• Cornelius Kölbel
• 2005 Reseller und Beratung:
  2FA, Smartcards, PKI, HSMs
• 2014 privacyIDEA
  und NetKnights GmbH

• Auf jeder Applikation?
• Zentral on Premises?
• In der Cloud?

• Nicht jeden Spezialfall abbilden!
• ...Ihr System wird unverständlich!
• viele oder komplizierte Prozesse!

Security contra Usability

• QR-Code (Achtung, Kopierbar)
• SMS (Keine App)
• Push (Einfach in Bedienung / kompliziert in der Infrastruktur)
• Yubikey
• Einfach ist das neue Sicher?!

• Wo sind sie? (Home Office, Im Büro, unbekannt)
• Wer sind sie? (Mitarbeiter, Studenten, Wissenschaftler am Teilchen-Beschleuniger, Bürger-Service)

Wie können Sie erfolgreich migrieren?

• Nicht zu viel ändern
• Einfache Prozesse
• Alternativen oder Fallback anbieten

• Mein eigenes Smartphone!
• Meine private Telefonnummer!

• Ein Admin-Interface für jede Aufgabe?
• Lieber in existierende Workflows integrieren!
• z.B. Onboarding und Offboarding: Checkliste oder Automation?

• Wer soll was dürfen?
• Was soll automatisch passieren?

• Welcher zweite Faktor ist jetzt gut? Passt er noch in 3 Jahren? Gerade fliegt U2F aus Chrome.
• Bindung an eine Technologie oder einen Hersteller vermeiden.

1. Komplett ersetzen durch neue zweite Faktoren (Rollout)
2. Übernahme der Seeds. Bspw. aus Cloud Dienst. Hardware-Token.
3. Export existierender Token (Die Struktur des Altsystems muss bekannt sein)

• Geht immer (Rollout)
• ...auch bei RSA SecurID :-)
• Parallelbetrieb vs. Hard Switch
• Chance: 2FA-Technologie wechseln
• Herausforderung: 2FA-Technologie wechseln
• Erfolgreich mit einigen 1000 Token durchgeführt.

• Hardware-Token mit Seed
• Seed-Datei verfügbar (vgl. Fortinet)
• Benutzerzuweisung
• Counter-Stand oder Timeshift
• Erfolgreich mit einigen 1000 Token durchgeführt.

• Übernahme von Hardware-Token und ausgerollten Software-Token.
• Alt-Format muss bekannt sein
• Neu-Format muss bekannt sein
• Migrationsskript testen und später produktiv durchführen
• Erfolgreich mit einigen 10.000 Token durchgeführt

• ist ein zentrales MFA Management System,
• läuft on Premises,
• ist Open Source,
• hat viele Möglichkeiten, um technischen und organisatorischen Anforderungen zu begegenent.

• einen zweiten Faktor einmal ausrollen - überall verwenden.
• Token und damit den Zugang zentral sperren.
• Verschiedene Token mit unterschiedlichen Berechtigungen.

Sie können die Sicherheit und Komplexität bestimmen: Email, SMS, App ... Yubikey, x509, FIDO2...

• => Benutzerakzeptanz und Fallback-Token.
• => Sie vermeiden einen Technologie-Lock-In oder Vendor-Lock-In.

• Anbindung an bestehenden Benutzerquellen: LDAP/AD, SQL, Flafile, HTTP...
• Anbindung über viele Auth-Protokolle PAM, Credential Provider, RADIUS, LDAP, SAML2, OpenID Connect, REST, MIT/Kerberos

• Single Page Application
• REST API
• Python Libs
• SQL Database

• Alles ist REST-API
• Python Bibliotheken/Module
• Indiviuelle Skripte per REST API oder Python Module erstellen.

• Mandantenfähig
• Unterschiedliches Verhalten und Berechtigungen für Benutzergruppen
• Individuelle Rollenabstufungen: Administratoren, Operator, Helpdesk...
• Helpdesk stößt bspw. einen Aufgabe an, deren einzelnen Schritte er nicht kontrolliert.

• Universität: Rollout. Token während Versandt deaktiviert. Erst später aktiviert.
• Paralleles Token-Rollout (TOTP, RADIUS)
• PIN Reset
• Registration code -> Rollout

• Löst das Problem mit dem QR-Code
• Unterstützt PUSH
• BACKUP - BÖSE.