derwowusste
Goto Top

SmartCard PIN-Self-Reset ohne die PUK zu kennen

Servus Kollegen.

Die Frage richtet sich an Nutzer von SmartCards, ganz gleich, auf welchem OS die nun arbeiten.
Wer von Euch kennt eine Software, die einem Nutzer ermöglicht, seine vergessene PIN zurückzusetzen, ohne dabei die PUK zu kennen? (Die Karte soll dabei nicht etwa neu initialisiert werden, nein. Es ist auch unwichtig, ob die PUK in dem Prozess genutzt wird oder nicht - Anforderung ist lediglich, dass der Nutzer die PUK nicht kennen muss).

Content-ID: 4547703976

Url: https://administrator.de/forum/smartcard-pin-self-reset-ohne-die-puk-zu-kennen-4547703976.html

Ausgedruckt am: 01.04.2025 um 19:04 Uhr

Hubert.N
Hubert.N 08.11.2022 um 17:02:57 Uhr
Goto Top
Moin

mir ist da nichts bekannt.

Was ich mich frage: Wäre es nicht komplett unsinnig, wenn man die PIN ohne PIN oder PUK ändern könnte? Dann kann man die Karten ja eigentlich gleich abschaffen...

Gruß
MysticFoxDE
MysticFoxDE 08.11.2022 um 19:10:53 Uhr
Goto Top
Moin DerWoWusste,

nutzt du als SmartCard rein zufällig YubiKey's?
Wenn ja, dann schau dir mal den YubiKey Manager an, den gibt es als GUI und auch CLI.

Gruss Alex
MysticFoxDE
MysticFoxDE 08.11.2022 um 19:19:51 Uhr
Goto Top
Moin DerWoWusste,

Es ist auch unwichtig, ob die PUK in dem Prozess genutzt wird oder nicht - Anforderung ist lediglich, dass der Nutzer die PUK nicht kennen muss.

das verstehe ich nicht so ganz. 🤔
Ohne die PUK kannst du einen vergessenen PIN nicht zurücksetzen, du kannst dann lediglich die SmartCard komplett neu initialisieren, aber das möchtest du ja ausdrücklich nicht.

Gruss Alex
DerWoWusste
DerWoWusste 08.11.2022 um 20:06:43 Uhr
Goto Top
Hi.

Die PUK muss beteiligt sein, ohne sie ist keine Rücksetzung möglich. Jedoch kannst du etwas konstruieren, bei dem ein Managementsystem die PUKs hat und der User sich bei dem Managementsystem authentifiziert und so ein Rücksetzen veranlasst. Das habe ich selbst auch kreiert und frage mich, ob es sowas schon am Markt gibt oder nicht. Falls ja, würde ich mir das gerne ansehen.

Die Yubikeytools ermöglichen das nicht, die Kommandozeilenversion auch nicht.
MysticFoxDE
MysticFoxDE 09.11.2022 um 06:11:28 Uhr
Goto Top
Moin DerWoWusste,

Das habe ich selbst auch kreiert und frage mich, ob es sowas schon am Markt gibt oder nicht. Falls ja, würde ich mir das gerne ansehen.

OK, jetzt verstehe ich dich glaube ich etwas besser.

Kennst du den CyberHai?
https://www.cyberark.com/de/
Wenn das einer kann, dann er. 😉
Das Ding ist jedoch alles andere als klein und auch nicht unkompliziert, aber dafür ist es auch ganz schön mächtig. 🤪

Die Yubikeytools ermöglichen das nicht, die Kommandozeilenversion auch nicht.

Schreib dem Support von Yubikey mal eine Mail mit deinem Wunsch, vielleicht bauen die das dann noch ein.

Gruss Alex
ukulele-7
ukulele-7 09.11.2022 um 09:14:05 Uhr
Goto Top
Zumindest bei DATEV kann ich die PUK auf dem Postweg erneut anfordern, die PUK ist also in dem Fall dem Aussteller der Smartcard noch bekannt. Hilft dir das eventuell auch weiter?

Ansonsten sagt die Logik ohne PIN oder PUK Smartcard nutzlos.
DerWoWusste
DerWoWusste 09.11.2022 um 09:50:25 Uhr
Goto Top
Ich hoffte, dass sich Leute melden, die so ein System vor sich haben.
Wer das nicht hat, nicht kennt, braucht das nicht kund zu tun face-smile

Wie gesagt: ich brauche kein solches System, ich habe schon eines selbst entwickelt. Ich versuche dieses mit ggf. am Markt vorhandenen zu vergleichen.
Dani
Dani 12.11.2022 um 11:20:42 Uhr
Goto Top
Moin @DerWoWusste,
wir haben Thales (ehemals Gemalto) SafeNet MyID im Einsatz. Dort kann ich über ein Self Service Portal eine neue PIN setzen. Bin mir allerdings nicht sicher, ob das Feature vom Hersteller oder von uns kommt. face-sad


Gruß,
Dani
DerWoWusste
DerWoWusste 12.11.2022 um 12:01:07 Uhr
Goto Top
Danke. Und wie authentifiziert man sich an dem Portal?
Was kostet diese Software, gibt's eine Trial?
Dani
Dani 13.11.2022 um 10:51:22 Uhr
Goto Top
Moin,
Und wie authentifiziert man sich an dem Portal?
Personalnummer, Benutzername- und Passwort.

Was kostet diese Software, gibt's eine Trial?
Kann ich dir ad-hoc beides nicht sagen. Müsste ich mal die Kollegen fragen.


Gruß,
Dani
DerWoWusste
DerWoWusste 13.11.2022 um 11:03:42 Uhr
Goto Top
Mach mal bitte, wenn du sie zu fassen bekommst.
Nutzername und Passwort des Resetsystems, oder des AD-Nutzers?
Letzteres ergäbe ja nur einen Sinn, wenn man parallel zu Smartcard ebenso Passwortlogin erlaubt.
Dani
Dani 14.11.2022 um 10:55:18 Uhr
Goto Top
Moin,
es ist in der Tat ein dedizierter AD Nutzer, der nur an dem SS Portal funktioniert.

Letzteres ergäbe ja nur einen Sinn, wenn man parallel zu Smartcard ebenso Passwortlogin erlaubt.
Du meinst am Rechner? Das geht bei uns nicht. Vermutlich unterbindet der Agent das.


Gruß,
Dani
DerWoWusste
DerWoWusste 14.11.2022 um 17:25:52 Uhr
Goto Top
Ok, danke für die Info. Ich habe mir MyID PIV von Intercede angesehen, vor allem https://forums.intercede.com/wp-content/uploads/Flare/MyID-v1105-ent/Con ...

Meine Lösung gefällt mir weitaus besser. Sie braucht keinen Server, keinen Agent, alles nur Bordmittel.
Wir werden versuchen, das zu vermarkten.