Multifactor Authorization with FIDO2/WebAuthn

Multifactor Authorization with FIDO2/WebAuthn

by Alexander Bias -
Number of replies: 3

Here's the Devpad which was filled by all attendees of the session:
https://devpad.moodle.org/p/MoodleMFA

Thanks to everyone who took notes!

Cheers,
Alex

In reply to Alexander Bias

Re: Multifactor Authorization with FIDO2/WebAuthn

by Luca Bösch -

Dear Alex

I think a copy-paste of the content would be preferrable since:

  • not sure if the devpad is emptied/deleted after some time
  • the content gets searchable by the search forums block
Would you mind to copy-paste here?

Best, Luca

In reply to Luca Bösch

Re: Multifactor Authorization with FIDO2/WebAuthn

by Alexander Bias -
Thank you for this important hint, Luca!

Here's the copied & pasted content:

--------------------

Multifactor authentication (MFA) with FIDO2 / WebAuthn
Alexander Bias (lern.link)


Warum überhaupt MFA?

Passwörter werden wiederverwendet & geklaut

Daten werden immer wertvoller


Warum überhaupt MFA direkt in Moodle?
-> Second Factors gibt es außerhalb oder innerhalb einer Anwendung. Ersteres ist beispielsweise MFA im Shibboleth IDP.
-> Nur mit MFA direkt in Moodle ist eine Berücksichtigung von Sicherheitsleveln anhand von Moodle Rollen etc möglich

Bei größeren Plattformen wie Github oder Amazon ist MFA inzwischen standardmäßig verfügbar, als Einmal-PIN per SMS oder OTP, das ist aber nicht unbedingt optimal praktikabel.

Ansonsten gibt es auch Hardwarekeys wie Yubikey.
Ein weiterer Hersteller von Hardwarekeys neben Yubikey ist die Firma swissbit.
https://www.swissbit.com/de/produkte/security-produkte/ishield-key/

Moodle kann bisher kein MFA.
Es gibt aber ein Plugin unter https://moodle.org/plugins/tool_mfa (Catalyst IT)
Dieses agiert _nach_ der ersten Loginprüfung (Lokaler Account, LDAP, was auch immer) und fügt weitere Faktoren hinzu.
Das tool_mfa soll in Moodle 4.3 in den Moodle core gelangen.

Es gibt zahlreiche Faktoren, die bereits konfigurierbar sind.

Grace Period: man hat eine bestimmte Zeit, um einen zweiten Faktor zu hinterlegen (solange ist Login mit Passwort möglich).

No other factor: hier gibt es einen Bug, da dann der Link nicht angezeigt wird (Fix ist in Arbeit).
Dient dazu, dass der Nutzer einen Menüpunkt in seinem Nutzermenü hat, damit er MFA für sich aktivieren kann.

Role Factor: nur bestmmte Rollen können für die MFA konfiguriert werden.

uvm.

Ein User muss für die Anmeldung am System ein Punktelimit erreichen, z.B. 100. Die einzelnen Faktoren können unterschiedlich gewichtet werden. Der Nutzer muss soviele Faktoren erfüllen, bis er das Limit erreicht hat.
Das bedeutet, wenn man für mehrere Faktoren 100 konfiguriert hat, dann kann man mit *jedem* dieser Faktoren einen Login machen - aber zur Zeit nur nacheinander.

Wenn man einen Hardwarekey nutzt macht es gegebenenfalls Sinn weitere Faktoren wie OTP zu konfigurieren, falls man mal seinen Key vergisst.
Derzeit ist die Abfrage des zweiten Faktors in tool_mfa generisch und deckt alle Faktortypen zeitgleich ab. Dadurch ist der Fall Hardwarekey bei "Ich habe keinen Zugriff auf meinen Authenticator" eine harte Fehlermeldung, die nur den Logout erlaubt. Hier muss usabilitytechnisch noch nachgebessert werden.

Verschiedene Modi für Nutzerverifikation mit dem Hardwarekey (das heißt der Hardwarekey verlangt seinerseits noch eine PIN oder einen Fingerabdruck): required, preferred, not employed

Wie geht es mit der MoodleApp? -> für die App greift MFA aktuell nicht!!! Hier muss noch nachgebessert werden
Womöglich kann die Moodle App selbst der zweite Faktor werden?

lern.link bietet ein Produktpaket an für Swissbit Hardwarekeys und Support bei der Konfiguration des Plugins

--------------------

Cheers,
Alex
In reply to Alexander Bias

Re: Multifactor Authorization with FIDO2/WebAuthn

by Alexander Bias -
Ich kann noch ergänzen:
Das tool_mfa Plugin funktioniert in der Moodle Mobile App genau dann sobald man die Authentifizierung über den integrierten Browser macht.
Das ist unter https://github.com/catalyst/moodle-tool_mfa#moodle-mobile-app auch dokumentiert.