In Sammlung (en) In der gespeicherten
  1. Ingenieurwissenschaft
  2. Informatik
  3. Datenbank

Freie und flexible Zweifaktorauthentisierung mit LinOTP

Werbung 
Freie und flexible
Zweifaktorauthentisierung mit
LinOTP
17.03.2012 – CLT2012
Cornelius Kölbel, Stand 15.03.2012/, Revision 1
LSE Leading Security Experts GmbH
Seite: 1
Ansprechpartner
 Dipl.-Phys. Cornelius Kölbel, Leiter Produktmanagement
[email protected]
 LSE Leading Security Experts GmbH
Robert-Koch-Str. 9
64331 Weiterstadt
 Tel.: 06151 / 9067 – 0
Fax: 06151 / 9067 – 299
http:// www.lsexperts.de
LSE Leading Security Experts GmbH
Seite: 2
Identitäten und Authentifizierung
Wissen und Besitz






1968: Odyssee im Weltraum: HAL macht Stimmerkennung
1971: Diamantenfieber: James Bond macht
Fingerabdrücke
1982: Bladerunner: Rick Deckard macht Retina-Scan
1982: Zorn des Khan: Captian Kirk macht Retina-Scan
1986: RSA macht SecureID(R)
Smartcard, Token, Einmal-Passwörter, Biometrie, OTP
LSE Leading Security Experts GmbH
Seite: 3
Hersteller und Algorithmen


Viele verschiedene Hersteller
Viele verschiedene Algorithmen
– OATH/ HOTP, TOTP, OCRA
– mOTP
– AES
– DES
– DPW, md5
– ...
LSE Leading Security Experts GmbH
Seite: 4
Algorithmen



Zeit oder Ereignis → Zähler, counter,
movingFactor
Seed: geheimer Schlüssel
Im Wesentlichen:
– OTPvalue = otpAlgorithm(Seed,
movingFactor )
LSE Leading Security Experts GmbH
Seite: 5
Token Typen

Soft-Token

SMS-Token

Preseeded Hardware-Token

Seedbare Hardware-Token
LSE Leading Security Experts GmbH
Seite: 6
Benutzer

LDAP

SQL

Flat file
(wer was anderes kennt, bekommt kostenfrei eine 60-Tage Lizenz für 10 Token)
LSE Leading Security Experts GmbH
Seite: 7
Mandanten




Diensteanbieter
Hosted Services
Unternehmen (Abteilungen)
Universitäten (Fachbereiche)
LSE Leading Security Experts GmbH
Seite: 8
Workflow-Integration

Einbindung von Management-Funktionen
– Ausrollen von neuen Token
– Sperren oder löschen von Token (HR)
– PIN/Passwort Reset (Helpdesk)

Einbindung von selfservice-Funktionen

Authentisierung an verschiedensten Systemen
LSE Leading Security Experts GmbH
Seite: 9
LinOTP: flexibel, modular






Authentisierung
Audit
Benutzer
Token
Management und
„Self-Management“
Token-Datenbank
LSE Leading Security Experts GmbH
Seite: 10
Hersteller und Algorithmen:
Authentisierungs-Devices

Abstraktion der Token-Funktion
– → leichte Einbindung neuer Tokentypen
–

(vasco noch nicht aufgeführt, 70 Zeilen Code!)
SMS Token:
– Abstraktion der
SMS-Zustellung
LSE Leading Security Experts GmbH
Seite: 11
Benutzer und Mandanten:
UserIdResolver und Realms


Beliebige Anzahl an
UserIdResolvern
verschiedenster Art
Stellen flexible Verbindung zu
Benutzerquellen her
– SQL: Spalten wählbar
(sqlalchemy: MS SQL, Oracle,
MySQL, PostgresQL....)
– LDAP: Attribute map-bar
(AD, OpenLDAP, eDirectory, Penrose
virtual directory)
LSE Leading Security Experts GmbH
Seite: 12
Benutzer und Mandanten:
UserIdResolver und Realms


Beliebige Bündelung der Resolver zu
Realms
Eindeutige Identifizierung eines
Benutzerobjekts im System:
– Realm
– UserIdResolver (Klasse, Instanz)
– UId
LSE Leading Security Experts GmbH
Seite: 13
Benutzer und Token:
Token-Datenbank

Zuordnung der Token in der Token-Datenbank zum Benutzerobjekt (Realm,
UserIdResolver, UId)
LSE Leading Security Experts GmbH
Seite: 14
Benutzer und Token:
Token-Datenbank

SQL Alchemy

Redundanz
LSE Leading Security Experts GmbH
Seite: 15
Workflow-Integration
API für Management und
Authentisierung

API für Management, Selfservice
und Authentisierung
LSE Leading Security Experts GmbH
Seite: 16
Workflow-Integration
API für Management und
Authentisierung


→ Einbindung in bestehende Applikationen
→ Management-Zugriffe steuerbar durch Rechte-Konzept und Policy-Definitionen
– → Mandantenfähigkeit
LSE Leading Security Experts GmbH
Seite: 17
PCI-DSS –
Audit Trail

Tracken von
– Management-Aktivitäten
– Benutzer-Aktivitäten
– Benutzer-Authentisierungen

Modularität (File, SQL, …)

API erlaubt Signatur-Prüfung und Lösch-Identifizierung
LSE Leading Security Experts GmbH
Seite: 18
LinOTP: flexibel, modular, offen







Flexibler Austausch von Token-Datenbank und AuditModul
Hinzufügen von Token-Typen
Hinzufügen von Benutzer-Quell-Anbindungen
Einbindung von Management-Funktionalitäten
(Management API)
Anbindung an Applikationen und Dienste
(Authentisierungs API)
AGPLv3 Kern
auditierbar
LSE Leading Security Experts GmbH
Seite: 19
Ausblick


Appliance März 2012
Flexibles Konzept gibt es her:
– 2012: Smartcard/Zertifikats-Unterstützung und
Anbindung von PKI-Komponenten
LSE Leading Security Experts GmbH
Seite: 20
Hands on




LDAP-Resolver:
– Verschiedene Quellen
„nuruser“, „local“ und „obrigkeit“
SMS OTP:
– Trigger mittels PIN-auth
Tokeninfo:
– max_auth_success
– Siehe Lost-Token
Autoassignment:
– Enrollment einfach wie nie mit der „realm1“, user
„raff“
LSE Leading Security Experts GmbH
Seite: 21
Zugehörige Unterlagen
01. Juni 2015 - AASSET Security GmbH
01. Juni 2015 - AASSET Security GmbH
Tablarträger, schwere Ausführung Stahl - zum GELA-Shop
Tablarträger, schwere Ausführung Stahl - zum GELA-Shop
Pressemitteilung Infotecs veröffentlicht ViPNet
Pressemitteilung Infotecs veröffentlicht ViPNet
Curriculum Nicolas Wüthrich
Curriculum Nicolas Wüthrich
Klausur vom Sommersemester 2013 als PPTX
Klausur vom Sommersemester 2013 als PPTX
STW Telekom – Security Audit Wir erhöhen die IT
STW Telekom – Security Audit Wir erhöhen die IT
Titel des Moduls: Application Security
Titel des Moduls: Application Security
«Der Wert einer Idee misst sich nicht in Stunden, sondern an ihrer
«Der Wert einer Idee misst sich nicht in Stunden, sondern an ihrer
Attraktives Angebot für kleine und mittelständische - Login
Attraktives Angebot für kleine und mittelständische - Login
IT Applications Engineer (m/w)
IT Applications Engineer (m/w)
Sicherheit ist wieder hoch im Kurs
Sicherheit ist wieder hoch im Kurs
Security Reporting System.pub
Security Reporting System.pub
Folien
Folien
Total Authentisch - Die Mutter aller Recruitingfilme
Total Authentisch - Die Mutter aller Recruitingfilme
Stormshield Endpoint Security - Airbus Defence and Space
Stormshield Endpoint Security - Airbus Defence and Space
Printversion (721,1 KiB)
Printversion (721,1 KiB)
Studenten gesucht! Traumjobs geboten!
Studenten gesucht! Traumjobs geboten!
Spezifische Programmdokumentation
Spezifische Programmdokumentation
Sicherheitsaspekte Sicherheitsaspekte bei der Nutzung mobiler
Sicherheitsaspekte Sicherheitsaspekte bei der Nutzung mobiler
Seminarvortrag – Security
Seminarvortrag – Security
Herunterladen
Werbung