränken, so dass zum Beispiel der Zugang zu
einem sensitiven Personalsystem nur bei Token-Authentifizierung zur Verfügung steht.
Lesen Sie mehr zum Thema
