13
REINER SCT SmartCard will x mal die PIN haben
Servus Kollegen.
Nachdem ich lange den Yubikey für SmartCard-Logon getestet habe, ist nun die Kombination Reiner SCT + Gemalto ID Prime SmartCard dran.
Ich stelle sofort fest, dass ich zur Windows-Anmeldung manchmal, nicht immer, die PIN mehrfach eingeben muss (2-8(!) Mal) und ich habe keine Erklärung dafür, da der Reader jede Eingabe mit "PIN korrekt" quittiert.
Stecke ich die Karte in einen anderen SmartCardreader ohne PIN-Pad und gebe die PIN über die Tastatur ein, ist das nie so! (Beim Yubikey war das auch nie so, aber der hat ja ebensowenig ein PIN-Pad).
Frage: Kennt das jemand? Ist das ein Firma-Reiner-Bug oder ein allgemeines Problem bei externen PIN-Pads?
Nachdem ich lange den Yubikey für SmartCard-Logon getestet habe, ist nun die Kombination Reiner SCT + Gemalto ID Prime SmartCard dran.
Ich stelle sofort fest, dass ich zur Windows-Anmeldung manchmal, nicht immer, die PIN mehrfach eingeben muss (2-8(!) Mal) und ich habe keine Erklärung dafür, da der Reader jede Eingabe mit "PIN korrekt" quittiert.
Stecke ich die Karte in einen anderen SmartCardreader ohne PIN-Pad und gebe die PIN über die Tastatur ein, ist das nie so! (Beim Yubikey war das auch nie so, aber der hat ja ebensowenig ein PIN-Pad).
Frage: Kennt das jemand? Ist das ein Firma-Reiner-Bug oder ein allgemeines Problem bei externen PIN-Pads?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1141479726
Url: https://administrator.de/contentid/1141479726
Printed on: May 3, 2024 at 23:05 o'clock
13 Comments
Latest comment
Hi,
Ist das ein USB Dongle und könnten die Energieeinstellungen dafür sorgen, weil das Gerät z.b. in den Schlafmodus versetzt wird? Hatte ich mal bei einer bestimmten Tastatur.
Gruß,
Stefan
Ist das ein USB Dongle und könnten die Energieeinstellungen dafür sorgen, weil das Gerät z.b. in den Schlafmodus versetzt wird? Hatte ich mal bei einer bestimmten Tastatur.
Gruß,
Stefan
Check mal ob der Windows SmartCard Dienst auf "Automatisch" gestellt ist.
Hi.
@Stefan007
So einer: https://www.amazon.com/Reiner-CYBERJACK-RFID-STANDARD-2718600-000/dp/B00 ...
Energieeinstellungen kann ich nicht beeinflussen im Gerätemanager, aber ich denke nicht, dass es das ist, da zwischen korrektem Funktionieren und Mhrfachabfrage oft nur weniger als 30 Sekunden liegen.
@Steinke
ja, ist er und läuft. Kennst Du das Problem mit diesem reader?
@Stefan007
So einer: https://www.amazon.com/Reiner-CYBERJACK-RFID-STANDARD-2718600-000/dp/B00 ...
Energieeinstellungen kann ich nicht beeinflussen im Gerätemanager, aber ich denke nicht, dass es das ist, da zwischen korrektem Funktionieren und Mhrfachabfrage oft nur weniger als 30 Sekunden liegen.
@Steinke
ja, ist er und läuft. Kennst Du das Problem mit diesem reader?
Nur bedingt, wie gesagt, der Dienst kann streiken.
Ein zweiter SmartCard Reader ist an dem PC aber nicht gleichzeitig gesteckt?
Ein zweiter SmartCard Reader ist an dem PC aber nicht gleichzeitig gesteckt?
Nein, nur einer und Dienst läuft zuverlässig (Alle Dienste werden gemonitort).
@dww Hast du zufällig am selben Rechner auch noch eine Datev-Smartcard stecken (Datev midentity)? Die zicken zuweilen rum, wenn ein zweiter Card-Reader eingesteckt wird?
Gruß NV
Gruß NV
Nein, nur ein Reader.
Hallo DWW,
sieht nach Treiberproblem aus.
Ich würde zunächst den Host ausschließen und mit einem YubiKey, bei dem Pin-Policy "Always" auf dem privaten Schlüssel gesetzt ist, schauen, wieviele PK-Operationen tatsächlich angefordert werden. An sich sollte es beim Windows-Login nur eine sein, wenn ich mich recht erinnere.
Bei einem Reader mit Pin-Pad ist das Äquivalent zur Pin-Policy vom Reader und der Karte gleichermaßen abhängig. Vielleicht gibt es dazu Einstellungen, ob und wie lange die Verbindung offengehalten wird?
Ggf. lässt es sich auch indirekt beeinflussen. Mit ECC-Zertifikaten sind die meisten Karten schneller.
Beste Grüße
Richard
sieht nach Treiberproblem aus.
Ich würde zunächst den Host ausschließen und mit einem YubiKey, bei dem Pin-Policy "Always" auf dem privaten Schlüssel gesetzt ist, schauen, wieviele PK-Operationen tatsächlich angefordert werden. An sich sollte es beim Windows-Login nur eine sein, wenn ich mich recht erinnere.
Bei einem Reader mit Pin-Pad ist das Äquivalent zur Pin-Policy vom Reader und der Karte gleichermaßen abhängig. Vielleicht gibt es dazu Einstellungen, ob und wie lange die Verbindung offengehalten wird?
Ggf. lässt es sich auch indirekt beeinflussen. Mit ECC-Zertifikaten sind die meisten Karten schneller.
Beste Grüße
Richard
Hallo Richard.
Habe nun als erstes die SmartCard neu initialisiert und die Zertifikate auf ECC umgestellt. nun fragt er zuverlässig immer 2x.
Toll
Das ist ein Gurkenteil, der Reiner. Ich ändere jetzt die PIN-Policy.
Habe nun als erstes die SmartCard neu initialisiert und die Zertifikate auf ECC umgestellt. nun fragt er zuverlässig immer 2x.
Toll
Das ist ein Gurkenteil, der Reiner. Ich ändere jetzt die PIN-Policy.
Habe jetzt die PIN-Policy von "No cache (minidriver)" auf "timed cache (minidriver)" und Cache Timeout: 5 Sekunden gestellt und es läuft damit gut.
Warum aber von den 5 verwendeten ECC-Zertifikaten nur eines im Safenet Authentication Client zu sehen ist (bei RSA waren alle zu sehen), bleibt widerum REINERs Geheimnis.
Warum aber von den 5 verwendeten ECC-Zertifikaten nur eines im Safenet Authentication Client zu sehen ist (bei RSA waren alle zu sehen), bleibt widerum REINERs Geheimnis.
Die PIN-Policy hat was damit zu tun, immerhin scheint es seltener aufzutreten und keinesfalls wird noch 8x die PIn verlangt.
Aber dennoch tritt es noch häufig auf, dass 2x die PIN erfragt wird, manchmal auch 3x, egal, wie lax ich das einstelle.
Somit für uns unbrauchbar.
Ich werde andere Reader testen, erst wenn es da auch auftritt, steige ich mit deren Support in den Ring.
Aber dennoch tritt es noch häufig auf, dass 2x die PIN erfragt wird, manchmal auch 3x, egal, wie lax ich das einstelle.
Somit für uns unbrauchbar.
Ich werde andere Reader testen, erst wenn es da auch auftritt, steige ich mit deren Support in den Ring.
Habe nun einen weiteren Reader getestet: APG8201-B2 von ACS.
Dieser arbeitet schon deutlich besser als der Reiner, dennoch kommt es regelmäßig (und nachstellbar) zur doppelten Abfrage.
Ich mache nun einen letzten Test mit einem Gemalto ID Bridge 700 und melde mich, wenn der geliefert wurde.
Dieser arbeitet schon deutlich besser als der Reiner, dennoch kommt es regelmäßig (und nachstellbar) zur doppelten Abfrage.
Ich mache nun einen letzten Test mit einem Gemalto ID Bridge 700 und melde mich, wenn der geliefert wurde.
1
Mein Test-PC hat nicht mehr sauber gearbeitet, wie es scheint.
Auf einem anderen Gerät läuft der APG8201-B2 von ACS wunderbar. Ebenso der jetzt eingetroffene Gemalto ID Bridge CT700, während sich letzterer bei meinem Test-PC nicht einmal installeren lässt!
Viele Tests verlangen eben auch mal eine Neuinstallation
PS: der REINER spinnt jedoch auch auf diesem 2. Testgerät regelmäßig - von dem werden wir die Finger lassen.
Auf einem anderen Gerät läuft der APG8201-B2 von ACS wunderbar. Ebenso der jetzt eingetroffene Gemalto ID Bridge CT700, während sich letzterer bei meinem Test-PC nicht einmal installeren lässt!
Viele Tests verlangen eben auch mal eine Neuinstallation
PS: der REINER spinnt jedoch auch auf diesem 2. Testgerät regelmäßig - von dem werden wir die Finger lassen.
