Authentifizierungsmethoden für Webserver

Mitglied: n.o.b.o.d.y

n.o.b.o.d.y (Level 3) - Jetzt verbinden

05.01.2016, aktualisiert 07.01.2016, 1317 Aufrufe, 3 Kommentare

Hallo Leute!

Ein frohes Neues wünsche ich!

Ich habe gleich zum Jahreswechsel ein Problem - ähh Herausforderung – auf den Tisch bekommen. Leider ein Thema in dem ich nicht so firm bin….

Ein Webserver, der eine medizinische Anwendung für einen eingeschränkten Benutzerkreis aus Ärzten und Pflegekräften breitstellt. Standardmäßig läuft die Anmeldung am System schlicht und einfach per User/Password. Wie wir alle wissen nehmen es die meisten mit der Stärke der Passwörter nicht so genau.

Deswegen die Frage, wie wir den Login zusätzlich absichern können. Die Software bietet nur beschränkte Möglichkeiten, die Passwortrichtlinien nach oben zu setzen.

Erster Gedanke war dann eine 2 Faktor-Authentifizierung vorzuschalten. Das stieß aber nicht auf so viel Gegenliebe, weil zu kompliziert mit den Token bzw. App auf dem Smartphone usw.

Daher meine Frage, welche Alternativen gibt es noch? Besteht eine Möglichkeit das über Clientzertifikate o.ä. zu lösen?

Vielen Dank fürs Lesen und für die Antworten!

Grüße!

Ralf
Mitglied: LordGurke
LÖSUNG 05.01.2016, aktualisiert 07.01.2016
Wenn die Benutzer sich immer wieder von statischen IP-Adressen oder IP-Netzen anmelden, kann man das als zweiten Faktor benutzen ohne dass der Nutzer es merkt. Ist halt nicht immer praktikabel, jenachdem von wo aus der Login üblicherweise erfolgt. Und der Nutzer steht doof da, wenn er diese statische IP nicht mehr benutzen kann (z.B. Ausfall der DSL-Verbindung).

Für OTP kannst du einen Yubikey als Generator verwenden - dann müssen die Leute halt einen kleinen USB-Stick am Schlüsselbund oder in der Geldbörse mit sich dabei haben. Die Teile werden vom OS als Tastatur erkannt, lassen sich also wirklich sehr einfach und universell verwenden. Sind halt mit ~35 € leider nicht ganz billig.

Notfalls geht auch ein Zertifikat, was meiner Erfahrung nach aber echtes Geraffel ist - besonders, wenn da wechselnde Geräte für den Login benutzt werden und im Zweifel von Malware auch der Zertifikatsspeicher leergeräumt werden kann. Am Ende hast du den Support für verolren gegangene Client-Zertifikate ;-) face-wink
Das kann man ggf. umgehen, indem man Cardreader und Smartcards für die Zertifikatsspeicherung anschafft. Kostet aber unterm Strich auch um die ~80 Euro pro Client/Benutzer und funktioniert evtl. nicht unter jedem Betriebssystem und Browser.
Bitte warten ..
Mitglied: n.o.b.o.d.y
07.01.2016 um 09:21 Uhr
Moin,

danke für die Antwort. Das mit dem Einschränken auf IPs schau ich mir mal an, in wie weit das praktikabel ist. Die Idee mit den Yubikeys ist ja im Prinzip wie eine 2-Faktor per App/SMS o.ä., wo die nicht so richtig ran wollen...

Mit Zertifikaten, lese ich heraus, sollte man das also nicht machen. Da wohl später auch Praxen auf die Software zugreifen sollen, in denen es erfahrungsgemäß meist keine IT gibt, kann es dort schnell mal vorkommen, dass ein PC verseucht ist.
Bitte warten ..
Mitglied: LordGurke
07.01.2016 um 10:00 Uhr
Zitat von @n.o.b.o.d.y:
Die Idee mit den Yubikeys ist ja im Prinzip wie eine 2-Faktor per App/SMS o.ä., wo die nicht so richtig ran wollen...

Ich hatte das so verstanden, dass die Ablehnung sicht hauptsächlich auf das "Umständliche" Handling mit App oder SMS bezieht. Den Yubikey stöpselst du ja im Prinzip einfach per USB an und bekommst dein OTP automatisch generiert.

Mit Zertifikaten, lese ich heraus, sollte man das also nicht machen. Da wohl später auch Praxen auf die Software zugreifen sollen, in denen es erfahrungsgemäß meist keine IT gibt, kann es dort schnell mal vorkommen, dass ein PC verseucht ist.

Das, und weil man die Zertifikate auch sichern muss, was für einen Laien ohne solides Grundwissen vollkommen unpraktikabel ist.
Ein Vollbackup der Systeme wäre natürlich wünschenswert, aber auch das wird ja auf PCs, von denen man sagt "Da liegen ja keine wichtigen Daten drauf" erfahrungsgemäß auch eher vernachlässigt. Wenn so ein System dann mal über die Klippe springt oder der Arzt plötzlich feststellt dass auf den neu gekauften Computern keine Clientzertifikate drauf sind...

Ich rate nicht grundsätzlich ab, der Supportaufwand dürfte aber echt enorm hochgehen, fürchte ich ;-) face-wink
Bitte warten ..
Heiß diskutierte Inhalte
Off Topic
Ein Weg weg von Microsoft. Wie würde man es angehen? Lasst uns doch etwas spinnen
it-fraggleVor 1 TagAllgemeinOff Topic52 Kommentare

Guten Morgen Kollegen, es treibt mich schon seit einigen Jahren um, dass es sinnvoll wäre langsam einen Weg weg von Microsoftprodukten zu finden. Mir ...

Hardware
Versorgungsengpass Chips
NebellichtVor 1 TagAllgemeinHardware22 Kommentare

Allg. frage ich mich ja warum Apple auf ARM frühzeitig gesetzt hat. Die Automobilindustrie gerade Absatzprobleme hat, weil keine Chips mehr geliefert werden können. ...

Windows Server
Server 2019 RDS-CALs für Domänen-Admins? Ernsthaft?
gelöst anteNopeVor 1 TagFrageWindows Server7 Kommentare

Nabend zusammen, ich habe hier heute einen RDS auf Basis eines Server 2019 STD installiert und mit User-CALs lizenziert. Soweit funktioniert auch alles. Nur ...

Festplatten, SSD, Raid
Wie würdet ihr eine Datenrettung machen?
pd.edvVor 21 StundenFrageFestplatten, SSD, Raid11 Kommentare

Hallo, ich arbeite gerade an einem Blog-Artikel zum Thema Datenrettung und würde mich brennend interessieren wie Ihr eine Datenrettung angehen würdet. Sagen wir mal ...

Multimedia
PDF Dokumente KOSTENLOS ausfüllen, wie?
Mrhallo19981Vor 1 TagFrageMultimedia12 Kommentare

Hallo, ich möchte PDF Dokumente kostenlos ausfüllen. Anschließend sollen diese Signiert werden. Signieren tu ich mit einem Zertifikat von Adobe. Deswegen ist es wichtig, ...

Windows Server
Lokaler DNS verlangsamt Internet?
gelöst Rattical84Vor 8 StundenFrageWindows Server20 Kommentare

Hallo zusammen, ich habe hier eine Domäne mit dem Domänencontroller als DNS-Server. Das ist der einzige DC und DNS-Server im Netz. Jetzt habe ich ...

Ubuntu
Installiert auf Rechner
khaldrogoVor 12 StundenFrageUbuntu9 Kommentare

Hallo Leute, Wir haben einen neuen Server bekommen, auf dem wir per Remotedesktopverbindung verbunden sind und arbeiten. Auf dem Server sind leider nicht alle ...

Backup
Backup OneDrive
gelöst KanrishaVor 1 TagFrageBackup5 Kommentare

Hallo meine IT Freunde, ich habe eine Frage ich will mein OneDrive backupen auf ein Netzwerklaufwerk. Wie muss jetzt meine bat. Datei aussehen? Ich ...