mrheisenberg
Goto Top

MFA mit RFID gekoppelt mit elektronischen Schließsystem

Hi Leute,

bin seit kurzem in einer neuen Firma, und habe sogleich ein lässiges Projekt erhalten:

MFA gekoppelt mit unserem Gebäudeschließsystem, folgende Aufgabe oder Herausforderung habe ich zu bewältigen:

Mein IT Leiter möchte mit unseren Chips welche Zeiterfassung sowie Zylinder buchen/sperren die MFA an den Arbeitsplätzen der PC´s / Laptops abgebildet haben.
Die Chips geben keine Rückschlüsse bei Verlust welche Firma diese verwendet, sowie soll der User ebenfalls einen Pin eingeben beim Entsperren des PC´s.

Hintergrund:
Unsere User sollen die Chips/Karten mitnehmen wenn der Arbeitsplatz verlassen wird, da diese sonnst nicht mehr ins Gebäude (sowie Außenstellen) kommen, somit würde der PC dann gesperrt wenn die Karte/Chip abgezogen/entfernt wurde/wird , und nicht dauerhaft stecken gelassen. YubiKey möchte er nicht haben, da bei diesen System der User wieder ein Teil mehr herumschleppt. Verstehe Ihn da auch, und inzwischen kenne ich unsere User....

Hat jemand soetwas bereits im Einsatz? wenn ja evtl. kann mir jemand Imput geben, Stolpersteine, Vorteile/Nachteile usw. bisdato habe ich mich in dieser Sache nur mit AZURE und MFA via MS Hello / AuthiApp befasst, hier sind wir leider nicht in der Cloud und die Abbildung soll über die lokale Hardware wenn möglich/sicher abgebildet werden.

Wäre um jeden Imput froh, die Chips laufen über RFID, und lassen sich in Sektoren aufteilen um eine zusätzliche Partition zu erhalten.


LG aus AT

Content-Key: 3985030015

Url: https://administrator.de/contentid/3985030015

Ausgedruckt am: 24.09.2022 um 22:09 Uhr

Mitglied: tikayevent
tikayevent 19.09.2022 um 11:18:35 Uhr
Goto Top
Da musst du mal in Erfahrung bringen, ob die Transponder als Smartcard fungieren können. Reine mifare-Transponder können das nicht.
Mitglied: MrHeisenberg
MrHeisenberg 19.09.2022 um 11:38:46 Uhr
Goto Top
Hi, danke für deinen Imput, derzeit sind nur reine MIFARE im Einsatz, können aber auf Smartcards getauscht werden
Mitglied: NordicMike
NordicMike 19.09.2022 um 12:03:13 Uhr
Goto Top
Gibt es irgendwo einen Vergleich welches System was kann?

Hier wurde je bereits über einige Systeme gesprochen:
https://administrator.de/forum/smartcard-anmeldung-am-pc-2936868166.html

Gibt es eine eierlegende Wollmilschsau, dass man dem Mitarbeiter nur eine Karte für alles aushändigt?
Mitglied: Dobby
Dobby 19.09.2022 um 12:11:16 Uhr
Goto Top
Hallo,

mit ReinSCT kann man so etwas realisieren. Damit kann man Zylinder schließen, sich an und abmelden (Arbeitszeit)
und auch noch am PC anmelden bei geeignetem Kartenleser und zwar ohne PIN dazu. Zur Not kann man dann
das Passwort aber dennoch benutzen, wenn die Karte oder der Kartenleser defekt sind.

Dobby
Mitglied: NordicMike
NordicMike 19.09.2022 um 12:25:30 Uhr
Goto Top
Bei ReinerSCT wird bei der PC Anmeldung trotzdem eine PIN verlangt, dann kann man sich ja auch gleich mit seinem Passwort anmelden oder mit der PIN Abfrage, die in Windows integriert ist ace-sad"
Mitglied: MrHeisenberg
MrHeisenberg 19.09.2022 um 12:38:26 Uhr
Goto Top
ja ich muss meine User in eine Richtung drängen ohne hier Zuviel zu beschneiden, sollten ja noch arbeiten können... die sehen mich jetzt schon als Sadist :D

Pin + Smartcard/Chip finde ich als Sicherheitsaspekt gut, denn nur in der Kombi Pin + Medium kann der User sich einloggen, somit nehme ich dem "PasswortPOST_IT" etwas das Risiko, ja ich bin mir bewusst, ist immer noch Fatal aber es kommt nicht Herr/Frau X nur mit dem PW auf den Rechner und in weiterer folge ins Netzwerk
Mitglied: MrHeisenberg
MrHeisenberg 19.09.2022 um 12:39:44 Uhr
Goto Top
Zitat von @Dobby:

Hallo,

mit ReinSCT kann man so etwas realisieren. Damit kann man Zylinder schließen, sich an und abmelden (Arbeitszeit)
und auch noch am PC anmelden bei geeignetem Kartenleser und zwar ohne PIN dazu. Zur Not kann man dann
das Passwort aber dennoch benutzen, wenn die Karte oder der Kartenleser defekt sind.

Dobby

@Dobby , hast du mit dem System schon gearbeitet, oder im Einsatz?
Mitglied: Dobby
Dobby 19.09.2022 um 12:55:27 Uhr
Goto Top
Hallo,

hast du mit dem System schon gearbeitet, oder im Einsatz?
Ich habe bei einer Firma gearbeitet die das so im Einsatz hat. Man kann morgens einstempeln (Arbeitszeit),
man kann nur die Türen im Gebäude öffnen die dafür freigegeben sind und man kann sich damit am PC
anmelden dazu aber mit zwei Karten in einem "Kartenhalter", von daher kann man auch ein schön langes
Passwort benutzen und das ist dann auf der RFID Karte hinterlegt, zweiter Vorteil ist das der Admin sich
anmelden kann und muss auch nicht sein Passwort eintippen, (Schultersurfen).

Dobby
Mitglied: C.R.S.
C.R.S. 20.09.2022 um 15:03:23 Uhr
Goto Top
Zitat von @MrHeisenberg:

Hi, danke für deinen Imput, derzeit sind nur reine MIFARE im Einsatz, können aber auf Smartcards getauscht werden

Das war es dann schon, d.h. führe eine reguläre Smartcard-Implementierung durch mit Karten, welche die MIFARE-Kompatibilität zu eurem Schließsystem aufweisen (mit PIN-geschützter Smartcard-Konfiguration).
Aus dem Weg gehen solltest Du in dem Bereich Systemen, die umgekehrt durch Software Anmeldevorgänge mit Schließsystemverfahren realisieren. Die Abhängigkeit allein von der Präsenz eines Gerätes ist natürlich für Anmeldezwecke nicht opportun, zumal die erwarteten Reader oft auch im Außenbereich hängen.

Die Smartcard-Einführung wirft noch eine Reihe anwendungsspezifischer Fragen auf, etwa ob einzelne Nutzer auch ein Passwort kennen/verwenden müssen, wie das zu rotieren oder zu verwalten ist etc. In der Regel reichen die Bordmittel.

Grüße
Richard