comander777
Goto Top

RFID zur Anmeldung an Windows 7 benutzen

Hy all,

ich muss für einen Kunden eine Lösung finden, bei der die neuen Windows 7 Clients sich über einen Transponder oder einen RFID-Chip anmelden sollen.

wir haben folgende Ausgangs-Konfiguration :

Windows Server 2008 Domäne (SBS 2008 R2)
ca 15 Stk. Windows-7 Prof. Clients in der Domäne ( feststehende PC´s)
1 Notebook mit Windows 7 Prof.
alles Geräte werden in 2010 angeschafft.
wenn nötig werden auch die Tastaturen neu angeschafft.

Zielsetzung:
alle Domänen-Benutzer sollen Sich in der Domäne nicht mehr mit der Tastatur und Affengriff anmelden, sondern die Authetifizierung gegen die Domäne soll über einen Transponder am Arbeitsplatz laufen.
z.B. ein Card-Reader der am Arbeitsplatz steht, oder in der Tastatur verbaut ist.
Noch schöner schöner wäre ein Schlüsselanhänger mit einen RFID-Chip, den der Anwender nur gegen den am Arbeitsplatz stehenden RFID-Leser hält und damit die Anmeldung in der Domäne freischaltet.

Über die Servergesteuerten Profile und die Ordnerumleitung kann der User sich natürlich an jeder der 15 Workstations anmelden.

Nun meine Fage: !
hat jemand schon Erfahrung mit RFID als Domänenauthentifizierung, welche Geräte und vor allem welche Software kann man einsetzen ohne dass ich erst einen 6 Wochen Lehrgang zum Thema RSA oder so machen muß.

Die PKI, die dann auf diesen Mechannismus aufgesetzt wird, also Verschlüsselung oder dig. Signatur und all das ist mir sehr gut bekannt, das brauchen wir hier an dieser Stelle auch nicht zu diskutieren.
Mr würde es reichen wenn jemand seine Erfahrungen mit der einzusetzenden HW und SW mal vorstellt. und natürlch der Kostenrahmen oder sonstige Tips zu diesem Thema hat.

Als Alternative denke ich auch über einen biometrischen Fingerprint Leser nach, vielleicht hat das auch schon jemand in der W2K08 Domäne im Einsatz und kann mal seine Erfharungswerte posten ?

vielen Dank
Frank

Content-ID: 143818

Url: https://administrator.de/contentid/143818

Ausgedruckt am: 22.11.2024 um 10:11 Uhr

dog
dog 30.05.2010 um 15:33:06 Uhr
Goto Top
Warum willst du von einer sicheren Methode (Passwort) auf komplett unsichere Methoden (RFID,Fingerprint) wechseln?

Smartcards gibt es auch schon länger aber die halten sich auch schön an die Two-Factor-Regel und alles andere macht auch keinen Sinn.
Comander777
Comander777 30.05.2010 um 16:05:13 Uhr
Goto Top
Ist nur ein Gedanke, mit dem RFID, lasse mich auch gerne vom Gegenteil überzeugen, Smartcard wäre ja die Alternative.
Bisher steht die Entscheidung noch offen.

Warum ist ein RFID als unsicher zu betrachten ?
education
education 30.05.2010 um 17:15:47 Uhr
Goto Top
Das problem ist: kommst du zu nah an den PC meldet sich dein PC an. der User bekommt es evtl. nicht mit. hast das schon mal überlegt?
wiesi200
wiesi200 30.05.2010 um 18:25:38 Uhr
Goto Top
Zitat von @Comander777:
Ist nur ein Gedanke, mit dem RFID, lasse mich auch gerne vom Gegenteil überzeugen, Smartcard wäre ja die Alternative.
Bisher steht die Entscheidung noch offen.

Warum ist ein RFID als unsicher zu betrachten ?

RFID ist unverschlüsselt. Sprich die Kennwort sind im klartext drauf, ähnlich wie bei Barcodes.
Lecig währ da eine bessere alternative wobei ich auch auf Smartcard gehen würde da das z.b. von vielen Laptopherstellern in Geschäftsnotebooks schon eingebaut ist.
Comander777
Comander777 30.05.2010 um 23:34:01 Uhr
Goto Top
vielen Dank wiesi200,

habe mir mal eben legic angesehen, das wäre das richtige.
RFID fällt wg. mangelnder Sicherheit schon mal raus
hat jemand Erfahrung mit kontaktlosen Smartcard Systemen ?
dog
dog 30.05.2010 um 23:52:38 Uhr
Goto Top
Legic war letztes Jahr (neben GSM) das Thema auf dem CCC-Kongress.
Kurz gesagt: Da wurde mehr in Verwirrung als in Sicherheit investiert.

Aber mal zum Verständnis: RFID sind schlicht Chips die durch Induktion aktiviert werden.
Es gibt ganz einfache RFIDs, die einfach nur immer die selbe Nummer ausspucken (dazu zählen z.B. die von HID Global, die als "Secure Identity Solutions" vermarktet werden) (Stichwort Replay Attack) und es gibt komplexe RFIDs die Challegene-Handshake und Verschlüsselung können.
Technisch kann ein RFID-Chip also ähnlich einer Smartcard funktionieren, nur dass er den enormen Nachteil Kabellosigkeit hat.

Je nachdem was für einen Reader ich benutze kann ich auch durchaus aus 1m Entfernung den Chip auslesen.
Du sitzt im Cafe, hast den Chip in deiner Hosentasche und ich sitze hinter dir und schon kann ich ihn auslesen (wenn es denn z.B. ein HID Chip ist)

Zurück zum Urproblem:
Man unterscheided allgemein beim Benutzer-Auth zwei Methoden:
  • Man stellt sicher, dass der Benutzer etwas weiß
  • Man stellt sicher, dass der Benutzer etwas besitzt

Passwörter fallen erste Kategorie.
Im Idealfall befinden die sich nämlich nur im Kopf des Benutzers.

Smartcards,Fingerabdrücke, Tokens etc. fallen in die zweite Kategorie.
Im Idealfall hat diese nur die legale Benutzer in der Tasche.

Der Idealfall wird bei beiden Methoden nie durchgehend eintreten.
Aber es sieht jeder ein, dass die zweite Methode wesentlich unsicherer ist. Token verliert man schnell oder sie werden ganz einfach geklaut.
Fingerabdrücke hinterlässt man unkontrolliert den ganzen Tag über - eine Prüfung danach ist nicht wesentlich sicherer als beim Login nach der Augenfarbe des Users zu fragen!

Passwörter werden natürlich auch gerne mal unter der Tastatur notiert.

Darum addiert man beide Verfahren bei der Two-Factor-Authentication.
Weder das Passwort im Notizbuch, noch der geklaute Token allein nützen einem Angreifer.
Erst wenn beides zusammen kommt kann man sich anmelden.
Comander777
Comander777 31.05.2010 um 01:13:29 Uhr
Goto Top
danke Dog
das war mal ne klare und verständliche Aussage.

jetzt habe ich zumindest schon einmal ein paar Argumente um die Transponder nicht einzusetzen.

der Ideal-Fall mit Two Factor Authentication wäre demnach eine Smartcard oder ähnliches und ein zusätzliches Password, so etwas habe ich bei HP Notebooks schon einmal gesehen. nc62xx ( is schon 2- 3 Jahre her)

Ohne Smartcard und ohne dazugehöriges Password war des Gerät unbrauchbar.

Gibt´s so eine Lösung auch für PC-Geräte ggfs. mit TPM Modul ?
jk-concept
jk-concept 09.02.2011 um 00:11:19 Uhr
Goto Top
digitronic (digitronic.net) hat eine Logon-Lösung die sowohl mit RFID-Transpondern/Lesern als auch mit PKCS#11-Token und auch herkömmlichen Flash-Drives arbeitet.
Wir haben das bei einem Kunden mit RFID-Lesern von Baltech und MiFare-Karen als einfache Firmenlösung eingesetzt wobei auch bereits vorhandene eToken weiter verwendet werden können.
Ein Managementsystem existiert ebenfalls.
Cybertracker
Cybertracker 23.06.2012 aktualisiert um 12:23:37 Uhr
Goto Top
Hallo,
das Thema ist zwar alt aber Trotzdem greift es in meiner Sachlage sehr gut.

Sachlage ist diese:

Kunde hat SBServer2011 mit 8 Clients WIN XP und ein Win7 Laptop.

Nun haben wir leider den Datenschutzrechtlichen Supergau in der Firma.
Jeder kennt das Passwort des anderen usw. Also auch die Einfache Annahme das der Buchhaltung usw.

Da es den Mitarbeiterinnen aber zu schwer ist jedes mal sich ein neues Passwort zu merken.
Wollen sie das nicht mehr.

Nun möchte der Chef trotz aller bedenken meinerseits das auf Mifare umstellen.
Warum gerade diese. Ganz einfach weil die Stechuhr und der Kaffee Automat schon damit Funktioniert und daher jeder eine hat.

So wäre in seinen Augen gewährleistet das wenn jemand sich Einloggt den Token des Anderen haben muss.
Wie diese Chefs nun mal sind hat er jetzt schon Irgend woher 10 SCL011 besorgt und die überall dran gehängt.

Nun heist mach mal.

Hab mich schon tot gesucht nach Anleitungen.
Recht ist mir das alles zwar auch nicht aber was will man machen.
wiesi200
wiesi200 23.06.2012 um 12:38:24 Uhr
Goto Top
Und wenn du eine Neue Frage Erstellst. Dann sehen es mehr.
Cybertracker
Cybertracker 23.06.2012 um 12:43:32 Uhr
Goto Top
Danke werde ich tun.
Dachte da hier ja schon genug darüber Diskutiert wurde.
SteveShain
SteveShain 18.05.2016 aktualisiert um 01:00:15 Uhr
Goto Top
Hey eins wurde hier aber Vergessen zu sagen, jeder RFID Chip hat eine eigene ID wie eine Mac Adresse.

Im besten fall nutz man die Adresse, ein md5 Crypt auf dem Chip, und ein Passwort wenn man es wirklich sicher haben will.

Aber in Krankenhäusern wird nur die ID und eine md5 Verschlüsselung, für die Türen oder Bereiche Verwendet die schreiben die Karte dann schon fast voll bis auf 1 - 2%.

So wird es jeden falls in Krankenhäusern gemacht, die mit 13,56 Mhz und Mifare Standard und Cash karten Arbeiten das sind Dual karten.
Damit kann man in der kantine bezahlen, und die Freigegebnen Türen öffnen und alle 2 Tage brauchen die Karten ein Update von einer Update Station.

Wenn das nicht gemacht wird, geht keine Tür auf erst das Update macht es wieder möglich.

Sollte einer seine Karte Verlieren ruft er im internen Schlüsseldienst an, und die Karte wird aus dem System entfernt und ist nutz los.