3
Smartcard + Passwort? + Zutrittssystem
Hallo!
Ich bitte euch um eure Hilfe und Einschätzung:
Derzeit wird sich hier lediglich mittels eines Passwortes in einer AD-Domain angemeldet. Das Ziel wäre es, dass man sich in Zukunft überall mit einer Smartcard anmelden muss. Das kann man ja soweit auch mit Gruppenrichtlinien einstellen. Was mir aber tatsächlich fehlt, ist, dass wirklich zusätzlich zur Smartcard auch noch das gesetzte Passwort notwendig ist. Zwar habe ich gesehen, dass man PINs setzen kann, jedoch reicht das meinem Vorgesetzten nicht. Das Anmeldeverfahren soll also in etwa so ausschauen: Smartcard stecken - Passwort eingeben - eingeloggt.
Zusätzlich soll das so auch bei unseren browserbasierten Anwendungen (teilweise auf Symfony und Laravel-Basis) laufen.
Ist das beides grundsätzlich möglich?
Zusätzlich soll bei uns auch bald das Zutrittssystem von Schlüsseln auf eines mit Transpondern ausgetauscht werden. Da wäre doch auch ein Verbinden mit diesen Smartcards möglich, oder? Was haltet ihr davon, von einem sicherheitstechnischen Aspekt?
Liebe Grüße,
Peter
Ich bitte euch um eure Hilfe und Einschätzung:
Derzeit wird sich hier lediglich mittels eines Passwortes in einer AD-Domain angemeldet. Das Ziel wäre es, dass man sich in Zukunft überall mit einer Smartcard anmelden muss. Das kann man ja soweit auch mit Gruppenrichtlinien einstellen. Was mir aber tatsächlich fehlt, ist, dass wirklich zusätzlich zur Smartcard auch noch das gesetzte Passwort notwendig ist. Zwar habe ich gesehen, dass man PINs setzen kann, jedoch reicht das meinem Vorgesetzten nicht. Das Anmeldeverfahren soll also in etwa so ausschauen: Smartcard stecken - Passwort eingeben - eingeloggt.
Zusätzlich soll das so auch bei unseren browserbasierten Anwendungen (teilweise auf Symfony und Laravel-Basis) laufen.
Ist das beides grundsätzlich möglich?
Zusätzlich soll bei uns auch bald das Zutrittssystem von Schlüsseln auf eines mit Transpondern ausgetauscht werden. Da wäre doch auch ein Verbinden mit diesen Smartcards möglich, oder? Was haltet ihr davon, von einem sicherheitstechnischen Aspekt?
Liebe Grüße,
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 450424
Url: https://administrator.de/contentid/450424
Printed on: May 11, 2024 at 02:05 o'clock
3 Comments
Latest comment
Hallo Peter,
ein Passwort zusätzlich zu einer Smartcard ist nicht möglich und ergibt auch nicht den geringsten Sinn. Deinem Vorgesetzten fehlt noch das Basiswissen zu den beiden Verfahren, sonst käme der Gedanke nicht auf.
Man kann zur Zugangskontrolle dieselbe Hardware verwenden, benötigt aber unterschiedliche Zertifikate, da der Zugang in der Regel ohne PIN-Eingabe möglich sein soll.
Im Browser lässt sich die Smartcard auch verwenden, wobei hier in der Regel aus Sicherheitsgründen ebenfalls verschiedene Zertifikate geboten sind. Wie schon bei der Mehrfachverwendung der passwortbasierten Windows-Authentifizierung ist das abhängig von zwei Fragen: Wird dadurch - serverseitig bedingt - mit dem Kerberos-Protokoll gebrochen bzw. ist das akzeptabel? Und möchte ich die die Nutzer daran gewöhnen, in Browsern AD-Zugangsdaten zu verwenden?
Grüße
Richard
ein Passwort zusätzlich zu einer Smartcard ist nicht möglich und ergibt auch nicht den geringsten Sinn. Deinem Vorgesetzten fehlt noch das Basiswissen zu den beiden Verfahren, sonst käme der Gedanke nicht auf.
Man kann zur Zugangskontrolle dieselbe Hardware verwenden, benötigt aber unterschiedliche Zertifikate, da der Zugang in der Regel ohne PIN-Eingabe möglich sein soll.
Im Browser lässt sich die Smartcard auch verwenden, wobei hier in der Regel aus Sicherheitsgründen ebenfalls verschiedene Zertifikate geboten sind. Wie schon bei der Mehrfachverwendung der passwortbasierten Windows-Authentifizierung ist das abhängig von zwei Fragen: Wird dadurch - serverseitig bedingt - mit dem Kerberos-Protokoll gebrochen bzw. ist das akzeptabel? Und möchte ich die die Nutzer daran gewöhnen, in Browsern AD-Zugangsdaten zu verwenden?
Grüße
Richard
Moin.
Da muss ich Richard mal widersprechen. Natürlich ist eine Anmeldung mit Smartcard + Passwort möglich. Soweit ich weiß nicht mit Windows Hausmitteln, wohl aber mit Zusatzsoftware wie zB Evidian.
(In diesem konkreten Beispiel einstellbar zwischen „einmal mit SC + PW autorisieren und dann für x folgende Stunden nur mit SC“ bis zu „jedes Mal mit SC+ PW“.)
Auch die Kombination mit einer Schließanlage ist, je nach Konfiguration und mit Auswahl der passenden Hardware, möglich.
Auch wird die Kerberos-Verschlüsselung zu keiner Zeit gebrochen, da derartige Software zB mit vorgeschaltetem ADLDS arbeitet und die direkte Kommunikation zum AD selbst übernehmen.
Was die Browser-Anwendungen angeht: hier ist das Stichwort dann SSO, sprich du autorisierst dich einmal am SSO-Server, der wiederum kennt dich und erkennt deinen Loginwunsch im Browser und übergibt die passenden Daten.
Und warum eine Zwei-Faktor-Authentifizierung nicht den geringsten Sinn ergibt, würde mich wirklich mal interessieren.
Es gibt einige Anwendungsfälle, wo ein zweiter Faktor absolut sinnvoll ist.
Gruß aus HH und schönen Rest-Sonntag,
Nikolaus
Da muss ich Richard mal widersprechen. Natürlich ist eine Anmeldung mit Smartcard + Passwort möglich. Soweit ich weiß nicht mit Windows Hausmitteln, wohl aber mit Zusatzsoftware wie zB Evidian.
(In diesem konkreten Beispiel einstellbar zwischen „einmal mit SC + PW autorisieren und dann für x folgende Stunden nur mit SC“ bis zu „jedes Mal mit SC+ PW“.)
Auch die Kombination mit einer Schließanlage ist, je nach Konfiguration und mit Auswahl der passenden Hardware, möglich.
Auch wird die Kerberos-Verschlüsselung zu keiner Zeit gebrochen, da derartige Software zB mit vorgeschaltetem ADLDS arbeitet und die direkte Kommunikation zum AD selbst übernehmen.
Was die Browser-Anwendungen angeht: hier ist das Stichwort dann SSO, sprich du autorisierst dich einmal am SSO-Server, der wiederum kennt dich und erkennt deinen Loginwunsch im Browser und übergibt die passenden Daten.
Und warum eine Zwei-Faktor-Authentifizierung nicht den geringsten Sinn ergibt, würde mich wirklich mal interessieren.
Es gibt einige Anwendungsfälle, wo ein zweiter Faktor absolut sinnvoll ist.
Gruß aus HH und schönen Rest-Sonntag,
Nikolaus
1
Hallo Nikolaus
Ein zweiter Faktor ist natürlich sinnvoll und der Grund für den Einsatz von Smartcards. Nur bringt die Smarcard den zweiten Faktor in Gestalt der PIN schon mit. Die Rede ist hier wohl von dem Vorhaben, die Smarcard ohne PIN zu konfigurieren und dann irgendwie mit einem Passwort einzusetzen ("Smartcard stecken - Passwort eingeben - eingeloggt."). Nur darauf beziehe ich mich, und das ist nicht mit Bordmitteln und unter dem erfragten "sicherheitstechnischen Aspekt" auch sonst nicht sinnvoll möglich.
Dabei kann es sich dann nicht um eine Smartcard-Authentifizierung am AD handeln, sondern nur gegenüber der als Credential-Provider installierten Drittanbieter-Lösung. Was die in welcher Kombination annimmt, bleibt natürlich der Phantasie des Herstellers überlassen.
Technisch eine ganz andere Konstellation, und wenn man das Flickwerk der nativen Unterstützung vorzieht, muss man es tatsächlich auf bestimmte erweiterte Konfigurationsmöglichkeiten abgesehen haben. Das kann einerseits das gewünschte "Passwort" sein, aber dann müsste man klären, worin der hinreichend große Vorteil gegenüber (heute komplexen und - zumindest treiberunterstützt - auch ablaufenden) PINs gesehen wird. Das kann andererseits das von dir zitierte Beispiel sein, wobei sich da die Sinnfrage stellt: Warum für eine dreistellige Summe pro Anwender in Hard- und Software investieren, wenn man den wesentlichen Sicherheitsaspekt der Smartcard - Authentifizierung nur durch die Smarcard nur zum Zeitpunkt der autorisierten Schlüsseloperation - leichtfertig wegkonfiguriert.
Eine Möglichkeit, hat aber mit Smartcard-Authentifizierung im Browser nichts zu tun.
Grüße
Richard
Zitat von @ichbindernikolaus:
Und warum eine Zwei-Faktor-Authentifizierung nicht den geringsten Sinn ergibt, würde mich wirklich mal interessieren.
Es gibt einige Anwendungsfälle, wo ein zweiter Faktor absolut sinnvoll ist.
Und warum eine Zwei-Faktor-Authentifizierung nicht den geringsten Sinn ergibt, würde mich wirklich mal interessieren.
Es gibt einige Anwendungsfälle, wo ein zweiter Faktor absolut sinnvoll ist.
Ein zweiter Faktor ist natürlich sinnvoll und der Grund für den Einsatz von Smartcards. Nur bringt die Smarcard den zweiten Faktor in Gestalt der PIN schon mit. Die Rede ist hier wohl von dem Vorhaben, die Smarcard ohne PIN zu konfigurieren und dann irgendwie mit einem Passwort einzusetzen ("Smartcard stecken - Passwort eingeben - eingeloggt."). Nur darauf beziehe ich mich, und das ist nicht mit Bordmitteln und unter dem erfragten "sicherheitstechnischen Aspekt" auch sonst nicht sinnvoll möglich.
Natürlich ist eine Anmeldung mit Smartcard + Passwort möglich. Soweit ich weiß nicht mit Windows Hausmitteln, wohl aber mit Zusatzsoftware wie zB Evidian.
Dabei kann es sich dann nicht um eine Smartcard-Authentifizierung am AD handeln, sondern nur gegenüber der als Credential-Provider installierten Drittanbieter-Lösung. Was die in welcher Kombination annimmt, bleibt natürlich der Phantasie des Herstellers überlassen.
Technisch eine ganz andere Konstellation, und wenn man das Flickwerk der nativen Unterstützung vorzieht, muss man es tatsächlich auf bestimmte erweiterte Konfigurationsmöglichkeiten abgesehen haben. Das kann einerseits das gewünschte "Passwort" sein, aber dann müsste man klären, worin der hinreichend große Vorteil gegenüber (heute komplexen und - zumindest treiberunterstützt - auch ablaufenden) PINs gesehen wird. Das kann andererseits das von dir zitierte Beispiel sein, wobei sich da die Sinnfrage stellt: Warum für eine dreistellige Summe pro Anwender in Hard- und Software investieren, wenn man den wesentlichen Sicherheitsaspekt der Smartcard - Authentifizierung nur durch die Smarcard nur zum Zeitpunkt der autorisierten Schlüsseloperation - leichtfertig wegkonfiguriert.
Was die Browser-Anwendungen angeht: hier ist das Stichwort dann SSO, sprich du autorisierst dich einmal am SSO-Server, der wiederum kennt dich und erkennt deinen Loginwunsch im Browser und übergibt die passenden Daten.
Eine Möglichkeit, hat aber mit Smartcard-Authentifizierung im Browser nichts zu tun.
Grüße
Richard
