Tokenauswahl bei Zwei-Faktor-Authentifizierung
In Kooperation mit der HU-Informationssicherheit
Einleitung
Eine Zwei-Faktor-Authentifizierung (2FA) ist vereinfacht ausgedrückt eine Erweiterung bestehender Accountdaten (hier: HU-Account) um einen temporären Code, der zusätzlich für eine erfolgreiche Anmeldung benötigt wird. Es können eigenständige Geräte (sog. Hardwaretoken) oder Apps für Smartphone, Tablet (sog. Softwaretoken) genutzt werden.
In den Geräten oder 2FA-Apps werden keine Passwörter gespeichert. Da Gerät oder App aber für den Zugriff auf HU-ESS wichtig sind, sollte gleichwohl hierauf sorgsam aufgepasst werden.
Allgemein zum Einsatz von 2FA an der Humboldt-Universität siehe die ausführlichen Erklärungen beim CMS.
Zur Wahl zwischen Hardware- und Softwaretoken
Den Mitarbeiter:innen der HU steht die Entscheidung frei, Hardwaretoken oder Softwaretoken als Absicherung für den HU-ESS-Zugang zu wählen. Möchte jemand keine App auf dem privaten Smartphone installieren, ist er/sie hierzu nicht gezwungen, sondern kann Zugang zu ESS auch über ein zur Verfügung gestelltes Hardwaretoken erhalten.
Um diese Entscheidung zu erleichtern, folgen ein paar Argumente pro/contra, einschließlich ein paar Tipps zur Softwareauswahl:
Hardwaretoken
Ein Hardwaretoken ist ein kleines Gerät, etwa so groß wie ein USB-Stick. Es hat nur eine Funktion, nämlich fortlaufend neue sechsstellige Nummern zu generieren und auf einem kleinen, eingebauten Display anzuzeigen. Es hat eine eingebaute, nicht ersetzbare Batterie mit einer Laufzeit von mehreren Jahren. Ist die Batterie verbraucht, ist das Hardwaretoken unbrauchbar und als Elektroschott zu entsorgen.
Hardwaretoken können ab sofort an den CMS-Theken in Adlershof (Erwin-Schrödinger-Zentrum) und Mitte (Grimm-Zentrum) abgeholt werden. Es ist eine persönliche Abholung erforderlich. Hardwaretoken werden nur an Mitarbeiter:innen ausgegeben und auch jeweils nur ein Hardwaretoken pro Mitarbeiter:in. Vor Abgabe wird geprüft, ob Sie Mitarbeiter:in der HU sind (daher bitte einen amtlichen Lichtbildausweis mitbringen).
Vorteile:
|
Nachteile:
|
Softwaretoken
Ein Softwaretoken wird innerhalb einer 2FA-App generiert, welche z. B. auf dem Smartphone installiert ist. Die 2FA-App hat ebenfalls nur die Funktion fortlaufend neue sechsstellige Nummern zu generieren.
Für den Zugang zu HU-ESS können alle 2FA-Apps genutzt werden, die auf dem TOTP-Standard beruhen. Auf einen konkreten App-Anbieter kommt es nicht an. Jedoch sind manche Apps eher datensparsam (keine Tracker, wenig Berechtigungen), manche eher datenhungrig (viele Tracker, viele Berechtigungen) ausgestaltet.
Vorteile:
|
Nachteile:
|
Der CMS nennt einige 2FA-Apps, die datensparsam arbeiten und im Folgenden auf Basis von Informationen aus exodus-privacy.eu.org (externer Link) weiter betrachtet werden.
Alle Apps benötigen die Berechtigung auf die Kamera zuzugreifen. Dies ist nachvollziehbar, da über die (Foto)Aufnahme eines QR-Codes die Verknüpfungen mit den Accounts erfolgen.
2FA-Apps
Google Authenticator (Android)
Sehr verbreitet. Bislang wurde an der App Google Authenticator kein datenschutzseitig bedenkliches Verhalten festgestellt. Es ist keine Verknüpfung mit einem Google-Konto erforderlich. Der Google Authenticator enthält keine Tracker.
Aegis Authenticator (Android)
Aegis enthält keine Tracker.
FreeOTP+ (Android)
FreeOTP+ ist eine Open-Source-Software, welche keine Tracker enthält. An Berechtigungen wird zusätzlich Zugriff auf den Speicher verlangt.
OTP Auth (iOS)
Nach Auskunft im AppStore erfasst OTP Auth keine persönlichen Daten über die App.
Authenticator (iOS)
Nach Auskunft im AppStore erfasst Authenticator ggf. Daten zum Einkaufsverlauf und zur GeräteID, jedoch keine weitere Daten zur Person.
Google Authenticator (iOS)
Gem. Auskunft im AppStore erfasst der Google Authenticator ggf. Daten zur Geräte ID, jedoch keine weitere Daten zur Person.
Anmerkung: Bei der Durchsicht sind wir teils auch auf OTP-Apps gestoßen, bei denen diverse Tracker enthalten sind und welche zusätzliche Daten für den Anbieter oder Dritte erheben ( z. B.: Google Analytics, Facebook Ads). Auch erfordern manche Apps eine Vielzahl zusätzlicher Berechtigungen, z.B. Standort, Handy-Accounts, Kontakte, Telefonstatus.
All dies ist – jedenfalls für den HU-ESS-Zugang – nicht erforderlich. Soweit es also keine sonstigen Gründe gibt, können (sollten) Sie aus Datenschutz und IT-Sicherheitssicht solche Apps meiden.