Open Source 2FA

Eine Bestandsaufnahme

Cornelius Kölbel

Zusammenfassung und Quiz

Wissen, Besitz, Eigenschaft

• Zwei Faktoren
• Zwei Wege

Was ist keine 2FA...?

Zwei Passwörter

Zwei Apps auf einem Smartphone!

Was ist kein Besitzfaktor...?

SMS!

Was verwendet einen Hash-basierten Message Authentication Code (HMAC)?

HOTP, TOTP (RFC 4226, 6238)

Was verwendet asymmetrische Krypto wie RSA oder ECC?

Smartcards, U2F, FIDO2

Was nutzt starke, nicht gebrochene Hash-Algorithmen?

Passwörter

Was verwendet proprietäre Algorithmen?

Biometrie

Realitätscheck

Das Problem mit dem Google Authenticator

Das Problem mit proprietärer Software

• Zu gut? Pech gehabt!
• M&A, Konsolidierung des Marktes

Das Problem mit Biometrie

• Immer wieder brechbar (Schäubletest)
• Nicht änderbar
• Nicht OSS

Das Problem mit manchen Applikationen

• Wollt Ihr wirklich ein 2FA-Management bauen? (Nextcloud, FreeIPA, Keycloak)
• Selbst Microsoft macht das nicht im AD.

Das Problem with U2F / FIDO2

• Masterkey
• Haha: Password-less Authentication
  • Passwordless wäre 1FA
  • Passwordless = Kein Passwort beim Dienst
• Für den Enterprise-Einsatz nur begrenzt nutzbar. https://netknights.it/u2f-im-unternehmenseinsatz/

• privacyIDEA 2.23: August 2018
• privacyIDEA 3.0: 28.04.2019
• privacyIDEA 3.1: 04.09.2019
• privacyIDEA 3.2: November 2019

privacyIDEA 3.0

Python 3

• Abhängigkeiten von Modulen - für Python 3 verfügbar?
• Distributionen mit 3.5, 3.6, 3.7 -> unterschiedliches Verhalten
• 25.000 Zeilen Code anpassen
• Seiteneffekte treten nicht notwendiger Weise bei Unittests zutage

privacyIDEA 3.0 hat 8 Monate gedauert. (2.23 -> 2.23.5)

privacyIDEA 3.0

• Benutzer-Zuordnung zu Tokens
• Push-Token
• Queue, um manche Dinge assynchron auszuführen (Senden von Emails)
• Statistik-DB Basisklasse (SQL nur suboptimal für Zeitreihen)
• Im Audit-Log werden die verwendeten Policies aufgeführt

Fazit zu privacyIDEA 3.0

• Wir sind zukunftssicher,
• die Administrierbarkeit wird einfacher und
• Support-Anfragen sind leichter zu bearbeiten.

pivacyIDEA 3.1

• Admin-Read policies für Config und Token
• Beliebige Attribute im Policy-Matching
  (Erstes Modul: Benutzer-Attribute)
• Migration

Migration

• (passthru)
• auto-assign
• auto-pin

Fazit zu privacyIDEA 3.1

• Leichtere Migration,
• flexibilität in größeren Installationen,
• Bessere Mandantenfähigkeit
• Policies müssen nicht an kompletten Resolver gebunden sein.

UI

• Erhofft: Dashboard
• Bekommen: Kleineres Feedback zur Bedienbarkeit

Smartcards

• Erhofft: Projekte und Entwickler
• Bekommen: Angeregte Diskussion, Eindrücke für Notwendigkeit, aber keine nächsten Schritte.

privacyIDEA 3.2

November 2019

Event Handler

• Request Mangler
• Response Mangler
• Notification File Writer

Fazit: Bessere Workflows.

WebAuthN / FIDO2

Fazit: Besseres Marketing

File Audit

Audit Log kann gleichzeitig in SQL und in File geschrieben werden.

Fazit: Bessere Einbindung in Splunk und Co.

privacyIDEA ist hoch-integrierbar.

privacyIDEA wird diese Führungsposition weiter ausbauen.

Successful 2FA is a matter of smooth workflows.

• privacyidea.org
• community.privacyidea.org
• github.com/privacyidea