rrobbyy
Goto Top

MFA - mit welcher Hardware und wie macht ihr das?

Hallo zusammen,

bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.

Es soll und muss auch über das ganze Unternehmen ausgerollt werden.

Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x FIDO-Sticks kaufen, aber wie macht ihr das?

Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden? Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?

Content-ID: 5337233707

Url: https://administrator.de/forum/mfa-mit-welcher-hardware-und-wie-macht-ihr-das-5337233707.html

Ausgedruckt am: 25.12.2024 um 14:12 Uhr

athi1234
athi1234 13.01.2023 um 16:21:55 Uhr
Goto Top
Gute Frage, schließe ich mich an.
mbehrens
Lösung mbehrens 13.01.2023 um 16:37:07 Uhr
Goto Top
Zitat von @rrobbyy:

bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.

Es soll und muss auch über das ganze Unternehmen ausgerollt werden.

Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x SIDO-Sticks kaufen, aber wie macht ihr das?

Jeder bekommt einen geeigneten Hardware-Token.
MysticFoxDE
Lösung MysticFoxDE 13.01.2023 um 16:44:22 Uhr
Goto Top
Moin @rrobbyy,

Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden?

nö, wer kein Geschäftshandy hat bekommt einen Rainer SCT aufs Auge gedrückt.

Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?

Selbe Antwort wie oben. 😁

Und was das Anmelden am Rechner angeht, so musst du lediglich den richtigen Yubikey bestellen, etwas konfigurieren und schon kann es losgehen. 😉

Beste Grüsse aus BaWü
Alex
SeaStorm
Lösung SeaStorm 13.01.2023 um 16:54:33 Uhr
Goto Top
Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei
rrobbyy
rrobbyy 13.01.2023 aktualisiert um 17:40:14 Uhr
Goto Top
AHA! Da war ich doch gar nicht so schlecht. Gut, einen zweiten Faktor gibt es halt nicht für umsonst.


Wisst ihr, ob Hardware-Tokens auch über RDP funktionieren?
Wir machen das hier so - falls nötig, nicht die Regel, da kein mobiles Arbeiten erwünscht - dass der Rechner des Mitarbeiters eingeschaltet ist und sich der Mitarbeiter dann über VPN auf diesen Rechner mit seinen Zugangsdaten aufschaltet. Er bräuchte ja dann den Token an seinem Rechner zu Hause?

Ich weiß, dass USB-Geräte durchgeschleift werden können, aber ich weiß auch, dass das nicht immer funktioniert.
SeaStorm
Lösung SeaStorm 13.01.2023 aktualisiert um 19:05:32 Uhr
Goto Top
Der ganze Sinn dahinter ist ja das der Kram NICHT am Rechner ist.
Die generieren genau wie das Handy auch einfach alle 60 Sekunden einen OTP Code, vollkommen offline.
Da wird nichts weiter dazu benötigt. Kein Rechner, kein USB, kein Internet
2423392070
Lösung 2423392070 13.01.2023 um 21:15:51 Uhr
Goto Top
Smartcards. Auch in Form von Yubikeys.
DerWoWusste
Lösung DerWoWusste 13.01.2023 aktualisiert um 22:53:23 Uhr
Goto Top
Smartcards werden per RDP durchgereicht.

Füge deiner Frage Details hinzu. Geht es um Authentifizierung von Domänenkonten? Habt ihr eine interne CA?
StefanKittel
Lösung StefanKittel 13.01.2023 um 23:45:46 Uhr
Goto Top
Ein +1 für den Reiner SCT Authenticator
https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator

Aber die meisten nutzen dann doch lieber das Handy.

Die meisten Kunden, alles KMUs, sichern damit auch nur die Einwahl von extern ab.
An den PCs selber wird sowas seltener eingesetzt. Obwohl natürlich sinnvoll.

Stefan
Cloudrakete
Lösung Cloudrakete 14.01.2023 um 03:02:35 Uhr
Goto Top
Zitat von @SeaStorm:

Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei

Also problemlos ja, "toll" ist das mit den FortiToken aber auch nicht.
Ist das einmal eingerichtet läuft es zwar, aber z.B. für die Seeds muss man aktuell immer noch ein Ticket bei Forti aufmachen, damit man die korrekten Seeds bekommt. Die auf der beigelegten CD sind wohl nur gehasht und reichen nicht für das Setup in Azure aus.
em-pie
Lösung em-pie 14.01.2023 aktualisiert um 08:42:09 Uhr
Goto Top
Moin,

Also früher, bevor es die Smartphones und passende MFA-Apps gab, setzen wir von RSA die SecurIDs ein.

Heute wird der Zugang via Gemaltos SafeNet/ MobilePass+ abgesichert.

Unsere User hatten bei der Umstellung kein Problem damit, die App auf ihr privates Phone zu installieren. Haben denen transparent erklärt, was das ist und was die macht. Zudem haben alle immer irgendwelche Apps installiert, die irgendwelche Daten aus- und verwerten. Somit ist die von uns „geforderte“ App absolut unkritisch.

Und die Leute, die kurze Zweifel hatten (Chef will Firmenrelevante App auf mein Smartphone haben) wurden dann gefragt, ob sie denn die Firmen-Systeme auch mal privat nutzen und ob sie denn dann dies im Gegenzug zukünftig sein lassen wollen…
rrobbyy
rrobbyy 14.01.2023 um 20:48:29 Uhr
Goto Top
Vielen Dank für die Infos!

@em-pie: Das ist ja ein richtig geiles Argument, mit den privaten Dingen auf den Business-Geräten.

die Inputs haben mir echt geholfen!!! Vielen Dank an alle!!!!!!!!