denvercoder9
Goto Top

Zwei Faktor Authentifizierung zugänglich machen

Hallo liebe Mitstreiter,

kurz zum Hintergrund, ich bin IT-Mitarbeiter in einem mittelständischen Softwareunternehmen.

Zu vielen unserer Kunden haben wir über verschiedene VPN Clients Zugriff auf die entsprechenden Systeme.
Da die Kunden IT nun auch langsam aber Sicher auf MFA umstellt, und es gefühlt für jeden VPN Client einen eigenen Authenticator gibt, stellt sich mir jetzt die Frage, wohin damit face-smile

Nicht jeder meiner Kollegen hat ein Firmenhandy auf dem er alle möglichen Authenticator-Apps installieren kann.

Jetzt wollte ich mal von euch wissen wie ihr oder eure Firmen das umsetzen.

Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.

Also gerne her mit eurem Input face-smile

Viele Grüße
Denvercoder9

Content-ID: 668215

Url: https://administrator.de/forum/zwei-faktor-authentifizierung-zugaenglich-machen-668215.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

emeriks
emeriks 18.09.2024 aktualisiert um 11:29:43 Uhr
Goto Top
Hi,
man kann diese Authenticator-Apps auch auf einem privaten Smartphone installieren. Das hat keinen sicherheitsrelevanten Nachteil.

E.
TK1987
TK1987 18.09.2024 um 11:36:02 Uhr
Goto Top
Moin,

Zitat von @DenverCoder9:
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
wieso sollte der zweite Faktor damit obsolet sein? Ein Passwort kann man knacken oder abgreifen. Bei TOTP bringt das aber nichts, da sich das Passwort ja alle 30 Sekunden ändert - da bräuchte der Angreifer schon den geheimen Schlüssel, mit dem das TOTP berechnet wurde.

Gruß Thomas
pcpanik
pcpanik 18.09.2024 aktualisiert um 11:36:43 Uhr
Goto Top
Yubikeys und darauf die OTPs einrichten und am Rechner mit der Yubikey Authenticator-App abrufen.
Oder ein zentrales Smartphone, zu dem alle, die es brauchen, Zugang haben und den Code kennen.
Das wären sicher auch noch überlegungen.
Michi91
Michi91 18.09.2024 um 11:40:17 Uhr
Goto Top
Alternativ können auch Hardware-Token verwendet werden.

Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.

Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey

Grüße
DenverCoder9
DenverCoder9 18.09.2024 um 11:41:39 Uhr
Goto Top
Zitat von @emeriks:

Hi,
man kann diese Authenticator-Apps auch auf einem privaten Smartphone installieren. Das hat keinen sicherheitsrelevanten Nachteil.

E.

Das ist mir schon auch klar, ich hab damit auch kein Problem, aber es gibt tatsächlich Mitarbeiter, die wollen das nicht auf ihrem privaten Gerät installieren oder besitzen nicht mal ein Smartphone oO
DenverCoder9
DenverCoder9 18.09.2024 um 11:44:15 Uhr
Goto Top
Zitat von @TK1987:

Moin,

Zitat von @DenverCoder9:
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
wieso sollte der zweite Faktor damit obsolet sein? Ein Passwort kann man knacken oder abgreifen. Bei TOTP bringt das aber nichts, da sich das Passwort ja alle 30 Sekunden ändert - da bräuchte der Angreifer schon den geheimen Schlüssel, mit dem das TOTP berechnet wurde.

Gruß Thomas

Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
StefanKittel
StefanKittel 18.09.2024 aktualisiert um 11:45:48 Uhr
Goto Top
Hallo,

es gibt so etwas auch in Hardware.
https://authenticator.reiner-sct.com/de/authenticator-mini

Das bringt aber alles nichts wenn große Firmen "ihre Authenticator-App" reindrücken wollen.
Weniger weil die sicherer ist, als mehr den kunden an sie zu binden.

TOTP ist universell. Aber einige Schweine sind halt gleicher.

Stefan

PS: Ich habe von einem Anbieter auch fertige TOTP-Karten. Diese sind so groß und dünn wie eine Kreditkarte. Aber die haben nur ein festes secret. Funktionieren also genau für einen Dienst. Die bekommen Kunden die das sonst nicht wollen.
AbstrackterSystemimperator
Lösung AbstrackterSystemimperator 18.09.2024 um 11:44:57 Uhr
Goto Top
Moin,

solch einen Fall hatten wir hier auch.

Da hat die Firma schlichtweg für alle Mitarbeiter ohne Diensthandys, Handys bestellt und ausgerollt. Der Rollout war tatsächlich nur für MFA.

Gruß
AS
DenverCoder9
DenverCoder9 18.09.2024 um 11:47:18 Uhr
Goto Top
Zitat von @Michi91:

Alternativ können auch Hardware-Token verwendet werden.

Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.

Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey

Grüße

Ja macht ja auch Sinn wenn es um deinen Arbeitgeber geht, aber jeder Kunde kocht halt sein eigenes Süppchen mit seiner Inhouse-IT oder seinem Systemhaus. Da geben die halt vor hier ist der VPN Client die App wird benötigt, viel Spass damit.
TK1987
TK1987 18.09.2024 um 12:07:39 Uhr
Goto Top
Zitat von @DenverCoder9:
Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
Wenn der Angreifer im Passwortsafe unterwegs ist, ist bereits das gesamte Gerät des Nutzers (und somit i.d.R. auch dessen gesamtes Netzwerk) kompromittiert - dann gibt es weit größere Probleme.

Es gibt aber noch sehr viel weitere und wahrscheinlichere Szenarien, z.B. man-in-the-middle-angriffe - und da schützt der 2 Faktor eben durchaus.
StefanKittel
StefanKittel 18.09.2024 um 12:14:44 Uhr
Goto Top
Stichwort Kennwort: Wir verwenden bei verschiedenen Systeme nur noch den Anmeldenamen und den 2FA Code.
Kennwörter sind in der Praxis für Normalos sehr wenig sicher...
DenverCoder9
DenverCoder9 18.09.2024 um 12:23:59 Uhr
Goto Top
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern

Danke für euren Input, ich lass den Thread aber mal noch auf
Michi91
Michi91 18.09.2024 um 13:36:41 Uhr
Goto Top
Ja macht ja auch Sinn wenn es um deinen Arbeitgeber geht, aber jeder Kunde kocht halt sein eigenes Süppchen mit seiner Inhouse-IT oder seinem Systemhaus. Da geben die halt vor hier ist der VPN Client die App wird benötigt, viel Spass damit.

Oh sorry, hab den Text eingangs nur überflogen....

In diesem Fall wäre eventuell ja auch eine zentrale Android-Emulation welche per RDP/VNC/HTML5 mit vorheriger 2FA durch eure Mitarbeiter ereichbar ist ein Weg...
Ein zentraler Passwort-Tresor könnte auch per 2FA abgesichert werden...

Weil wäre doch auch irgendwie doof, wenn Mitarbeiter A alleine den zweiten Faktor auf seinem Smartphone hat, Mitarbeiter B krank wird und Ihr nicht agieren könnt?
AbstrackterSystemimperator
AbstrackterSystemimperator 18.09.2024 um 17:30:13 Uhr
Goto Top
Zitat von @DenverCoder9:

Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern

Danke für euren Input, ich lass den Thread aber mal noch auf

Wenn ihr den Rollout der Diensthandys wagt, denkt an die Doku! Ganz wichtig ist dabei, dass dementsprechend, wenn nicht bereits in Verträgen steht, dass das Diensthandy nur für dienstliche Zwecke genutzt werden darf, dass ihr auch die private Nutzung untersagt.
Geht mit Sophos super easy.
StefanKittel
StefanKittel 18.09.2024 um 23:42:54 Uhr
Goto Top
Zitat von @DenverCoder9:
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Kurz am Rande... TOTP ist eine Offline-Funktion die nur die aktuelle Uhrzeit braucht. Die Geräte brauchen also keine SIM-Karte. Das macht sie teilweise nutzlos, aber für 2FA reicht offline/WLAN.

Stefan
Jaggl
Jaggl 23.09.2024 um 13:50:07 Uhr
Goto Top