eglipeter
Goto Top

OTP Hardware Token ohne zentrale Infrastruktur

Hallo zusammen,

ich möchte gerne, dass sich unsere Windows- und Linux-Nutzer an ihren Geräten jeweils mit Passwort + OTP anmelden müssen. Das OTP sollte dabei von einem Hardware-Token mit Display kommen (so wie beispielsweise RSA SecurID). Die Clients befinden sich aber in keiner zentralen AD / Radius Umgebung. Darüberhinaus möchte ich auch die Authentifizierung nicht zentral machen.Welche Lösungen gibt es, bei denen man Hardware Tokens lokal ohne zentralen Authentication Server verwenden kann?

Viele Grüße

Peter

Content-ID: 337745

Url: https://administrator.de/forum/otp-hardware-token-ohne-zentrale-infrastruktur-337745.html

Ausgedruckt am: 23.12.2024 um 10:12 Uhr

em-pie
Lösung em-pie 14.05.2017 aktualisiert um 16:54:12 Uhr
Goto Top
Moin,

ich kann dir keine Lösung nennen, habe auch keine Idee, in welche Richtung es gehen soll, stelle mir aber bei deinem Vorhaben folgende Frage:

Wenn die OTP-Lösung zur Anmeldung UND Authentifizierung auf einem System läuft (deinen Notebooks):
Was passiert, wenn das Gerät kompromittiert wird? Sind dann die OTPs noch sicher?

Was ich mich auch Frage: welche Sinn hat dein Vorhaben, also welches Ziel möchtest du realisieren?
Verschlüsselung/ Schutz vor unberechtigten Datenzugriffen? Das kann man auch anders lösen...

Gruß
em-pie
cornelinux
Lösung cornelinux 14.05.2017 um 19:44:46 Uhr
Goto Top
Ich kann der Überlegung nur beipflichten. Für eine seriöse Funktionsweise braucht man für OTP eigentlich immer einen zentralen Server.
Wenn Peter keine zentrale Instanz will, dann muss er bei den einzelnen Geräten Turnschuhadministration machen.
Und dann kann er auch Geräte wie den Yubikey oder den Nitrokey mit einem entsprechenden Credential Provider nehmen, um für ausgesuchte, lokale Benutzer die lokale Anmeldung mit einem zweiten Faktor abzusichern.
Da steckt dann - anders als bei OTP (symmetrisch) - ein assymmetrisches Challenge-Response hinter und der Token ist durch den Diebstahl des Rechners nicht kompromittiert, weil auf dem Rechner nur der Public Key liegt.
eglipeter
eglipeter 15.05.2017 um 21:43:49 Uhr
Goto Top
Vielen Dank! Jetzt wird mir das ganze klarer. Ist also im Grunde nichts anderes als PKI. Ja, war gedacht als Login / Festplattenverschlüsselung. Aber mach schon Sinn, wie Ihr sagt. Anders sieht es natürlich bei Webdiensten aus...