n.o.b.o.d.y
Goto Top

Authentifizierungsmethoden für Webserver

Hallo Leute!

Ein frohes Neues wünsche ich!

Ich habe gleich zum Jahreswechsel ein Problem - ähh Herausforderung – auf den Tisch bekommen. Leider ein Thema in dem ich nicht so firm bin….

Ein Webserver, der eine medizinische Anwendung für einen eingeschränkten Benutzerkreis aus Ärzten und Pflegekräften breitstellt. Standardmäßig läuft die Anmeldung am System schlicht und einfach per User/Password. Wie wir alle wissen nehmen es die meisten mit der Stärke der Passwörter nicht so genau.

Deswegen die Frage, wie wir den Login zusätzlich absichern können. Die Software bietet nur beschränkte Möglichkeiten, die Passwortrichtlinien nach oben zu setzen.

Erster Gedanke war dann eine 2 Faktor-Authentifizierung vorzuschalten. Das stieß aber nicht auf so viel Gegenliebe, weil zu kompliziert mit den Token bzw. App auf dem Smartphone usw.

Daher meine Frage, welche Alternativen gibt es noch? Besteht eine Möglichkeit das über Clientzertifikate o.ä. zu lösen?

Vielen Dank fürs Lesen und für die Antworten!

Grüße!

Ralf

Content-ID: 292222

Url: https://administrator.de/contentid/292222

Printed on: December 13, 2024 at 01:12 o'clock

LordGurke
Solution LordGurke Jan 05, 2016, updated at Jan 07, 2016 at 08:21:44 (UTC)
Goto Top
Wenn die Benutzer sich immer wieder von statischen IP-Adressen oder IP-Netzen anmelden, kann man das als zweiten Faktor benutzen ohne dass der Nutzer es merkt. Ist halt nicht immer praktikabel, jenachdem von wo aus der Login üblicherweise erfolgt. Und der Nutzer steht doof da, wenn er diese statische IP nicht mehr benutzen kann (z.B. Ausfall der DSL-Verbindung).

Für OTP kannst du einen Yubikey als Generator verwenden - dann müssen die Leute halt einen kleinen USB-Stick am Schlüsselbund oder in der Geldbörse mit sich dabei haben. Die Teile werden vom OS als Tastatur erkannt, lassen sich also wirklich sehr einfach und universell verwenden. Sind halt mit ~35 € leider nicht ganz billig.

Notfalls geht auch ein Zertifikat, was meiner Erfahrung nach aber echtes Geraffel ist - besonders, wenn da wechselnde Geräte für den Login benutzt werden und im Zweifel von Malware auch der Zertifikatsspeicher leergeräumt werden kann. Am Ende hast du den Support für verolren gegangene Client-Zertifikate face-wink
Das kann man ggf. umgehen, indem man Cardreader und Smartcards für die Zertifikatsspeicherung anschafft. Kostet aber unterm Strich auch um die ~80 Euro pro Client/Benutzer und funktioniert evtl. nicht unter jedem Betriebssystem und Browser.
n.o.b.o.d.y
n.o.b.o.d.y Jan 07, 2016 at 08:21:40 (UTC)
Goto Top
Moin,

danke für die Antwort. Das mit dem Einschränken auf IPs schau ich mir mal an, in wie weit das praktikabel ist. Die Idee mit den Yubikeys ist ja im Prinzip wie eine 2-Faktor per App/SMS o.ä., wo die nicht so richtig ran wollen...

Mit Zertifikaten, lese ich heraus, sollte man das also nicht machen. Da wohl später auch Praxen auf die Software zugreifen sollen, in denen es erfahrungsgemäß meist keine IT gibt, kann es dort schnell mal vorkommen, dass ein PC verseucht ist.
LordGurke
LordGurke Jan 07, 2016 at 09:00:01 (UTC)
Goto Top
Zitat von @n.o.b.o.d.y:
Die Idee mit den Yubikeys ist ja im Prinzip wie eine 2-Faktor per App/SMS o.ä., wo die nicht so richtig ran wollen...

Ich hatte das so verstanden, dass die Ablehnung sicht hauptsächlich auf das "Umständliche" Handling mit App oder SMS bezieht. Den Yubikey stöpselst du ja im Prinzip einfach per USB an und bekommst dein OTP automatisch generiert.

Mit Zertifikaten, lese ich heraus, sollte man das also nicht machen. Da wohl später auch Praxen auf die Software zugreifen sollen, in denen es erfahrungsgemäß meist keine IT gibt, kann es dort schnell mal vorkommen, dass ein PC verseucht ist.

Das, und weil man die Zertifikate auch sichern muss, was für einen Laien ohne solides Grundwissen vollkommen unpraktikabel ist.
Ein Vollbackup der Systeme wäre natürlich wünschenswert, aber auch das wird ja auf PCs, von denen man sagt "Da liegen ja keine wichtigen Daten drauf" erfahrungsgemäß auch eher vernachlässigt. Wenn so ein System dann mal über die Klippe springt oder der Arzt plötzlich feststellt dass auf den neu gekauften Computern keine Clientzertifikate drauf sind...

Ich rate nicht grundsätzlich ab, der Supportaufwand dürfte aber echt enorm hochgehen, fürchte ich face-wink