IT-Sicherheit

Passwortsicherheit am mobilen Arbeitsplatz

Mit zunehmender Flexibilität durch Homeoffices und damit steigender Mobilität im Berufsalltag, werden Identifizierung, Authentizität und Autorisierung im digitalen Raum immer wichtiger. Oftmals gibt es nicht nur ein Domänen- Passwort pro Mitarbeiter, sondern eine Reihe Weiterer für andere Dienste, Logins und Services, deren Passwörter regelmäßig gewechselt werden sollten.

Eine sichere Verwaltung der Passwörter und regelmäßiges Passwortwechseln stehen nicht selten im Konflikt mit Bequemlichkeit und Außerachtlassung der Vorgaben. Denken Sie beispielsweise an Post-It´s, die an Bildschirme geklebt werden oder diverse digitale Speicherorte, wie Textfiles auf dem Desktop, USB-Sticks usw. Ein weiteres Sicherheitsrisiko ist die Übertragung von Passwörtern durch unverschlüsselte WLANs, nicht gesicherte FTP-, HTTP-, SMTP- oder IMAP-Verbindungen. Man sollte nicht davon ausgehen, dass man selber von Pishing-Emails, kompromittierten Webservern, Keyloggern etc. ausgeschlossen ist.

Eine Möglichkeit zur Verwaltung und Absicherung von Passwörtern sind sogenannte Hardware- oder OTP-Token. Hardware-Token generieren Einmalpasswörter (OTP: One Time Passwords) und bieten eine 2-Faktor-Authentifizierung an. Die 2-Faktor-Authentifizierung bei Hardware-Token funktioniert, indem zwei Komponenten für ein Login nötig sind, um Zugang zu einem System oder Dienst zu bekommen. Die Komponenten funktionieren nur zusammen und müssen dem Anwender bei Verwendung zur Verfügung stehen. Sollte ein Passwort also abgephisht werden, ist ein Login ohne den Hardware-Token durch Dritte nicht möglich.

Als Beispiele für Hardware-Token sei der RSA SecurID-Token, der Yubikey von Yubico oder auch der c200 OTP-Token von Feitian genannt. Ein mit Abstand sehr einfach zu handhabender und kostengünstiger Vertreter ist der Hardware-Token – der Yubikey. Im Geschäftsumfeld findet Yubikey immer mehr Anwendung aufgrund seines hohen Sicherheitsstandards und der geringen Anschaffungskosten. Es handelt sich dabei um einen USB- und NFC-Token, der durch implementierte Mehrfachauthentifizierungsprotokolle viele Dienste gleichzeitig absichern kann.

Mit verbaut wurden kryptografische Protokolle, U2F (Universal 2nd Factor von FIDO) und eine Smartcard- Funktion (PIV, OpenPGP, OATH). Der Key emuliert eine USB-Tastatur und verwendet ein bis zu 44 Zeichen langes Passwort. Ein Beispielszenarium ist die Verwendung von Yubikey bei Homeoffice-Arbeitsplätzen. Hier werden mehrere Hardware-Geräte wie Laptop und Mobiltelefon vom Arbeitnehmer zu Hause verwendet. Der Zugriff über VPN in firmeneigene Netze, Zugang zu SSH-Servern, Email-, Clouddiensten und sonstige firmenspezifische Applikationen, die ein Login erforderlich machen, sollten daher gut abgesichert sein. Eine Kombination mit Identitätsmanagment- Systemen ist genauso leicht zu implementieren wie der Einsatz bei Single-Sign-On-Lösungen.

Für Windows-Arbeitsplätze lässt sich in Verbindung mit einem Domain Controller, Windows- Boardmitteln und Yubikey beispielsweise eine alternative Smartcard-Infrastruktur ersetzen. Mit der PIV-App wird der Yubikey zu einer PIV USB-Smartcard, die über den Windows-CCID Smartcard-Leser angesprochen werden kann. Nach erfolgreicher Einrichtung können, je nach gewünschtem Verwendungszweck, Zertifikate zur Authentisierung, für Signaturen oder zur Verschlüsselung direkt erstellt oder importiert werden.

Unter Linux lässt sich die Rechner-Festplatte mit LUKS und dem Key verschlüsseln, so dass sich das Betriebssystem ohne den Key gar nicht erst starten lässt. VPN-Dienste oder ein Login auf SSH-Servern können mit dem Yubikey ebenfalls zusätzlich abgesichert werden. Firmenhandys lassen sich, sofern es NFC unterstützt, mit einem NFC-Sicherheitsschlüssel zusätzlich absichern. Angenehm zu benutzen ist auch eine mögliche Schnittstelle zwischen einem OTP-Key und Passwortdatenbaken wie Kee- Pass. Sofern alle vom Arbeitnehmer genutzten Passwörter in eine Passwortdatenbank eingepflegt werden und diese für die Verwendung mit einem OTP-Token eingerichtet wurde, lassen sich Passwörter automatisiert bei Bedarf abrufen und verwenden. Dabei können Sie bezüglich Passwortlänge und Komplexität aus dem Vollen schöpfen, da man sich diese nicht merken oder abtippen muss.

Mit einem OTP-Token werden Passwörter für Hardware, Applikationen und Dienste rund um den mobilen Arbeitsplatz abgesichert. Mitarbeiter bekommen relativ einfach sicheren Zugang zu benötigten Diensten und können sich durch eine verwendete 2-Faktor-Authentifizierung ein Stück sicherer in der expandierenden, digitalen Welt bewegen.

Zum Autor: Marko Rogge kam aus dem Umfeld der Computer-Hacker in die Security Branche und war dort viele Jahre als Berater tätig. Ab 2006 wechselte er in Ermittlungstätigkeiten und arbeitete dort im technischen Bereich für zahlreiche namhafte Konzerne. Teile seiner Ausbildungsinhalte erlangte er in Israel (Tel Aviv, Petach Tikwa) sowie von ehemaligen geheimdienstlichen Mitarbeitern und anderen Ermittlern. Seit Anfang 2016 arbeitet er als „Leiter IT-Forensics & Investigations Lab“ bei der Phalanx-IT GmbH in Heilbronn, ist zudem EnCase Certified Forensiker, Certified Cellebrite mobile Forensik Trainer & Certified Cellebrite mobile Forensiker. Marko Rogge arbeitet erfolgreich seit vielen Jahren für diverse Strafverfolgungs- und Ermittlungsbehörden im technischen Ermittlungsbereich und trainierte auch, fachspezifisch im Bereich mobile Forensik, Mitarbeiter von Geheimdiensten, Strafverfolgungs- und Ermittlungsbehörden sowie von Zoll- und Steuerfahndungseinheiten.

Redaktion Prosecurity

Die ProSecurity Publishing GmbH & Co. KG ist einer der führenden deutschen Sicherheitsfachverlage. Wir punkten mit fachlicher Kompetenz, redaktioneller Qualität und einem weit gespannten Netzwerk von Experten und Branchenkennern.

Kommentieren

Hier klicken, um ein Kommentar zu schreiben