peterla
Goto Top

Smartcard + Passwort? + Zutrittssystem

Hallo!

Ich bitte euch um eure Hilfe und Einschätzung:

Derzeit wird sich hier lediglich mittels eines Passwortes in einer AD-Domain angemeldet. Das Ziel wäre es, dass man sich in Zukunft überall mit einer Smartcard anmelden muss. Das kann man ja soweit auch mit Gruppenrichtlinien einstellen. Was mir aber tatsächlich fehlt, ist, dass wirklich zusätzlich zur Smartcard auch noch das gesetzte Passwort notwendig ist. Zwar habe ich gesehen, dass man PINs setzen kann, jedoch reicht das meinem Vorgesetzten nicht. Das Anmeldeverfahren soll also in etwa so ausschauen: Smartcard stecken - Passwort eingeben - eingeloggt.

Zusätzlich soll das so auch bei unseren browserbasierten Anwendungen (teilweise auf Symfony und Laravel-Basis) laufen.

Ist das beides grundsätzlich möglich?

Zusätzlich soll bei uns auch bald das Zutrittssystem von Schlüsseln auf eines mit Transpondern ausgetauscht werden. Da wäre doch auch ein Verbinden mit diesen Smartcards möglich, oder? Was haltet ihr davon, von einem sicherheitstechnischen Aspekt?

Liebe Grüße,
Peter

Content-ID: 450424

Url: https://administrator.de/forum/smartcard-passwort-zutrittssystem-450424.html

Ausgedruckt am: 23.12.2024 um 01:12 Uhr

C.R.S.
C.R.S. 11.05.2019 um 20:17:28 Uhr
Goto Top
Hallo Peter,

ein Passwort zusätzlich zu einer Smartcard ist nicht möglich und ergibt auch nicht den geringsten Sinn. Deinem Vorgesetzten fehlt noch das Basiswissen zu den beiden Verfahren, sonst käme der Gedanke nicht auf.

Man kann zur Zugangskontrolle dieselbe Hardware verwenden, benötigt aber unterschiedliche Zertifikate, da der Zugang in der Regel ohne PIN-Eingabe möglich sein soll.

Im Browser lässt sich die Smartcard auch verwenden, wobei hier in der Regel aus Sicherheitsgründen ebenfalls verschiedene Zertifikate geboten sind. Wie schon bei der Mehrfachverwendung der passwortbasierten Windows-Authentifizierung ist das abhängig von zwei Fragen: Wird dadurch - serverseitig bedingt - mit dem Kerberos-Protokoll gebrochen bzw. ist das akzeptabel? Und möchte ich die die Nutzer daran gewöhnen, in Browsern AD-Zugangsdaten zu verwenden?

Grüße
Richard
ichbindernikolaus
ichbindernikolaus 11.05.2019 um 21:03:56 Uhr
Goto Top
Moin.

Da muss ich Richard mal widersprechen. Natürlich ist eine Anmeldung mit Smartcard + Passwort möglich. Soweit ich weiß nicht mit Windows Hausmitteln, wohl aber mit Zusatzsoftware wie zB Evidian.
(In diesem konkreten Beispiel einstellbar zwischen „einmal mit SC + PW autorisieren und dann für x folgende Stunden nur mit SC“ bis zu „jedes Mal mit SC+ PW“.)

Auch die Kombination mit einer Schließanlage ist, je nach Konfiguration und mit Auswahl der passenden Hardware, möglich.

Auch wird die Kerberos-Verschlüsselung zu keiner Zeit gebrochen, da derartige Software zB mit vorgeschaltetem ADLDS arbeitet und die direkte Kommunikation zum AD selbst übernehmen.

Was die Browser-Anwendungen angeht: hier ist das Stichwort dann SSO, sprich du autorisierst dich einmal am SSO-Server, der wiederum kennt dich und erkennt deinen Loginwunsch im Browser und übergibt die passenden Daten.

Und warum eine Zwei-Faktor-Authentifizierung nicht den geringsten Sinn ergibt, würde mich wirklich mal interessieren.
Es gibt einige Anwendungsfälle, wo ein zweiter Faktor absolut sinnvoll ist.

Gruß aus HH und schönen Rest-Sonntag,
Nikolaus
C.R.S.
C.R.S. 11.05.2019 um 23:20:37 Uhr
Goto Top
Hallo Nikolaus

Zitat von @ichbindernikolaus:

Und warum eine Zwei-Faktor-Authentifizierung nicht den geringsten Sinn ergibt, würde mich wirklich mal interessieren.
Es gibt einige Anwendungsfälle, wo ein zweiter Faktor absolut sinnvoll ist.

Ein zweiter Faktor ist natürlich sinnvoll und der Grund für den Einsatz von Smartcards. Nur bringt die Smarcard den zweiten Faktor in Gestalt der PIN schon mit. Die Rede ist hier wohl von dem Vorhaben, die Smarcard ohne PIN zu konfigurieren und dann irgendwie mit einem Passwort einzusetzen ("Smartcard stecken - Passwort eingeben - eingeloggt."). Nur darauf beziehe ich mich, und das ist nicht mit Bordmitteln und unter dem erfragten "sicherheitstechnischen Aspekt" auch sonst nicht sinnvoll möglich.

Natürlich ist eine Anmeldung mit Smartcard + Passwort möglich. Soweit ich weiß nicht mit Windows Hausmitteln, wohl aber mit Zusatzsoftware wie zB Evidian.

Dabei kann es sich dann nicht um eine Smartcard-Authentifizierung am AD handeln, sondern nur gegenüber der als Credential-Provider installierten Drittanbieter-Lösung. Was die in welcher Kombination annimmt, bleibt natürlich der Phantasie des Herstellers überlassen.
Technisch eine ganz andere Konstellation, und wenn man das Flickwerk der nativen Unterstützung vorzieht, muss man es tatsächlich auf bestimmte erweiterte Konfigurationsmöglichkeiten abgesehen haben. Das kann einerseits das gewünschte "Passwort" sein, aber dann müsste man klären, worin der hinreichend große Vorteil gegenüber (heute komplexen und - zumindest treiberunterstützt - auch ablaufenden) PINs gesehen wird. Das kann andererseits das von dir zitierte Beispiel sein, wobei sich da die Sinnfrage stellt: Warum für eine dreistellige Summe pro Anwender in Hard- und Software investieren, wenn man den wesentlichen Sicherheitsaspekt der Smartcard - Authentifizierung nur durch die Smarcard nur zum Zeitpunkt der autorisierten Schlüsseloperation - leichtfertig wegkonfiguriert.

Was die Browser-Anwendungen angeht: hier ist das Stichwort dann SSO, sprich du autorisierst dich einmal am SSO-Server, der wiederum kennt dich und erkennt deinen Loginwunsch im Browser und übergibt die passenden Daten.

Eine Möglichkeit, hat aber mit Smartcard-Authentifizierung im Browser nichts zu tun.

Grüße
Richard