Im Zuge der Einführung des SAP-Dienstes Employee Self Service wird an der Humboldt-Universität zu Berlin auch die Authentifizierung mit einem zweiten Faktor (2FA) eingeführt.
Um den Hintergrund zu verstehen, ein kleiner Exkurs zu Identifizierung und Authentifizierung: Bei der Identifizierung stellt man eine Behauptung auf, dass man eine bestimmte Person ist, bei der Authentifizierung beweist man diese Behauptung. Bei der Anmeldung identifiziert man sich gegenüber einem System, indem man etwas eingibt, mit dem man im System eindeutig erkannt
werden kann, z. B. einen Accountnamen, eine E-Mail-Adresse oder Ähnliches. Da diese Eingabe aber durch jede*n erfolgen kann, muss diese Behauptung anschließend bewiesen werden. Für den Beweis gibt es grundsätzlich verschiedene Möglichkeiten (Faktoren): durch Wissen, Besitz, Biometrie oder (seltener) Sicherung der Eingabe/Übertragung. Der Beweis durch Wissen kann z. B. durch die Eingabe eines Passworts erfolgen (das deshalb auch nicht geteilt werden darf). Der Beweis durch Besitz wäre z.B. die Eingabe eines einmal nutzbaren Codes, erzeugt durch eine speziell konfigurierte Smartphone-App oder ein Hardware-Token. Biometrische Beweise wären beispielsweise Fingerabdrücke oder Gesichtsmerkmale.
Die Authentifizierung durch einen zweiten Faktor (2FA) kombiniert also zwei Faktoren für die Authentifizierung. Meistens wird dabei der verbreitete Faktor Wissen (meist Passwörter) um den Faktor Besitz oder Biometrie erweitert. Wichtig ist dabei, dass für 2FA verschiedene Klassen genutzt werden; die Verwendung von beispielsweise zwei Passwörtern (also nur Wissen) ist kein 2FA in diesem Sinne. Mit jedem weiteren Faktor, der für die Authentisierung benötigt wird, wird es schwieriger, sich unerlaubt Zugang zu verschaffen, die Sicherheit der Authentifizierung einer Person wird also deutlich erhöht. Daher wird 2FA in besonders schützenswerten Bereichen angewendet.
2FA-Verfahren dienen nicht dem Schutz vor Missbrauch eines Endgerätes, sondern bieten Schutz für den Fall der Kompromittierung des Passworts. Falls das eigene Passwort in fremde Hände gerät (durch im Browser gespeicherte Passwörter, Ausspähen, Phishing-Angriff, …) verhindert der zweite Faktor, dass die angreifende Person dauerhaften Zugriff auf durch 2FA geschützte Dienste bekommt.
An der Humboldt-Universität zu Berlin wird der zweite Faktor mittels zeitbasierten Einmalpasswörtern (Time-based One Time Passwords – TOTP) umgesetzt. Diese TOTPs sind Zahlencodes, die nur kurze Zeit gültig sind und nur einmal verwendet werden können. Das Verfahren zur Erzeugung ist standardisiert (RFC 6238) und es gibt verschiedene Apps, die kostenlos auf dem Smartphone oder Tablet installiert werden können, ohne Internetverbindung oder Mobilfunknetz nutzbar sind und solche Codes erzeugen (sogenannte Software-Token). Das Software-Token sollte sicher und getrennt vom eigentlichen Arbeitsgerät gehalten werden (z. B. Anmeldung am PC, zweiter Faktor als App auf dem geschützten Smartphone). Falls diese Trennung nicht möglich/gewünscht ist, sollte zumindest der Zugriff von Dritten auf das Arbeitsgerät begrenzt werden (kein Vorhalten des zweiten Faktors auf geteilten/öffentlichen PCs, Bildschirmsperre beim Verlassen des Arbeitsplatzes, Passwortschutz bei der OTP-Anwendung einrichten,…).
Alternativ können die Codes mit Hilfe eines Hardware-Tokens erzeugt werden.
Software-Token sind jedoch ökologisch und ökonomisch nachhaltiger als Hardware-Token. Denn diese unterliegen einem physischen Lebenszyklus, d. h. sie müssen bestellt, geliefert, verteilt und wieder entgegengenommen und entsorgt werden. Hardware-Token enthalten Batterien, die nur eine begrenzte Lebensdauer haben. Kurzum: mit Hardware-Token entsteht ein erheblicher Mehraufwand, der mit Software-Token nicht entsteht. Daher sind Software-Token sowohl aus Sicht ökologischer Nachhaltigkeit als auch aus ökonomischer Sicht zu bevorzugen. Die HU empfiehlt daher allen Mitarbeitenden die
Verwendung von Software-Token. Da aber nicht alle Mitarbeitenden ein privates Gerät für dienstliche Zwecke nutzen möchten oder besitzen, stellt die HU auch Hardware-Token zur Verfügung.
Die Erzeugung der eigenen Software-Token und die Registrierung der erhaltenen Hardware-Token erfolgt über das neu aufgebaute 2FA-Portal (Shortlink: https://hu.berlin/2FA). Dort finden sich auch Anleitungen (Text und Video), wie die Einrichtung des Tokens genau vonstattengeht. Nachdem das Token eingerichtet ist, erfolgt die Abfrage des OTPs für einzelne Dienste über das webbasierte SingleSignOn-System Shibboleth. Dienste-Beitreibende die eine OTP-Abfrage in ihren Dienst integrieren möchten, wenden sich bitte an das Shibboleth-Team.
