OTP Hardware Token ohne zentrale Infrastruktur
Hallo zusammen,
ich möchte gerne, dass sich unsere Windows- und Linux-Nutzer an ihren Geräten jeweils mit Passwort + OTP anmelden müssen. Das OTP sollte dabei von einem Hardware-Token mit Display kommen (so wie beispielsweise RSA SecurID). Die Clients befinden sich aber in keiner zentralen AD / Radius Umgebung. Darüberhinaus möchte ich auch die Authentifizierung nicht zentral machen.Welche Lösungen gibt es, bei denen man Hardware Tokens lokal ohne zentralen Authentication Server verwenden kann?
Viele Grüße
Peter
ich möchte gerne, dass sich unsere Windows- und Linux-Nutzer an ihren Geräten jeweils mit Passwort + OTP anmelden müssen. Das OTP sollte dabei von einem Hardware-Token mit Display kommen (so wie beispielsweise RSA SecurID). Die Clients befinden sich aber in keiner zentralen AD / Radius Umgebung. Darüberhinaus möchte ich auch die Authentifizierung nicht zentral machen.Welche Lösungen gibt es, bei denen man Hardware Tokens lokal ohne zentralen Authentication Server verwenden kann?
Viele Grüße
Peter
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 337745
Url: https://administrator.de/forum/otp-hardware-token-ohne-zentrale-infrastruktur-337745.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
3 Kommentare
Neuester Kommentar
Moin,
ich kann dir keine Lösung nennen, habe auch keine Idee, in welche Richtung es gehen soll, stelle mir aber bei deinem Vorhaben folgende Frage:
Wenn die OTP-Lösung zur Anmeldung UND Authentifizierung auf einem System läuft (deinen Notebooks):
Was passiert, wenn das Gerät kompromittiert wird? Sind dann die OTPs noch sicher?
Was ich mich auch Frage: welche Sinn hat dein Vorhaben, also welches Ziel möchtest du realisieren?
Verschlüsselung/ Schutz vor unberechtigten Datenzugriffen? Das kann man auch anders lösen...
Gruß
em-pie
ich kann dir keine Lösung nennen, habe auch keine Idee, in welche Richtung es gehen soll, stelle mir aber bei deinem Vorhaben folgende Frage:
Wenn die OTP-Lösung zur Anmeldung UND Authentifizierung auf einem System läuft (deinen Notebooks):
Was passiert, wenn das Gerät kompromittiert wird? Sind dann die OTPs noch sicher?
Was ich mich auch Frage: welche Sinn hat dein Vorhaben, also welches Ziel möchtest du realisieren?
Verschlüsselung/ Schutz vor unberechtigten Datenzugriffen? Das kann man auch anders lösen...
Gruß
em-pie
Ich kann der Überlegung nur beipflichten. Für eine seriöse Funktionsweise braucht man für OTP eigentlich immer einen zentralen Server.
Wenn Peter keine zentrale Instanz will, dann muss er bei den einzelnen Geräten Turnschuhadministration machen.
Und dann kann er auch Geräte wie den Yubikey oder den Nitrokey mit einem entsprechenden Credential Provider nehmen, um für ausgesuchte, lokale Benutzer die lokale Anmeldung mit einem zweiten Faktor abzusichern.
Da steckt dann - anders als bei OTP (symmetrisch) - ein assymmetrisches Challenge-Response hinter und der Token ist durch den Diebstahl des Rechners nicht kompromittiert, weil auf dem Rechner nur der Public Key liegt.
Wenn Peter keine zentrale Instanz will, dann muss er bei den einzelnen Geräten Turnschuhadministration machen.
Und dann kann er auch Geräte wie den Yubikey oder den Nitrokey mit einem entsprechenden Credential Provider nehmen, um für ausgesuchte, lokale Benutzer die lokale Anmeldung mit einem zweiten Faktor abzusichern.
Da steckt dann - anders als bei OTP (symmetrisch) - ein assymmetrisches Challenge-Response hinter und der Token ist durch den Diebstahl des Rechners nicht kompromittiert, weil auf dem Rechner nur der Public Key liegt.