OpenOTP: enterprise tweefactorauthenticatie zonder kopzorgen

RCDevsStatische wachtwoorden vormen geen adequate manier om digitale bedrijfsinformatie van onbevoegden af te schermen. Een wachtwoord is immers te onderscheppen met een keylogger, te verkrijgen via social engineering, aan te vallen met een dictionary attack en te hergebruiken.

Met tweefactorauthenticatie pakt u die zwakheden aan: toegang vereist niet alleen iets wat u weet (een wachtwoord), maar ook iets wat u hebt (een token dat one-time passwords genereert). Zelfs al onderschept een kwaadwillige uw wachtwoord, zonder uw token kan hij niet inloggen.

In grote bedrijfsomgevingen vormt het uitrollen van tweefactorauthenticatie al snel een belangrijke uitdaging. Gebruikers willen op hun laptop, tablet en smartphone dezelfde beveiliging, zowel op kantoor als onderweg. Alle gebruikers moeten een token toegekend krijgen en waarschijnlijk niet allemaal van hetzelfde type. U doet dat het liefst met self-provisioning, wat het uitrollen vergemakkelijkt. Met een enterprise-grade oplossing zoals OpenOTP Server introduceert u zonder kopzorgen tweefactorauthenticatie in uw bedrijfsomgeving.

Tweefactorauthenticatie in complexe omgevingen

RCDevs RC200

RCDevs RC200

Als u de toegang tot informatie of systemen in uw bedrijf met statische wachtwoorden afschermt, bent u kwetsbaar voor heel wat bedreigingen. Alle statische informatie is immers te kopiëren en te misbruiken.

Met tweefactorauthenticatie bouwt u een extra beveiligingslaag in: naast de gebruikersnaam en het wachtwoord moet de gebruiker ook een token bezitten om te kunnen inloggen. Dat token is uniek voor de gebruiker en genereert eenmalige wachtwoorden. Zo’n wachtwoord is slechts eenmaal geldig. Krijgt een buitenstaander dit wachtwoord te zien, dan is hij daar niets mee. Zodra uw werknemer het wachtwoord heeft ingegeven, is het immers niet meer geldig. De volgende keer dat hij zich aanmeldt, genereert het token opnieuw een eenmalig wachtwoord.

Die extra beveiligingslaag voegt echter complexiteit toe: al die tokens moeten beheerd worden. En in veel bedrijven is de infrastructuur zo complex dat tweefactorauthenticatie in heel wat systemen ingebouwd moet worden: UNIX- en Windows-computers, Outlook Web Access, een VPN enzovoort. Als u tweefactorauthenticatie introduceert, raakt u daarmee allerlei onderdelen van uw infrastructuur aan.

OpenOTP Server van RCDevs is flexibel genoeg om tweefactorauthenticatie zelfs in de meest complexe IT-infrastructuren te integreren. Daardoor bent u zeker dat uw werknemers op een veilige manier aanmelden op eender welk systeem, zodat gevoelige informatie niet in de verkeerde handen komt.

Voordelen van OpenOTP

[list icon=”chevron-right”]

  • OPT Google Authenticator

    De app Google Authenticator genereert OTP’s

    Breed gamma aan ondersteunde tokens: OpenOTP Server ondersteunt een breed gamma aan tokens voor one-time passwords (OTP). Zowel hardwaretokens als softwaretokens zijn ondersteund, zodat er voor elk gebruikersscenario en voor elk budget wel een oplossing te vinden is.

  • Performant: De hardware waarop u OpenOTP Server draait hoeft geen high-end systeem te zijn om tienduizenden gebruikers te ondersteunen. U hebt er bovendien geen dedicated hardware voor nodig: OpenOTP Server draait perfect in een virtuele machine. Heb je meer performance nodig, dan is het ook mogelijk om OpenOTP Server in clustermodus of load balanced te draaien.
  • Flexibel licentiemodel: OpenOTP Server is onder de RCDevs Freeware License gratis te gebruiken met een beperkt aantal gebruikers in een niet-commerciële evaluatie- of testomgeving, zonder ondersteuning. De server is met die licentie volledig functioneel. De gratis licentie is dan ook ideaal om OpenOTP Server te evalueren.Hebt u meer actieve gebruikers nodig of wenst u ondersteuning, dan gebruikt u de RCDevs Enterprise License. U krijgt twee opties. Met de Subscription License betaalt u per gebruiker per jaar voor softwareonderhoud en ondersteuning. De andere optie is de Permanent License, waarbij u eenmalig per gebruiker betaalt en daarna jaarlijkse abonnementskosten voor softwareonderhoud en ondersteuning. U kiest het licentiemodel dat het beste bij u past.
  • Alles inbegrepen: U hoeft niets extra bij te betalen voor allerlei add-ons: alle componenten en gerelateerde softwarepakketten zijn beschikbaar in uw OpenOTP-gebruikerslicentie, behalve de TiQR Authentication Server die een afzonderlijk product is.
  • Eenvoudige installatie: Draait op elke Linux-server gebaseerd op glibc >= 2.5. RCDevs raadt als distributies Red Hat Enterprise Linux of CentOS 5.x of hoger aan omdat de software hierop ontwikkeld wordt. U kunt OpenOTP Server ook als appliance afnemen bij Wellingham Group, zowel in een virtuele machine als op dedicated hardware.

[/list]

Specificaties

OpenOTP Server biedt de volgende functionaliteit aan:

[list icon=”ok”]

  • Ondersteunde tokens: OpenOTP Server is sinds 2011 OATH-Certified en ondersteunt elk OATH-token gebaseerd op HOTP, TOTP of OCRA, evenals Mobile-OTP (mOTP).
    • Hardwaretokens: De volgende hardwaretokens zijn getest voor gebruik met OpenOTP Server: RCDevs RC200 (TOTP), Yubico YubiKey Standard, Nano en Neo (YubiKey-OTP modus met lokale sleutels of YubiCloud), Feitian c100 (HOTP) en c200 (TOTP), SecuTech UniOTP 300 (HOTP) en 500 (TODP), SmartDisplayer e1xxx (HOTP), t1xxx (TOTP) en e2xxx (OCRA) en Vasco Digipass GO6 OATH (HOTP en TOTP). Elk ander OATH-token gebaseerd op HOTP, TOTP of OCRA werkt samen met OpenOTP Server.
    • Softwaretokens: OpenOTP server is compatibel met een aantal gratis softwaretokens voor mobiele apparaten: Google Authenticator (OS, Android, Blackberry, HOTP en TOTP), Authenticator (Windows Phone, HOTP en TOTP), Authomator (BlackBerry, HOTP en TOTP), OATH Token (iOS, HOTP en TOTP), Android Token (Android, HOTP en TOTP), Mobile-OTP Token (JavaPhones, WindowsMobile, iOS, Blackberry, Android, mOTP), iOTP Token (iOS, mOTP), GAuth Authenticator (iOS, Android, Blackberry, WinPhone, Symbian, TOTP) en TiQR Mobile (iOS, Android, OCRA met een QR-code).
    • SMS: De OTP’s kunnen via sms-berichten aan de gebruikers verstuurd worden, zodat u geen hardware- of softwaretokens meer hoeft uit te rollen en beheren. OpenOTP Server ondersteunt diverse sms-providers die de SMPP-standaard volgen. U kunt zelf connectors toevoegen om eender welke SMSC (short message service center) te ondersteunen. De taal van de berichten kan per gebruiker ingesteld worden.
    • E-mail: De OTP’s kunnen in een e-mail aan de gebruikers verstuurd worden. OpenOTP Server ondersteunt ook S/MIME-versleutelde e-mails en heeft een geïntegreerde PKI (public key infrastructure) om gebruikerscertificaten uit te rollen, te beheren en in te trekken. De taal van de e-mails is per gebruiker in te stellen.
    • Afgedrukte OTP-lijsten: Voor wie geen toegang heeft tot een token, gsm of e-mail ondersteunt OpenOTP Server ook afgedrukte lijsten met OTP’s, te vergelijken met TAN-lijsten bij internetbankieren.
  • S3

    Gebruikers kunnen zelf allerlei taken uitvoeren in de User Self Service Desk

    LDAP: OpenOTP ondersteunt elke LDAPv3-directory, waaronder Microsoft Active Directory, Novell eDirectory, Oracle Directory, Apple Open Directory, 389 Directory en OpenLDAP.

  • VPN: U integreert uw VPN-software met OpenOTP Server via RADIUS om gebruikers met tweefactorauthenticatie te laten inloggen. Dat kan met OpenOTP RadiusBridge, die onder andere VPN’s van Juniper, Nortel, Checkpoint, F5, Fortinet, Cisco, Palo Alto, Stonesoft, Stonegate en Array ondersteunt.
  • Windows-logins: Voeg tweefactorauthenticatie toe aan de aanmeldvensters van gebruikers van Windows Server 2008 R2, Windows Server 2012 R2, Windows Vista, Windows 7 en Windows 8, evenals voor RDP (Remote Desktop Protocol).
  • Unix PAM: Voeg tweefactorauthenticatie toe aan Unix/Linux-logins met PAM (pluggable authentication modules).
  • Webservers: OpenOTP Server is via een plug-in met Apache of Microsoft IIS te integreren. Uw bezoekers zijn daardoor in staat om met tweefactorauthenticatie op uw website in te loggen als hun browser in een pop-upvenster om een gebruikersnaam en wachtwoord vraagt. Voor Apache verloopt die integratie via de PAM plug-in.
  • Webapplicaties: Wilt u tweefactorauthenticatie aanbieden in uw eigen webapplicaties, dan gebruikt u daarvoor de eenvoudig te integreren OpenOTP SOAP of JSON API’s.
  • S7

    De beheerinterface laat u het gebruik van OpenOTP loggen

    Self-service: Gebruikers kunnen heel wat taken zelf uitvoeren met de webgebaseerde User Self Service Desk, zoals het hersynchroniseren van tokens als er meer dan 25 OTP’s gegenereerd zijn maar niet gebruikt om in te loggen, het registreren van een nieuw token (self-provisioning) en het wijzigen van hun statisch wachtwoord met behulp van een OTP.

  • Single-sign on: Ondersteunt de OpenID 1.1 en 2.0 API’s en de SAML2 API voor single-sign on, bijvoorbeeld voor gebruik met Zimbra, SugarCRM, Google Apps of Facebook. OpenOTP kan ook zelf als identity provider functioneren in plaats van federated logins via bijvoorbeeld Google of Facebook.
  • Flexibele policy’s: U stelt per gebruiker, groep, domein, client, netwerk of zelfs afhankelijk van de locatie (via geolokalisatie) of het tijdstip in welke beveiligingspolicy’s er voor tweefactorauthenticatie gelden: is een OTP nodig of niet, welk type token wordt aanvaard enzovoort.
  • Hardwareversleuteling: OpenOTP Server ondersteunt de cryptografische module YubiHSM van Yubico. Het gebruik ervan is volledig transparant, maar de AES-sleutels waarmee de token seeds versleuteld worden, zijn dan in hardware beschermd. Bovendien zet de module een echte random number generator (RNG) in voor OTP’s. Elke YubiHSM kan 1000 identiteiten opslaan, maar meerdere YubiHSM’s zijn samen te gebruiken voor meer identiteiten.

[/list]

Meer informatie

RCDevs Application Architecture

OpenOTP Server heeft een flexibele architectuur

Voor meer informatie kunt u contact met ons opnemen of een kijkje nemen op de website van RcDevs waar u uitgebreide documentatie en informatie over alle features vindt.