Mehrfaktorverfahren mit LDAP als Backend
Sicherheitsgewächs
Allmählich setzen sich in IT-Umgebungen Einmalpasswörter als zusätzlicher Faktor durch. Der Ansatz einer direkten Integration in den LDAP-Server hilft, die für Benutzer erforderliche Komplexität zu reduzieren.
Man gewöhnt sich schon fast an die immer wiederkehrenden Nachrichten: Wieder und wieder werden Onlinedienstleister gehackt und die zugehörigen Passwortdatenbanken gestohlen. Zu laxe Zugriffsrechte kombiniert mit schwachen Hash-Algorithmen für die Passwortspeicherung ermöglichen Angreifern dabei den vollen Zugang zu Benutzerkonten – bei deren Missbrauch Benutzer meist sogar echtes Geld verlieren können. Routinemäßig lassen die Betreiber dann verlauten, sie hätten ihre Benutzer ja zur Verwendung starker Passwörter und einer baldigen Änderung selbiger angehalten. Da das aber auch nicht der Weisheit letzter Schluss ist – mit dem Warum wird sich ein Artikel in der kommenden Ausgabe befassen –, rufen sie immer öfter zum Aktivieren einer bereits implementierten Mehrfaktorauthentifizierung (MFA) auf.
Insbesondere administrative Zugriffe sind besser zu schützen, sonst nützt der beste Mechanismus für die Endbenutzernichts. Angenommen, Administratoren geben ihre Passwörter auch auf Systemen ein, die eventuell zeitweilig unter missbräuchlicher Kontrolle eines Angreifers stehen, wünscht man sich das konsequente Verwenden einer sichereren Authentifizierung, bei der sich das Abgreifen eines länger gültigen Administratorpassworts nicht binnen Minuten zum Flächenbrand quer durch die IT-Infrastruktur entwickelt.