Test - LSE LinOTP A 150 Identity-Access-Lösung

Technische Details zur LinOTP A 150

Die Identity-Access-Lösung LSE LinOTP A 150 ist laut Hersteller eine flexibel einsetzbare One-Time-Passwort-Plattform (OTP) zur starken Benutzerauthentisierung. Durch die modulare interne Architektur kann die Lösung herstellerunabhängig arbeiten. Dabei unterstützt sie verschiedene Authentisierungsprotokolle, Token und Verzeichnisdienste. Darüber hinaus ist die Software mandantenfähig.

Das LinOTP-System verwendet bevorzugt Einmalpasswörter, um die Sicherheit in Anmeldeverfahren zu erhöhen. Die heute gängigen OTP-Algorithmen setzen einen geheimen symmetrischen Schlüssel und einen Zähler ein. Der Schlüssel (auch Seed genannt) ist sowohl beim Benutzer als auch beim authentifizierenden Backend vorhanden. Das Problem bestehen darin, diesen geheimen Schlüssel initial zwischen dem Benutzer/Token und dem Backend auszutauschen und zu verhindern, dass Dritte an ihn gelangen.

Der Zähler (auch moving factor genannt) kann ereignisgesteuert oder zeitgesteuert sein. Dieser stellt sicher, dass sich das generierte Einmalpasswort verändert und eben nur einmal verwendet werden kann. Der Zähler lässt sich sowohl aus einem Ereignis - Tastendruck auf dem Token - sowie aus der Zeit erzeugen. Hierzu muss in dem Token eine Uhr laufen, die synchron mit dem Backend sein muss.

Ein Vorteil von Einmalpasswörter ist, dass sie keine Client-seitigen Treiber erfordern. Nach Aussage von LSE kommt für die OTP-Erzeugung ein offener, im RFC4226 beschriebener Algorithmus zum Einsatz: der HMAC-OTP. Neben diesem unterstützt LinOTP noch den offenen motp-Algorithmus und das Versenden von Einmalpasswörtern via SMS. Darüber hinaus soll die optionale Verwendung von Hardware-Tokens, die für die Benutzer das Einmalpasswort berechnen, dazu beitragen, die Zugangssicherheit zu Unternehmensnetzwerken weiter zu erhöhen.

Auch können alle Komponenten außer dem eigentlichen LinOTP Core beliebig kombiniert und auch erweitert werden. Es spielt beispielsweise keine Rolle, wie viele verschiedene Benutzerdatenbanken Sie verwenden: LDAP, Active Directory, Novell eDirectory, diverse SQL-Server und Flat-Files lassen sich im gemischten Betrieb nebeneinander ansprechen, so LSE. Auch die Authentisierungsmodule sind auswechselbar, und es können bei Bedarf weitere Module für nahezu jeden Anwendungsfall implementiert werden.

Die Verwaltung der LinOTP-Appliance erfolgt über verschiedene Management-Clients sowohl unter Windows als auch unter Linux. Zusätzlich bietet LSE für Geschäftskunden ein Self-Service-Portal, über das die Anwender sich Tokens zuweisen oder beispielsweise ihre PIN ändern können.