Die Allgemeine Deutsche Steuerberatungsgesellschaft sichert Online Bereich mit One-Time-Passwörtern über SMS Nachrichten

Die Allgemeine Deutsche Steuerberatungsgesellschaft mbH, eine deutschlandweit agierende Beratungsgesellschaft im Bereich Steuern und Finanzen, sichert seinen geschützten Online Bereich über One-Time-Passwörter mit der Open Source Lösung Membrane Service Proxy. Die OTP Tokens werden über SMS Nachrichten an die Mobiltelefone der Benutzer verschickt.

Über einen geschützten Bereich sollen die Mandanten der ADS über das Internet auf Ihre Daten zugreifen können. Die zentrale Anforderung des Projektes lag im besonderen Schutz der vertraulichen Daten. Eine Authentifizierung über Benutzername und Passwort versprach nicht die erwünschte Sicherheit.

Um die streng vertraulichen Daten und Anwendungen ausreichend zu schützen, soll neben einem Benutzernamen und einem Passwort, das man weiß, für die Authentifizierung auch etwas verwendet werden, das man besitzt. Am Markt gab es zahlreiche Security Lösungen, die auf Geräten oder Karten basierten. Bedingt durch die große Anzahl von Nutzern schieden diese Lösungen aufgrund des Verwaltungsaufwandes und der Kosten aus.

Mobiltelefone sind allgegenwärtig und stellen daher eine interessante Alternative für die Authentifizierung von Benutzern dar. Ein Mobiltelefon ist, wie ein OTP Token, ein Gerät aus der physikalischen Welt, dessen Besitz man als Zugangsvoraussetzung einsetzen kann. Das Mobiltelefon bietet jedoch den Vorteil, dass der Benutzer kein weiteres Gerät mit sich führen muss.

Für den Beweis des Besitzes eines Mobiltelefones oder besser einer SIM-Karte wurde folgendes Verfahren gewünscht:

Ein Benutzer ruft über seinen Web Browser den geschützten Bereich auf und wird anschließend aufgefordert seinen Benutzernamen sowie sein Passwort einzugeben. Nach der Eingabe seines korrekten Passwortes bekommt der Benutzer einen Pin bzw. ein Einmal-Token per SMS auf sein Mobiltelefon gesendet. Erst nach der Eingabe dieses Tokens bekommt der Benutzer Zugang zum geschützten Bereich.

Die Lösung: SSO mit dem Membrane Service Proxy

Die ADS suchte eine sichere Single Sign On Lösung, die SMS Tokens unterstützt und einfach zu installieren und warten ist. Dabei fiel die Wahl auf die Open Source Lösung Membrane Service Proxy der predic8 GmbH aus Bonn. Der Service Proxy brachte bereits Funktionalität für Single Sign On und die gesicherte Anbindung interner Server an das Internet mit. Die Funktionalität für das Generieren der Tokens und den SMS Versand bot der Membrane Service Proxy zu der Zeit noch nicht.

Open Source Sponsoring

Da die Authentifizierung über SMS Nachrichten auch für andere Anwender des Membrane Service Proxy interessant ist, haben wir mit unserem Kunden ein Open Source Sponsoring Vertrag abgeschlossen. Die Funktionalität wurde wie vom Kunden gewünscht realisiert. Die dabei entstandene Erweiterung wurde in den Membrane Service Proxy integriert und steht jetzt unter der Open Source Lizenz der Apache Software Foundation anderen Anwendern zur Verfügung. Entwickler finden den Quellcode auf der github Plattform. Der Versand der Kurznachrichten erfolgt im Membrane Service Proxy über eine SMS Token Provider Komponente. Für das Versenden von Kurznachrichten über die Developer Garden Schnittstelle der Telekom enthält Membrane Service Proxy bereits eine Komponente, die mit den entsprechenden Zugangsdaten konfiguriert werden kann. Der Versand der SMS wird durch den Aufruf einer REST Schnittstelle beim Dienst der Telekom ausgelöst.

Nachdem der Membrane Service Proxy um die SMS Token Funktionalität erweitert wurde, wurde der reverse Proxy Server beim Kunden installiert und mit dem LDAP Verzeichnisdienst verbunden. Die Verwaltung der Zugangsdaten sowie der Telefonnummern für den SMS Versand erfolgt zentral im LDAP Server.

Ablauf der SMS Authentifizierung

Der Ablauf der Authentifizierung über SMS ist in der Skizze unten illustriert. Der Benutzer ruft als erstes eine geschützte Seite auf und wird daraufhin aufgefordert seinen Benutzernamen und sein Passwort einzugeben. Mit den Zugangsdaten wendet sich der Membrane Service Proxy in Schritt 2 der Abbildung an einen Verzeichnisdienst über das LDAP Protokoll. Der LDAP Server übergibt die Handynummer zurück an den Service Proxy, der dann an diese eine SMS mit dem einmal Token sendet. Nachdem der Benutzer die SMS empfangen hat, kann er das darin enthaltene Token in ein Formular eingeben. Der Membrane Service Proxy vergleicht danach das vom Benutzer übermittelte Token mit dem von ihm verschickten. Bei Übereinstimmung ist der Benutzer authentifiziert und erhält Zugriff auf den geschützen Bereich.

Sicherheit gegen Brute-Force-Attacken

Angriffe, die auf das Erraten von Passwörtern oder Tokens abzielen werden vom Membrane Service erschwert. Werden wiederholt falsche Passwörter eingegeben, so führt dies zur zeitweisen Sperrung des Benutzerkontos.

Ergebnis

Mit Hilfe des Membrane Service Proxy konnte die ADS ihren Mandanten zeitnah Zugang zum geschützten Bereich anbieten. Die zusätzlichen Absicherungen über den physikalischen Besitz des Telefons bietet die dafür benötigte Sicherheit. Die Benutzer haben den Vorteil nicht ein weiteres OTP Token Gerät mit sich führen zu müssen.