16
Zwei Faktor Authentifizierung zugänglich machen
Hallo liebe Mitstreiter,
kurz zum Hintergrund, ich bin IT-Mitarbeiter in einem mittelständischen Softwareunternehmen.
Zu vielen unserer Kunden haben wir über verschiedene VPN Clients Zugriff auf die entsprechenden Systeme.
Da die Kunden IT nun auch langsam aber Sicher auf MFA umstellt, und es gefühlt für jeden VPN Client einen eigenen Authenticator gibt, stellt sich mir jetzt die Frage, wohin damit
Nicht jeder meiner Kollegen hat ein Firmenhandy auf dem er alle möglichen Authenticator-Apps installieren kann.
Jetzt wollte ich mal von euch wissen wie ihr oder eure Firmen das umsetzen.
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Also gerne her mit eurem Input
Viele Grüße
Denvercoder9
kurz zum Hintergrund, ich bin IT-Mitarbeiter in einem mittelständischen Softwareunternehmen.
Zu vielen unserer Kunden haben wir über verschiedene VPN Clients Zugriff auf die entsprechenden Systeme.
Da die Kunden IT nun auch langsam aber Sicher auf MFA umstellt, und es gefühlt für jeden VPN Client einen eigenen Authenticator gibt, stellt sich mir jetzt die Frage, wohin damit
Nicht jeder meiner Kollegen hat ein Firmenhandy auf dem er alle möglichen Authenticator-Apps installieren kann.
Jetzt wollte ich mal von euch wissen wie ihr oder eure Firmen das umsetzen.
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Also gerne her mit eurem Input
Viele Grüße
Denvercoder9
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 668215
Url: https://administrator.de/contentid/668215
Ausgedruckt am: 26.09.2024 um 23:09 Uhr
16 Kommentare
Neuester Kommentar
Hi,
man kann diese Authenticator-Apps auch auf einem privaten Smartphone installieren. Das hat keinen sicherheitsrelevanten Nachteil.
E.
man kann diese Authenticator-Apps auch auf einem privaten Smartphone installieren. Das hat keinen sicherheitsrelevanten Nachteil.
E.
Moin,
Gruß Thomas
Zitat von @DenverCoder9:
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
wieso sollte der zweite Faktor damit obsolet sein? Ein Passwort kann man knacken oder abgreifen. Bei TOTP bringt das aber nichts, da sich das Passwort ja alle 30 Sekunden ändert - da bräuchte der Angreifer schon den geheimen Schlüssel, mit dem das TOTP berechnet wurde.Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Gruß Thomas
Yubikeys und darauf die OTPs einrichten und am Rechner mit der Yubikey Authenticator-App abrufen.
Oder ein zentrales Smartphone, zu dem alle, die es brauchen, Zugang haben und den Code kennen.
Das wären sicher auch noch überlegungen.
Oder ein zentrales Smartphone, zu dem alle, die es brauchen, Zugang haben und den Code kennen.
Das wären sicher auch noch überlegungen.
Alternativ können auch Hardware-Token verwendet werden.
Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.
Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey
Grüße
Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.
Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey
Grüße
Zitat von @emeriks:
Hi,
man kann diese Authenticator-Apps auch auf einem privaten Smartphone installieren. Das hat keinen sicherheitsrelevanten Nachteil.
E.
Hi,
man kann diese Authenticator-Apps auch auf einem privaten Smartphone installieren. Das hat keinen sicherheitsrelevanten Nachteil.
E.
Das ist mir schon auch klar, ich hab damit auch kein Problem, aber es gibt tatsächlich Mitarbeiter, die wollen das nicht auf ihrem privaten Gerät installieren oder besitzen nicht mal ein Smartphone oO
Zitat von @TK1987:
Moin,
Gruß Thomas
Moin,
Zitat von @DenverCoder9:
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
wieso sollte der zweite Faktor damit obsolet sein? Ein Passwort kann man knacken oder abgreifen. Bei TOTP bringt das aber nichts, da sich das Passwort ja alle 30 Sekunden ändert - da bräuchte der Angreifer schon den geheimen Schlüssel, mit dem das TOTP berechnet wurde.Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Gruß Thomas
Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
Hallo,
es gibt so etwas auch in Hardware.
https://authenticator.reiner-sct.com/de/authenticator-mini
Das bringt aber alles nichts wenn große Firmen "ihre Authenticator-App" reindrücken wollen.
Weniger weil die sicherer ist, als mehr den kunden an sie zu binden.
TOTP ist universell. Aber einige Schweine sind halt gleicher.
Stefan
PS: Ich habe von einem Anbieter auch fertige TOTP-Karten. Diese sind so groß und dünn wie eine Kreditkarte. Aber die haben nur ein festes secret. Funktionieren also genau für einen Dienst. Die bekommen Kunden die das sonst nicht wollen.
es gibt so etwas auch in Hardware.
https://authenticator.reiner-sct.com/de/authenticator-mini
Das bringt aber alles nichts wenn große Firmen "ihre Authenticator-App" reindrücken wollen.
Weniger weil die sicherer ist, als mehr den kunden an sie zu binden.
TOTP ist universell. Aber einige Schweine sind halt gleicher.
Stefan
PS: Ich habe von einem Anbieter auch fertige TOTP-Karten. Diese sind so groß und dünn wie eine Kreditkarte. Aber die haben nur ein festes secret. Funktionieren also genau für einen Dienst. Die bekommen Kunden die das sonst nicht wollen.
1
Moin,
solch einen Fall hatten wir hier auch.
Da hat die Firma schlichtweg für alle Mitarbeiter ohne Diensthandys, Handys bestellt und ausgerollt. Der Rollout war tatsächlich nur für MFA.
Gruß
AS
solch einen Fall hatten wir hier auch.
Da hat die Firma schlichtweg für alle Mitarbeiter ohne Diensthandys, Handys bestellt und ausgerollt. Der Rollout war tatsächlich nur für MFA.
Gruß
AS
Zitat von @Michi91:
Alternativ können auch Hardware-Token verwendet werden.
Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.
Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey
Grüße
Alternativ können auch Hardware-Token verwendet werden.
Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.
Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey
Grüße
Ja macht ja auch Sinn wenn es um deinen Arbeitgeber geht, aber jeder Kunde kocht halt sein eigenes Süppchen mit seiner Inhouse-IT oder seinem Systemhaus. Da geben die halt vor hier ist der VPN Client die App wird benötigt, viel Spass damit.
Zitat von @DenverCoder9:
Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
Wenn der Angreifer im Passwortsafe unterwegs ist, ist bereits das gesamte Gerät des Nutzers (und somit i.d.R. auch dessen gesamtes Netzwerk) kompromittiert - dann gibt es weit größere Probleme.Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
Es gibt aber noch sehr viel weitere und wahrscheinlichere Szenarien, z.B. man-in-the-middle-angriffe - und da schützt der 2 Faktor eben durchaus.
Stichwort Kennwort: Wir verwenden bei verschiedenen Systeme nur noch den Anmeldenamen und den 2FA Code.
Kennwörter sind in der Praxis für Normalos sehr wenig sicher...
Kennwörter sind in der Praxis für Normalos sehr wenig sicher...
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Danke für euren Input, ich lass den Thread aber mal noch auf
Danke für euren Input, ich lass den Thread aber mal noch auf
Ja macht ja auch Sinn wenn es um deinen Arbeitgeber geht, aber jeder Kunde kocht halt sein eigenes Süppchen mit seiner Inhouse-IT oder seinem Systemhaus. Da geben die halt vor hier ist der VPN Client die App wird benötigt, viel Spass damit.
Oh sorry, hab den Text eingangs nur überflogen....
In diesem Fall wäre eventuell ja auch eine zentrale Android-Emulation welche per RDP/VNC/HTML5 mit vorheriger 2FA durch eure Mitarbeiter ereichbar ist ein Weg...
Ein zentraler Passwort-Tresor könnte auch per 2FA abgesichert werden...
Weil wäre doch auch irgendwie doof, wenn Mitarbeiter A alleine den zweiten Faktor auf seinem Smartphone hat, Mitarbeiter B krank wird und Ihr nicht agieren könnt?
Zitat von @DenverCoder9:
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Danke für euren Input, ich lass den Thread aber mal noch auf
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Danke für euren Input, ich lass den Thread aber mal noch auf
Wenn ihr den Rollout der Diensthandys wagt, denkt an die Doku! Ganz wichtig ist dabei, dass dementsprechend, wenn nicht bereits in Verträgen steht, dass das Diensthandy nur für dienstliche Zwecke genutzt werden darf, dass ihr auch die private Nutzung untersagt.
Geht mit Sophos super easy.
Zitat von @DenverCoder9:
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Kurz am Rande... TOTP ist eine Offline-Funktion die nur die aktuelle Uhrzeit braucht. Die Geräte brauchen also keine SIM-Karte. Das macht sie teilweise nutzlos, aber für 2FA reicht offline/WLAN.Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Stefan
Wir verwenden https://keepersecurity.eu
