Bents Blog

 

Ein IT Blog mit Themen aus dem Windows Server Umfeld.

Artikel für das Schlagwort ”VASCO”

VASCO IDENTIKEY Server auf Microsoft Forefront TMG 2010

In meinem letzten Artikel zum Problem bei der Migration eines Microsoft ISA Server 2006 auf das Microsoft Threat Management Gateway 2010 hatte ich bereits über die verwendete Celestix Appliance berichtet. Innerhalb eines Kundenprojektes bestand für mich die Aufgabe eine Celestix MSA 2000i auf eine Celestix MSA 1500i TMG zu migrieren, inklusive der zusätzlichen Zweifaktorauthentifizierungslösung (RADIUS One-Time-Password) von VASCO (nähere Informationen dazu in meinem Beitrag zur VASCO-Lösung). Dieses sehr sichere Authentifizierungsverfahren (basierend auf Hardware-Token und Benutzer-PIN) verwenden wir bei fast allen Installationen eines ISA Servers bzw. TMG 2010, um bspw. VPN-Verbindungen oder veröffentlichte Webseiten (Outlook Web Access) abzusichern.

Beitrag weiterlesen …

Zwei-Faktor-Authentifizierung mit VASCO

Heute möchte ich einmal einen Beitrag zu einer – von mir bevorzugten – Sicherheitslösung für Windows Umgebungen schreiben. Dabei geht es um die Idee des One-Time-Password (OTP), also einer Authentifizierungsmethode, bei der das Passwort des Benutzers nur für wenige Sekunden gültig ist. Das Ganze bezeichnet man im Deutschen auch als Zwei-Faktor-Authentifizierung.

Wie funktioniert diese Lösung? So einfach die Idee, so genial und sicher ist diese auch. Ähnlich wie bei einer Transaktion mit einer üblichen EC-Karte, benötigt der Benutzer bei einem OTP-Verfahren zwei Dinge: Er muss etwas haben und etwas wissen. Dafür benötigt man einen sogenannten Token, der, basierend auf einem speziellen Algorithmus, eine Zahlenkombination (Code) generiert und zusätzlich eine PIN. Der Tokencode wird dabei mit Hilfe der Seriennummer eines Tokens (um die Einmaligkeit eines Tokens zu gewährleisten) und einem integrierten Quarz zeitabhängig (um ca. aller 30 Sekunden einen neuen Code erzeugen zu können) berechnet – dieser ist nicht manipulier- bzw. änderbar oder etwa durch Rückwärts-Berechnung zu ermitteln. Ein solcher Token ist deshalb mit einer Batterie ausgestattet und funktioniert typischerweise für etwa 5 Jahre. Die PIN des Benutzers kann selbstverständlich vom Benutzer geändert werden, kann es doch einmal passieren, dass ein Dritter Kenntnis von ihr erlangt.

Beitrag weiterlesen …