Neue Schutzmechanismen in moin.schule: mehr Sicherheit bei der Anmeldung
Mit der Einführung von DPoP wurde die Anmeldeinfrastruktur von moin.schule um einen wichtigen Sicherheitsbaustein erweitert. Dadurch werden Benutzerkonten besser geschützt und moderne Sicherheitsstandards konsequent umgesetzt.
Die Sicherheit von Benutzerkonten und Anmeldedaten hat für moin.schule einen hohen Stellenwert. Aus diesem Grund wurden in den vergangenen Wochen weitere Sicherheitsmechanismen in die Anmeldeinfrastruktur integriert. Ziel ist es, den Schutz von Benutzerkonten weiter zu verbessern.
Was steckt dahinter?
Für die Anmeldung bei moin.schule kommt im Hintergrund eine moderne Identitäts- und Zugriffsverwaltung zum Einsatz. Diese basiert auf Keycloak, einer weltweit verbreiteten Open-Source-Lösung für Single Sign-on (SSO), Benutzerverwaltung und sichere Authentifizierung.
Keycloak übernimmt dabei die Aufgabe, Anmeldungen zu verwalten, Zugriffsrechte zu prüfen und die Identität der Nutzerinnen und Nutzer gegenüber den verschiedenen Anwendungen innerhalb der Bildungscloud nachzuweisen.
Zusätzlicher Schutz durch DPoP
Neu eingeführt wurde die Unterstützung von DPoP (Demonstration of Proof-of-Possession).
Hinter diesem technischen Begriff verbirgt sich ein wichtiger Sicherheitsgewinn: Bisher konnten Zugriffstoken grundsätzlich von dem Gerät verwendet werden, auf dem sie gespeichert waren. Mit DPoP wird zusätzlich nachgewiesen, dass ein Token tatsächlich von dem Gerät genutzt wird, für das es ursprünglich ausgestellt wurde.
Vereinfacht ausgedrückt bedeutet das:
- Zugriffstoken werden stärker an das verwendete Gerät gebunden.
- Das Risiko des Missbrauchs gestohlener Tokens wird reduziert.
- Angriffe durch abgefangene oder kopierte Anmeldedaten werden erschwert.
- Die Sicherheit der gesamten Anmeldeinfrastruktur wird erhöht.
Solche Verfahren werden zunehmend auch von großen Cloud-Anbietern und modernen Identitätsplattformen eingesetzt.
Warum werden dadurch manche Probleme erst sichtbar?
Moderne Sicherheitsverfahren arbeiten deutlich präziser als ältere Authentifizierungsverfahren. Dazu gehört auch die Prüfung von Zeitstempeln innerhalb der Anmeldedaten.
Aus diesem Grund ist eine korrekte Systemzeit auf dem verwendeten Gerät beziehungsweise innerhalb der jeweiligen IT-Infrastruktur erforderlich.
In den meisten Umgebungen erfolgt dies automatisch über sogenannte NTP-Server (Network Time Protocol), die die Systemzeit regelmäßig mit einer offiziellen Zeitquelle abgleichen.
Ist die Zeit eines Geräts oder einer verwalteten Domänenumgebung jedoch nicht korrekt synchronisiert, kann es in Einzelfällen zu Anmeldeproblemen kommen. Dabei erscheint unter Umständen die Meldung:
Authentication is currently unavailable. Please try again later.
Wichtig ist dabei: Die Ursache liegt in diesen Fällen nicht in einer Störung von moin.schule, sondern in einer Zeitabweichung zwischen dem anfragenden System und den Sicherheitsmechanismen der Anmeldung.
Was sollten Schulen beachten?
Wir empfehlen Schulträgern und IT-Administrationen, die Zeitsynchronisation ihrer Geräte und Server regelmäßig zu überprüfen. Insbesondere in zentral verwalteten Umgebungen sollte sichergestellt werden, dass alle Systeme ihre Uhrzeit zuverlässig über NTP beziehen.
Eine korrekte Zeitsynchronisation ist nicht nur für moin.schule relevant, sondern bildet eine wichtige Grundlage für zahlreiche moderne Sicherheitsverfahren.
Hilfe bei der Nutzung erhalten sie durch die landesweite Supportangebote: https://niedersachsen.support/