aConTech hat bei einem seiner Kunden eine innovative Zugangslösung mit 2-Faktor-Authentifizierung implementiert. Der Kunde arbeitet in der Beratungsbranche und hat besonders auch große Kunden aus der Automobilindustrie für die er höchste Sicherheitsstandards der eigenen IT bereitstellen muss. PhoneFactor auf Basis von Microsoft Azure bot hier die Lösung. Erfahren Sie in diesem HowTo, wie Sie PhoneFactor bereitstellen.

Der Kunde kam zu uns mit dem Anliegen, alle Vorgaben der Automobilindustrie innerhalb von acht Wochen umzusetzen und so kostengünstig wie möglich zu implementieren. An dieser Stelle bot sich PhoneFactor, sowie virtuelle SmartCards unter Windows 8 oder Windows 10 an, auf die ich in einem weiteren Blogeintrag eingehe. PhoneFactor ist eine auf Windows Azure basierende Lösung, die bei einem Authentifizierungsversuch eines bestimmten Benutzers dessen Handy anruft, eine Text-Nachricht schickt oder eine Nachricht in der PhoneFactor App öffnet, die jeweils beantwortet werden muss.

Ein wichtiges Sicherheitsmerkmal beim Zugriff auf Unternehmensnetzwerke ist die 2-Faktor-Authentifizierung. Das heißt also, dass neben dem ersten Faktor wie einem Benutzernamen mit Passwort (Wissen) noch ein 2. Faktor abgefragt wird, also beispielsweise ob man das Telefon auch wirklich im Besitz hat.

Wie funktioniert die Lösung nun? Im Prinzip sehr simpel!

1. Der Client stellt eine normale Anfrage zum Login mit seinen Zugangsdaten, z.B. an den VPN-Server
2. Als Authentifizierungsprovider ist im VPN-Server als RADIUS-Server der PhoneFactor Server hinterlegt an den die Anfrage weitergegeben wird
3. Der PhoneFactor Server gleicht die übermittelten Zugangsdaten mit dem Verzeichnis im Hintergrund (z.B. dem Active Directory) ab und startet einen Anruf an die hinterlegte Nummer oder schickt eine SMS
4. Der Nutzer muss den Anruf beantworten und mit # quittieren. Alternativ kann er auch mit einer SMS antworten.
5. Der PhoneFactor Server schickt die erfolgreiche Authentifizierungsinformation an den VPN-Server zurück und die Verbindung ist hergestellt.

Phone Factor Skizze

Falls der angerufene Mitarbeiter den Authentifizierungsversuch nicht selbst ausgelöst hat, kann er die Anfrage mit einem anderen Code beantworten. Daraufhin kann sein Zugang automatisch gesperrt und ein Administrator benachrichtigt werden.
Dieses Beispiel ist nur eines von vielen, in dem PhoneFactor eingesetzt werden kann. Wie Abbildung 1 zeigt, kann ebenfalls der Zugriff auf eine Website oder RADIUS fähige Anwendung komfortabel gesteuert werden.

Windows Azure AD Übersicht

Die Einrichtung und Bezahlung ist dabei äußerst simpel. Es gibt zwei Zahlungsmethoden – monatlich pro Mitarbeiter oder pro Authentifizierung und wird automatisch über ein Windows Azure Abo abgerechnet. Der Server selbst wurde in diesem Fall mit auf dem RAS-Server installiert und war in kurzer Zeit einsatzbereit. Zuvor müssen alle Nutzer noch in das Windows Azure Active Directory gelangen. Wer bereits Microsoft Office 365 im Einsatz hat, hat schon alles erledigt. Andere müssen DirSync auf einem separaten Server installieren, welcher dann das lokale Verzeichnis mit Windows Azure Active Directory synchronisiert.

Phone Factor Konsole

Übrigens: in Windows 10 sind noch weitere 2-Faktor Ansätze vorstellbar! Mit Windows Hello ist es möglich weitere, sichere, biometrische Merkmale wie Iris-Erkennung, Gesichtserkennung in 3D und 3D Fingerabdrücke mit in die Authentifizierung einzubeziehen.

Sie haben Fragen zu den von uns zu smarten, einfachen aber effektiven 2-Faktor-Authentifizierungslösungen, Azure, PhoneFactor, Cloud Möglichkeiten mit Windows 10 oder den von uns vertriebenen Produkten? Fragen Sie unsere Experten nach Einsatzmöglichkeiten in Ihrem Unternehmen!