Sicheres Desktop-Login mit Einmal-Token

Doppelt gemoppelt

Für die Desktop-Anmeldung genügen normalerweise Benutzername und Passwort – beide oft leicht zu erraten. Für besseren Schutz sorgt eine Zwei-Faktor-Authentifizierung mithilfe eines PAM-Moduls und einer kostenlosen Handy-App.

Die übliche Desktop-Anmeldung per Benutzername und Kennwort bietet zwar einen rudimentären Schutz vor unerlaubtem Zugriff, reicht aber nicht immer aus. Zudem verwenden viele Anwender unsichere Passwörter oder heften gar die Login-Daten auf einem Notizzettel an den Monitor. Man muss kein Sicherheitsexperte sein, um festzustellen, dass der Login in solchen Situationen keine wirkliche Hürde darstellt.

Ein besseres Gefühl versprechen Methoden, die einen zusätzlichen Faktor ins Spiel bringen. So bieten etwa frisch generierte, nur einmalig gültige Security-Token, also passwortähnliche Zeichenketten, ein zusätzliches Maß an Sicherheit. Der Rechner fragt ein solches One Time Password (OTP) beim Login zusammen mit den üblichen Daten ab.

Der Clou dabei: Nur der berechtigte Anwender hat Zugriff auf das Einmal-Token; unberechtigte Dritte (wie zum Beispiel Kollegen) kommen nicht an das OTP heran und können sich ergo nicht am PC anmelden. Solche Mechanismen bezeichnet man auch als Zwei-Faktor-Authentifizierung.

Google hilft

Die Implementation einer Zwei-Faktor-Authentifizierung erfolgt auf Linux-Systemen meist über PAM-Module – so auch in unserem Fall bei der Erweiterung des Desktop-Logins. Eine simple, aber mächtige Lösung dazu kommt von Google: Unter Zuhilfenahme des Google Authenticators [1] erweitern Sie die für das Login zuständigen PAM-Module auf dem Linux-Rechner, indem Sie eine zusätzliche Bibliothek einhängen.

Zudem installieren Sie auf Ihrem Android-, iOS- oder Blackberry-Smartphone eine kostenlose App [2], die das eigene Linux-Login mit dem Google Authenticator verknüpft. Fordert das System dann zur Eingabe eines Einmal-Tokens mit zeitlich begrenzter Gültigkeit (TOTP, Time-based One Time Password) auf, greifen Sie zum Smartphone und lesen die Zeichenkette ab.

An dieser Stelle sei erwähnt, dass sowohl das Smartphone als auch der Linux-Rechner dazu eine funktionierende Zeitsynchronisation benötigen. Läuft die Zeit auf beiden Geräten auseinander, funktioniert das Login mittels TOPT nicht mehr. Der Google-Authenticator-Mechanismus muss übrigens nicht zwingend für alle Benutzer des fraglichen Systems verpflichtend sein: PAM lässt sich so konfigurieren, dass es andere Benutzer nicht vom System aussperrt.

Fünf Minuten

Für unsere Testinstallation verwendeten wir Ubuntu 14.04 (32 Bit). Sofern nicht explizit anders angegeben, müssen Sie alle gezeigten Befehle mit Root-Rechten ausführen.

TIPP

Falls Sie nicht mit Ubuntu oder einem seiner zahlreichen Derivate arbeiten, sondern mit einer anderen Distribution, finden Sie im offiziellen Wiki des Google-Authenticator-Projekts [6] wertvolle Tipps und Tricks zur Zwei-Faktor-Authentifizierung.

Zunächst einmal bringen Sie per Apt-get das System auf den aktuellsten Stand (Listing  1, Zeile 1 und 2), anschließend richten Sie die benötigten Komponenten aus dem Repository ein (dritte Zeile). In unserem Test war das notwendige Paket libpam-google-authenticator im offiziellen Ubuntu-Repo verfügbar. Unter anderen Distributionen kann das entsprechende Paket einen anderen Namen tragen.

Listing 1

$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get install libpam-google-authenticator libqrencode3

Das Paket libqrencode3 benötigen Sie nur für ein zusätzliches Maß an Komfort: Die Bibliothek ermöglicht es dem Google Authenticator, einen QR-Code zu erzeugen. Den scannen Sie dann mit dem Smartphone ein und verknüpfen so Ihr Benutzerkonto mit dem Google Authenticator.

Im nächsten Schritt gilt es, den Google Authenticator in die Login-Maske einzubauen, die beim Systemstart erscheint. Unter Ubuntu 14.04 öffnen Sie dazu die PAM-Konfigurationsdatei des Display-Managers Lightdm (/etc/pam.d/lightdm) mit einem Texteditor und hängen Sie die folgende Zeile am Ende der Datei an:

auth required pam_google_authenticator.so nullok

Der Parameter nullok am Ende der Zeile sorgt dafür, dass auch weiterhin für einzelne Benutzerkonten eine Anmeldung ohne Google Authenticator möglich bleibt.

Soll auch der Bildschirmschoner beim Entsperren ein Sicherheits-Token verlangen, müssen Sie zudem die Datei /etc/pam.d/gnome-screensaver durch Anhängen der angegebenen Zeile anpassen.

TIPP

Verwenden Sie weder Lightdm noch den Gnome-Screensaver, nehmen Sie die Anpassungen stattdessen bei den von Ihrem System eingesetzten Display-Managern und Screensavern vor. Wir haben den Google Authenticator allerdings ausschließlich unter Ubuntu getestet.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Via NFC authentifizieren mit YubiKey Neo und Smartphone
    Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.
  • Praktikable Zwei-Faktor-Authentifizierung für Linux
    Mobile Geräte benötigen ein Plus an Sicherheit, sollen die darauf gespeicherten Daten nicht in unbefugte Hände gelangen. Deswegen sichern Sie den Zugang am besten mit einem zweiten Faktor in Form eines YubiKeys ab.
  • Sichere Authentifizierung mit dem YubiKey
    1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.
  • Gut geschützt
    Angreifer wollen Ihren Rechner in ein Bot-Netz integrieren, während Onlinehändler und andere Webseiten Ihr Such- und Kaufverhalten ausspähen möchten. Sicherheit und Privacy sind wichtige Themen – wie gut Sie als Linux-Nutzer geschützt sind, verrät dieser Artikel.
  • Joomla! 3.2 veröffentlicht
    Das beliebte und benutzerfreundliche Content-Management-System Joomla! ist in Version 3.2 erschienen. Neu ist unter anderem eine Versionskontrolle.
Kommentare

Infos zur Publikation

LU 10/2017: Daten retten & sichern

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 2 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...