O.Auth 3
Beschreibung
Jeder Authentifizierungsvorgang des Nutzers MUSS in Form einer Zwei-Faktor-Authentifizierung umgesetzt werden.
Kurzfassung
Zwei-Faktor-Authentifizierung.
Anmerkungen
Prüftiefe
- EXAMINE
Der Evaluator prüft durch Quelltextanalyse und praktische Tests das Vorhandensein der Zwei-Faktor-Authentifizierung. Insbesondere prüft er, ob die verwendeten Faktoren aus unterschiedlichen Kategorien stammen (Wissen, Besitz, Inhärenz).
Lösungsansätze
Entwicklerseitig
- Funktion
- 2FA (Zwei-Faktor-Authentifizierung) ist eine zusätzliche Schranke beim Login in Diensten. Typischerweise besteht diese aus zwei verschiedenen Kategorien wie Wissen (Passwort) und Besitz (Mobilfunkgerät oder Email) oder Biometrie (Fingerabdruck)[1].
Ein minimalistisches Beispiel einer SMS-Authentifizierung mit einem Einmalpin könnte dabei folgendermaßen aussehen:
// Funktion zur Generierung eines zufälligen 6-stelligen Einmalpasscodes function generateOTP() { return str_pad(rand(0, 999999), 6, '0', STR_PAD_LEFT); } // Funktion zum Versenden eines Einmalpasscodes per SMS function sendOTP($phoneNumber, $otp) { // Hier müsste die Integration mit einem SMS-Dienst wie Twilio erfolgen // Beispiel: Twilio API-Aufruf zum Versenden einer SMS // replace SID, Token, and Twilio phone number with your actual values $twilio_sid = 'your_twilio_sid'; $twilio_token = 'your_twilio_token'; $twilio_phone_number = 'your_twilio_phone_number'; $client = new Twilio\Rest\Client($twilio_sid, $twilio_token); $client->messages->create( $phoneNumber, array( 'from' => $twilio_phone_number, 'body' => "Your OTP is: $otp" ) ); } // Beispielaufruf der Funktionen für die 2FA-Authentifizierung $phoneNumber = '+1234567890'; // Beispiel-Telefonnummer des Benutzers $otp = generateOTP(); // Einmalpasscode generieren sendOTP($phoneNumber, $otp); // Einmalpasscode per SMS senden // Hier müsste der Benutzer aufgefordert werden, den empfangenen Einmalpasscode einzugeben und zu überprüfen
Um 2FA-Funktionalität zu ermöglichen sind bereits einige Frameworks im Umlauf.
Framework | Sprache |
---|---|
Authy | PHP, Python, Ruby, Node.js, Java |
Google Authenticator | PHP, Python, Java, JavaScript |
Duo Security | Python, Java, JavaScript, .NET |
AuthO | PHP, Python, Java, JavaScript, .NET, Node.js |
Quellen
BSI: Zwei-Faktor-Authentifizierung BSI: Zwei-Faktor-Authentifizierung, aufgerufen am 02.05.2024
Weiterführende Literatur
Christian Senk, et al.: Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen Christian Senk, Dieter Bartmann: Starke Authentifizierung für den sicheren Zugriff auf IT-Ressourcen in Föderationen, 2011, aufgerufen am 02.05.2024
Wonsuk Choi, et al.: Sound-Proximity: 2-Factor Authentication against Relay Attack on Passive Keyless Entry and Start System Wonsuk Choi, Minhye Seo, and Dong Hoon Lee: Sound-Proximity: 2-Factor Authentication against Relay Attack on Passive Keyless Entry and Start System, 2018, aufgerufen am 02.05.2024