Sicheres Desktop-Login mit Einmal-Token

Doppelt gemoppelt

Für die Desktop-Anmeldung genügen normalerweise Benutzername und Passwort – beide oft leicht zu erraten. Für besseren Schutz sorgt eine Zwei-Faktor-Authentifizierung mithilfe eines PAM-Moduls und einer kostenlosen Handy-App.

Die übliche Desktop-Anmeldung per Benutzername und Kennwort bietet zwar einen rudimentären Schutz vor unerlaubtem Zugriff, reicht aber nicht immer aus. Zudem verwenden viele Anwender unsichere Passwörter oder heften gar die Login-Daten auf einem Notizzettel an den Monitor. Man muss kein Sicherheitsexperte sein, um festzustellen, dass der Login in solchen Situationen keine wirkliche Hürde darstellt.

Ein besseres Gefühl versprechen Methoden, die einen zusätzlichen Faktor ins Spiel bringen. So bieten etwa frisch generierte, nur einmalig gültige Security-Token, also passwortähnliche Zeichenketten, ein zusätzliches Maß an Sicherheit. Der Rechner fragt ein solches One Time Password (OTP) beim Login zusammen mit den üblichen Daten ab.

Der Clou dabei: Nur der berechtigte Anwender hat Zugriff auf das Einmal-Token; unberechtigte Dritte (wie zum Beispiel Kollegen) kommen nicht an das OTP heran und können sich ergo nicht am PC anmelden. Solche Mechanismen bezeichnet man auch als Zwei-Faktor-Authentifizierung.

Google hilft

Die Implementation einer Zwei-Faktor-Authentifizierung erfolgt auf Linux-Systemen meist über PAM-Module – so auch in unserem Fall bei der Erweiterung des Desktop-Logins. Eine simple, aber mächtige Lösung dazu kommt von Google: Unter Zuhilfenahme des Google Authenticators [1] erweitern Sie die für das Login zuständigen PAM-Module auf dem Linux-Rechner, indem Sie eine zusätzliche Bibliothek einhängen.

Zudem installieren Sie auf Ihrem Android-, iOS- oder Blackberry-Smartphone eine kostenlose App [2], die das eigene Linux-Login mit dem Google Authenticator verknüpft. Fordert das System dann zur Eingabe eines Einmal-Tokens mit zeitlich begrenzter Gültigkeit (TOTP, Time-based One Time Password) auf, greifen Sie zum Smartphone und lesen die Zeichenkette ab.

An dieser Stelle sei erwähnt, dass sowohl das Smartphone als auch der Linux-Rechner dazu eine funktionierende Zeitsynchronisation benötigen. Läuft die Zeit auf beiden Geräten auseinander, funktioniert das Login mittels TOPT nicht mehr. Der Google-Authenticator-Mechanismus muss übrigens nicht zwingend für alle Benutzer des fraglichen Systems verpflichtend sein: PAM lässt sich so konfigurieren, dass es andere Benutzer nicht vom System aussperrt.

Fünf Minuten

Für unsere Testinstallation verwendeten wir Ubuntu 14.04 (32 Bit). Sofern nicht explizit anders angegeben, müssen Sie alle gezeigten Befehle mit Root-Rechten ausführen.

TIPP

Falls Sie nicht mit Ubuntu oder einem seiner zahlreichen Derivate arbeiten, sondern mit einer anderen Distribution, finden Sie im offiziellen Wiki des Google-Authenticator-Projekts [6] wertvolle Tipps und Tricks zur Zwei-Faktor-Authentifizierung.

Zunächst einmal bringen Sie per Apt-get das System auf den aktuellsten Stand (Listing  1, Zeile 1 und 2), anschließend richten Sie die benötigten Komponenten aus dem Repository ein (dritte Zeile). In unserem Test war das notwendige Paket libpam-google-authenticator im offiziellen Ubuntu-Repo verfügbar. Unter anderen Distributionen kann das entsprechende Paket einen anderen Namen tragen.

Listing 1

$ sudo apt-get update
$ sudo apt-get dist-upgrade
$ sudo apt-get install libpam-google-authenticator libqrencode3

Das Paket libqrencode3 benötigen Sie nur für ein zusätzliches Maß an Komfort: Die Bibliothek ermöglicht es dem Google Authenticator, einen QR-Code zu erzeugen. Den scannen Sie dann mit dem Smartphone ein und verknüpfen so Ihr Benutzerkonto mit dem Google Authenticator.

Im nächsten Schritt gilt es, den Google Authenticator in die Login-Maske einzubauen, die beim Systemstart erscheint. Unter Ubuntu 14.04 öffnen Sie dazu die PAM-Konfigurationsdatei des Display-Managers Lightdm (/etc/pam.d/lightdm) mit einem Texteditor und hängen Sie die folgende Zeile am Ende der Datei an:

auth required pam_google_authenticator.so nullok

Der Parameter nullok am Ende der Zeile sorgt dafür, dass auch weiterhin für einzelne Benutzerkonten eine Anmeldung ohne Google Authenticator möglich bleibt.

Soll auch der Bildschirmschoner beim Entsperren ein Sicherheits-Token verlangen, müssen Sie zudem die Datei /etc/pam.d/gnome-screensaver durch Anhängen der angegebenen Zeile anpassen.

TIPP

Verwenden Sie weder Lightdm noch den Gnome-Screensaver, nehmen Sie die Anpassungen stattdessen bei den von Ihrem System eingesetzten Display-Managern und Screensavern vor. Wir haben den Google Authenticator allerdings ausschließlich unter Ubuntu getestet.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Via NFC authentifizieren mit YubiKey Neo und Smartphone
    Der Zugangsschutz geht in eine neue Runde – diesmal kontaktlos per NFC. Mit einem Smartphone und dem YubiKey Neo greifen Sie von mobilen Geräten sicher auf Ihre Daten zu.
  • Praktikable Zwei-Faktor-Authentifizierung für Linux
    Mobile Geräte benötigen ein Plus an Sicherheit, sollen die darauf gespeicherten Daten nicht in unbefugte Hände gelangen. Deswegen sichern Sie den Zugang am besten mit einem zweiten Faktor in Form eines YubiKeys ab.
  • Sichere Authentifizierung mit dem YubiKey
    1001 Passworte verwalten: Ein Alptraum. Passwortzettel am Monitor: Keine gute Idee. Passwort zu kompliziert und vergessen: Ärgerlich. Der YubiKey löst all diese Probleme und ist kinderleicht zu handhaben.
  • Gut geschützt
    Angreifer wollen Ihren Rechner in ein Bot-Netz integrieren, während Onlinehändler und andere Webseiten Ihr Such- und Kaufverhalten ausspähen möchten. Sicherheit und Privacy sind wichtige Themen – wie gut Sie als Linux-Nutzer geschützt sind, verrät dieser Artikel.
  • Joomla! 3.2 veröffentlicht
    Das beliebte und benutzerfreundliche Content-Management-System Joomla! ist in Version 3.2 erschienen. Neu ist unter anderem eine Versionskontrolle.
Kommentare

Infos zur Publikation

LU 07/2017: VIDEOSCHNITT

Digitale Ausgabe: Preis € 0,00
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Irgend ein Notebook mit Linux Mint - vllt der Dell Latitude 3480???
Universit Freiburg, 26.06.2017 13:51, 0 Antworten
Hey Leute, bin am Verzweifeln weil ich super gerne auf Linux umsteigen würde aber kein Noteboo...
scannen mit LINUXMINT 18.0 - Brother DCP - 195 C
Christoph-J. Walter, 21.06.2017 08:47, 4 Antworten
Seit LM 18.0 kann ich nicht mehr direkt scannen. Obwohl ich die notwendigen Tools von der Brothe...
Anfänger Frage
Klaus Müller, 24.05.2017 14:25, 2 Antworten
Hallo erstmal. Habe von linux nicht so viel erfahrung müsste aber mal ne doofe frage stellen. A...
Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 4 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 7 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...