Moderne Authentifizierung in der Praxis: 2FA für Windows & Web

Die sichere Authentifizierung ist ein zentrales Element jeder IT-Infrastruktur, klassische Passwörter reichen dafür längst nicht mehr aus. Sicherheitsexperten setzen daher zunehmend auf moderne Verfahren wie Public Key Infrastructures (PKIs), Zwei-Faktor-Authentifizierung und passwortlose Logins.

Nach Teilnahme am Workshop können Sie ...

• mit OpenSSL arbeiten und Zertifikate sowie Certificate Authorities (CAs) unter Ihrem Betriebssystem und im Browser verwalten,

• SSH-Zugänge per Zertifikat absichern und Smartcards für die Anmeldung unter Windows konfigurieren.

• Webanwendungen mit FIDO (Fast Identity Online) absichern.

• bewerten, welche Authentifizierungsmechanismen sich für verschiedene Anwendungsfälle eignen.

• Stärken und Schwächen aktueller Verfahren wie OTP, FIDO und Post-Quantum-Kryptografie erkennen und kombinieren.

Inhalte

In diesem Online-Workshop mit hohem Praxisanteil erhalten Sie einen umfassenden Überblick über Konzepte, Protokolle und Best Practices für die Authentifizierung mit einem zweiten Faktor oder ganz ohne Passwort. Sie lernen moderne Alternativen zur traditionellen kennwortbasierten Anmeldung kennen und erfahren, welche Rolle asymmetrische Kryptographie mit öffentlichen und privaten Schlüsseln und die FIDO-Sicherheitsprotokolle dabei spielen.

Mithilfe der erlernten Methoden und Werkzeuge können Sie IT-Infrastrukturen und Benutzerzugänge nachhaltig absichern, sei es im Unternehmensnetzwerk mit Active Directory oder in modernen Webportalen.

In praxisnahen Übungen wenden Sie Ihr neues Wissen direkt in einer virtuellen Umgebung mit OpenSSL und Active Directory Certificate Services an. Das im Workshop vermittelte Wissen ist bewusst tool- und plattformunabhängig gestaltet und lässt sich auf jede andere PKI-Software und jedes andere Authentifizierungsszenario übertragen.

Themen in der Übersicht

• 1. Grundlagen

  • Einführung Public Key-Verfahren und digitale Signaturen

  • Algorithmen-Auswahl und Längen-Empfehlungen

  • Schlüsselformate (PEM, DER, Raw)

  • Schlüsselpaare erstellen und verwenden

  • Sicherheitspraktiken und Offline Keys

  • Digitale Signaturen richtig einsetzen

• 2. Public Key Infrastructurs

  • Zertifikate

    • Einführung in Zertifikate

    • Zertifikatsstruktur in X509

    • Zertifikatsformate (PKCS12, PEM, DER)

    • Digitale Zertifikate erstellen

    • Chain of Trust

      • Einführung am Beispiel der WebPKI

      • Root und Intermediate Certificate Authority erstellen

      • Root-Schlüssel verwalten

      • Zertifikate durch die Certificate Authority ausstellen

      • Eigene Certificate Authorities in Browser und Betriebssystem erstellen

    • Alternative Wege Der Public Key-Verteilung

      • Das TOFU-Prinzip

      • Das Web of Trust

    • Authentifizierung mit PKI

      • Zertifikatsbasierte Authentifizierung am Beispiel SSH

      • Login am Rechner via Smartcard-Zertifikat

  • Kurz-Überblick über die Active Directory Certificate Services

• 3. Zwei-Faktor-Authentifizierung und passwortlose Authentifizierung mit FIDO

  • Einführung in das FIDO- und Webauthn-Protokoll

    • Was sind FIDO 2, Webauthn, und CTAP?

    • Protokollteilnehmer und Message Flow

  • Einsatz- und Konfigurationsmöglichkeiten von FIDO

    • Zwei-Faktor-Authentifizierung

    • Passwortlose Authentifizierung

    • Resident Key Szenarien

  • Verwendbare Hardware Tokens

    • Plattform-Tokens in Handy und Laptop

    • Hardware-Token-Anbieter

  • Remote Attestation mit Zertifikaten

    • Remote Attestation mit FIDO

  • FIDO im eigenen Projekt verwenden

    • FIDO-Bibliotheken für Software-Projekte

    • Tools wie Authentik oder Keycloak als Identity Manager

    • FIDO für die eigene Webseite/das eigene Portal aufsetzen

    • Unterstützung in Windows Active Directory

  • (Time based) One Time Passwords als Alternative

    • Funktionsweise

    • Verwendung mit TOTP Apps

    • Vergleich mit FIDO und Co.

  • Smart Cards (PIV, FIPS201) als Alternative

    • Funktionsweise

    • Vergleich mit FIDO

    • Einsatz in Windows Active Directory Netzwerken

• 4. Ausblick

  • Public Key Infrastructure und FIDO

    • Vor- und Nachteile der Lösungen

  • Zukünftige Signaturverfahren

    • Post-Quantum Signaturverfahren

    • Entwicklung der Schlüsselgrößen

• 5. Offene Diskussion

  • Teilnehmer bringen ihre eigenen Themen und Fragen mit

Zielgruppe

Administratoren und DevOps-Engineers, die ihre IT-Infrastruktur durch moderne Authentifizierung jenseits von Passwörtern besser absichern und sich vor wachsenden Bedrohungen schützen wollen

Entwickler, die z. B. FIDO-Authentifizierungsprotokolle in eigener Software verwenden möchten

Voraussetzungen

• Vorkenntnisse

  • Grundlegende IT-Kenntnisse im Umgang mit Betriebssystemen (Windows/Linux) und Netzwerktechnologien

  • Vertrautheit mit Authentifizierung (Passwörter, Nutzerkonten, Zugriffskontrollen)

  • erste Erfahrung mit Kommandozeilentools wie openssl oder ssh (von Vorteil)

  • Basiswissen zu Webanwendungen und -protokollen (von Vorteil)

Leistungen Ihres Workshoptickets

• Sie erhalten Ihre Schulungsunterlagen in digitaler Form. So können Sie selbst entscheiden, ob Sie diese elektronisch bearbeiten und archivieren oder lieber ausdrucken möchten.

• Mit der Teilnahmebescheinigung unterstreichen Sie Ihr Weiterbildungsengagement und verbessern Ihre Perspektiven für interne Karriereschritte oder neue berufliche Wege.

Durchführung

Sie nehmen über Zoom am Workshop teil, wobei die Verbindung über einen lokal gehosteten, DSGVO-konformen On-Premises-Connector erfolgt.

Um einen intensiven Austausch zwischen dem Trainer und den Teilnehmenden zu gewährleisten, erfolgt die Schulung in Gruppen von höchstens 12 Personen.

Sollte die Durchführung der Veranstaltung aufgrund höherer Gewalt, der Verhinderung eines Referenten, von Störungen am Veranstaltungsort oder wegen zu geringer Teilnehmerzahl nicht möglich sein, werden die Teilnehmenden so früh wie möglich informiert.