Serie mit Ralf Reetmeyer: Multi-Factor-Authentifizierung (MFA) – Teil 2

Wie in Teil 1 beschrieben, basiert die integrierte MFA-Lösung von IBM i auf einem temporär gültigen Schlüssel, einem Time-based one-time Password (TOTP), welches im Benutzerprofil gespeichert und wie das Passwort geschützt ist. Der TOTP-Schlüssel wird zusammen mit der Systemzeit verwendet, um einen TOTP-Wert zu erzeugen. und wird als zusätzlicher Faktor bei der Authentifizierung verwendet. Als PDF herunterladen.Herunterladen TOTP Die IBM i-Implementierung basiert auf RFC 6238 -TOTP: Time-Based One-Time Password Algorithm, so dass jede kompatible Client-Anwendung wie eine PC-Anwendung, Smartphone- bzw. Smartwatch-App oder ein physischer Token, der standardkonform ist, verwendet werden kann. Die Client-Anwendung zeigt, nachdem sie mit dem TOTP-Schlüssel konfiguriert wurde, TOTP-Werte basierend auf dem TOTP-Schlüssel und der aktuellen Zeit auf dem Gerät an. TOTP Der Benutzer gibt den TOTP-Wert als zusätzlichen Anmeldefaktor bei der Authentifizierung ein. Das Betriebssystem validiert dann gleichzeitig Benutzer-ID, Passwort und TOTP-Wert, wodurch es eine Multi-Faktor-Authentifizierung ist. MFA-Konzept Damit gibt es seitens des Administrators, wie in Teil 1 beschrieben, einiges vorzubereiten: Einstellung der Sicherheitsstufe 40 oder 50 und setzen des Password Levels auf 4. Systemweite Aktivierung von MFA mit CHGSECA oder über den Navigator for i. TLS für die Netzwerkverbindungen einrichten Erst danach können User TOTP Keys erzeugen. Statt mit dem Navigator for i kann dies...