Mehr-Faktor-Authentifizierung für 35.000 Benutzer Bernd Nicklas Cornelius Kölbel Benutzerzugänge abzusichern wird heute immer schwieriger. Das klassische Passwort hat seit geraumer Zeit ausgedient. Passwort-Richtlinien, die eine gewisse Komplexität des Passworts fordern oder die Benutzer zum regelmäßigen Ändern zwingen, haben nur noch zum Ergebnis, dass Benutzer verärgert werden. Das Rennen um sichere Passwörter ist verloren. Schon sehr viele Jahre gibt es Lösungen für Zwei- und Mehr-Faktor-Authentifizierung, die, wenn sie richtig eingesetzt werden, Benutzerzugänge effektiv schützen können, so, dass ärgerliche Passwortrichtlinien der Vergangenheit angehören. Die Philips-Universität Marburg implementiert eine Zwei-Faktor-Authentifizierungs-Lösung auf Basis von privacyIDEA. Mitarbeiter und Studierende sollen für entsprechende Applikationen und Anmeldungen einen zweiten Faktor verwenden. Insgesamt sind dies 35.000 Benutzer. Hinzu kommt, dass sich gerade die Benutzergruppe der Studierenden jedes Semester um mehrere tausend Benutzer ändert. Deswegen müssen für die verschiedenen Benutzergruppen alle Prozesse wie Token-Rollout, Sperren von verlorenen Token, Zurücksetzen, Einziehen usw. klar definiert und wo möglich automatisiert werden. Hier gibt es weitere Herausforderungen, da im Universitätsbetrieb viele unterschiedliche Akteuere wie das Hochschulrechenzentrum, Verwaltung, Personalabteilung, Personalrat, Studierendensekretariat, Poststelle und die Hausdruckerei involviert sein können. privacyIDEA ist eine Open-Source-Lösung zur Zwei- oder Mehr-Faktor-Authentifizierung. Der offene Quellcode, die offenen Schnittstellen und die klar definiert REST API erlauben eine flexible Integration in die erforderlichen Prozesse. Notwendige Anpassungen und Erweiterungen können schnell umgesetzt und auf Github verfolgt werden. Die modulare Struktur von privacyIDEA erlaubt die flexible, gleichzeitige Nutzung von verschiedensten Authentisierungs-Tokens, so dass Mitarbeiter und Studierende mit unterschiedlichen - nicht zuletzt auch unterschiedlich kostenintensiven - Tokens ausgestattet werden können. Aus der breiten Palette der unterstützen Authentisierungsobjekte kommen Yubikeys, Smartphone Apps wie Google Authenticator und Papier-Tokens (TAN-Listen) zum Einsatz. Nach einer kurzen Einführung in die relevanten Eigenschaften von privacyIDEA werden in diesem Vortrag die interessanten Aspekte dieses Projekts vorgestellt. Welche Anforderungen sowohl technischer, organisatorischer als auch rechtlicher Natur mussten berücksichtig werden? Was waren die relevanten Herausforderungen und wie könnten diese umgesetzt werden? Welche Tipps gibt es im Hinblick auf die Auswahl, Konfiguration und Administration eines Mehr-Faktor-Authentifizierungssystems, wenn es gilt, ein solches Großprojekt umzusetzen?