rrobbyy
Goto Top

MFA - mit welcher Hardware und wie macht ihr das?

Hallo zusammen,

bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.

Es soll und muss auch über das ganze Unternehmen ausgerollt werden.

Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x FIDO-Sticks kaufen, aber wie macht ihr das?

Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden? Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?

Content-Key: 5337233707

Url: https://administrator.de/contentid/5337233707

Printed on: May 28, 2024 at 06:05 o'clock

Member: athi1234
athi1234 Jan 13, 2023 at 15:21:55 (UTC)
Goto Top
Gute Frage, schließe ich mich an.
Member: mbehrens
Solution mbehrens Jan 13, 2023 at 15:37:07 (UTC)
Goto Top
Zitat von @rrobbyy:

bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.

Es soll und muss auch über das ganze Unternehmen ausgerollt werden.

Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x SIDO-Sticks kaufen, aber wie macht ihr das?

Jeder bekommt einen geeigneten Hardware-Token.
Member: MysticFoxDE
Solution MysticFoxDE Jan 13, 2023 at 15:44:22 (UTC)
Goto Top
Moin @rrobbyy,

Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden?

nö, wer kein Geschäftshandy hat bekommt einen Rainer SCT aufs Auge gedrückt.

Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?

Selbe Antwort wie oben. ­čśü

Und was das Anmelden am Rechner angeht, so musst du lediglich den richtigen Yubikey bestellen, etwas konfigurieren und schon kann es losgehen. ­čśë

Beste Grüsse aus BaWü
Alex
Member: SeaStorm
Solution SeaStorm Jan 13, 2023 at 15:54:33 (UTC)
Goto Top
Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei
Member: rrobbyy
rrobbyy Jan 13, 2023 updated at 16:40:14 (UTC)
Goto Top
AHA! Da war ich doch gar nicht so schlecht. Gut, einen zweiten Faktor gibt es halt nicht für umsonst.


Wisst ihr, ob Hardware-Tokens auch über RDP funktionieren?
Wir machen das hier so - falls nötig, nicht die Regel, da kein mobiles Arbeiten erwünscht - dass der Rechner des Mitarbeiters eingeschaltet ist und sich der Mitarbeiter dann über VPN auf diesen Rechner mit seinen Zugangsdaten aufschaltet. Er bräuchte ja dann den Token an seinem Rechner zu Hause?

Ich weiß, dass USB-Geräte durchgeschleift werden können, aber ich weiß auch, dass das nicht immer funktioniert.
Member: SeaStorm
Solution SeaStorm Jan 13, 2023 updated at 18:05:32 (UTC)
Goto Top
Der ganze Sinn dahinter ist ja das der Kram NICHT am Rechner ist.
Die generieren genau wie das Handy auch einfach alle 60 Sekunden einen OTP Code, vollkommen offline.
Da wird nichts weiter dazu benötigt. Kein Rechner, kein USB, kein Internet
Mitglied: 2423392070
Solution 2423392070 Jan 13, 2023 at 20:15:51 (UTC)
Goto Top
Smartcards. Auch in Form von Yubikeys.
Member: DerWoWusste
Solution DerWoWusste Jan 13, 2023 updated at 21:53:23 (UTC)
Goto Top
Smartcards werden per RDP durchgereicht.

Füge deiner Frage Details hinzu. Geht es um Authentifizierung von Domänenkonten? Habt ihr eine interne CA?
Member: StefanKittel
Solution StefanKittel Jan 13, 2023 at 22:45:46 (UTC)
Goto Top
Ein +1 für den Reiner SCT Authenticator
https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator

Aber die meisten nutzen dann doch lieber das Handy.

Die meisten Kunden, alles KMUs, sichern damit auch nur die Einwahl von extern ab.
An den PCs selber wird sowas seltener eingesetzt. Obwohl natürlich sinnvoll.

Stefan
Member: Cloudrakete
Solution Cloudrakete Jan 14, 2023 at 02:02:35 (UTC)
Goto Top
Zitat von @SeaStorm:

Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei

Also problemlos ja, "toll" ist das mit den FortiToken aber auch nicht.
Ist das einmal eingerichtet läuft es zwar, aber z.B. für die Seeds muss man aktuell immer noch ein Ticket bei Forti aufmachen, damit man die korrekten Seeds bekommt. Die auf der beigelegten CD sind wohl nur gehasht und reichen nicht für das Setup in Azure aus.
Member: em-pie
Solution em-pie Jan 14, 2023 updated at 07:42:09 (UTC)
Goto Top
Moin,

Also früher, bevor es die Smartphones und passende MFA-Apps gab, setzen wir von RSA die SecurIDs ein.

Heute wird der Zugang via Gemaltos SafeNet/ MobilePass+ abgesichert.

Unsere User hatten bei der Umstellung kein Problem damit, die App auf ihr privates Phone zu installieren. Haben denen transparent erklärt, was das ist und was die macht. Zudem haben alle immer irgendwelche Apps installiert, die irgendwelche Daten aus- und verwerten. Somit ist die von uns „geforderte“ App absolut unkritisch.

Und die Leute, die kurze Zweifel hatten (Chef will Firmenrelevante App auf mein Smartphone haben) wurden dann gefragt, ob sie denn die Firmen-Systeme auch mal privat nutzen und ob sie denn dann dies im Gegenzug zukünftig sein lassen wollen…
Member: rrobbyy
rrobbyy Jan 14, 2023 at 19:48:29 (UTC)
Goto Top
Vielen Dank für die Infos!

@em-pie: Das ist ja ein richtig geiles Argument, mit den privaten Dingen auf den Business-Geräten.

die Inputs haben mir echt geholfen!!! Vielen Dank an alle!!!!!!!!