Zwei Faktor Authentifizierung zugänglich machen
Hallo liebe Mitstreiter,
kurz zum Hintergrund, ich bin IT-Mitarbeiter in einem mittelständischen Softwareunternehmen.
Zu vielen unserer Kunden haben wir über verschiedene VPN Clients Zugriff auf die entsprechenden Systeme.
Da die Kunden IT nun auch langsam aber Sicher auf MFA umstellt, und es gefühlt für jeden VPN Client einen eigenen Authenticator gibt, stellt sich mir jetzt die Frage, wohin damit
Nicht jeder meiner Kollegen hat ein Firmenhandy auf dem er alle möglichen Authenticator-Apps installieren kann.
Jetzt wollte ich mal von euch wissen wie ihr oder eure Firmen das umsetzen.
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Also gerne her mit eurem Input
Viele Grüße
Denvercoder9
kurz zum Hintergrund, ich bin IT-Mitarbeiter in einem mittelständischen Softwareunternehmen.
Zu vielen unserer Kunden haben wir über verschiedene VPN Clients Zugriff auf die entsprechenden Systeme.
Da die Kunden IT nun auch langsam aber Sicher auf MFA umstellt, und es gefühlt für jeden VPN Client einen eigenen Authenticator gibt, stellt sich mir jetzt die Frage, wohin damit
Nicht jeder meiner Kollegen hat ein Firmenhandy auf dem er alle möglichen Authenticator-Apps installieren kann.
Jetzt wollte ich mal von euch wissen wie ihr oder eure Firmen das umsetzen.
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Also gerne her mit eurem Input
Viele Grüße
Denvercoder9
Please also mark the comments that contributed to the solution of the article
Content-ID: 668215
Url: https://administrator.de/contentid/668215
Printed on: December 14, 2024 at 17:12 o'clock
16 Comments
Latest comment
Moin,
Gruß Thomas
Zitat von @DenverCoder9:
Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
wieso sollte der zweite Faktor damit obsolet sein? Ein Passwort kann man knacken oder abgreifen. Bei TOTP bringt das aber nichts, da sich das Passwort ja alle 30 Sekunden ändert - da bräuchte der Angreifer schon den geheimen Schlüssel, mit dem das TOTP berechnet wurde.Klar gibt es Desktop-Apps die den Authenticator emulieren können oder das ein oder andere PW-Management-Tool hat solch ein Funktion, aber dann ist der zweite Faktor ja mehr oder weniger obsolet.
Gruß Thomas
Alternativ können auch Hardware-Token verwendet werden.
Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.
Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey
Grüße
Das Thema habe ich letzte Woche auch noch mit einem Anwalt smalltalkmäßig auf einem Kongress besprochen.
Soweit ich ihn verstanden habe, muss man dem Mitarbeiter eine Wahlmöglichkeit anbieten. Man kann ihn nicht zwingen das private Handy zu verwenden, aber wenn er das nicht möchte, muss er halt mit Hardwaretokens leben.
Idealerweise kann der zweite Faktor auch für mehrere Anwendungen verwendet werden. Z.B. in Form eines Yubikey
Grüße
Hallo,
es gibt so etwas auch in Hardware.
https://authenticator.reiner-sct.com/de/authenticator-mini
Das bringt aber alles nichts wenn große Firmen "ihre Authenticator-App" reindrücken wollen.
Weniger weil die sicherer ist, als mehr den kunden an sie zu binden.
TOTP ist universell. Aber einige Schweine sind halt gleicher.
Stefan
PS: Ich habe von einem Anbieter auch fertige TOTP-Karten. Diese sind so groß und dünn wie eine Kreditkarte. Aber die haben nur ein festes secret. Funktionieren also genau für einen Dienst. Die bekommen Kunden die das sonst nicht wollen.
es gibt so etwas auch in Hardware.
https://authenticator.reiner-sct.com/de/authenticator-mini
Das bringt aber alles nichts wenn große Firmen "ihre Authenticator-App" reindrücken wollen.
Weniger weil die sicherer ist, als mehr den kunden an sie zu binden.
TOTP ist universell. Aber einige Schweine sind halt gleicher.
Stefan
PS: Ich habe von einem Anbieter auch fertige TOTP-Karten. Diese sind so groß und dünn wie eine Kreditkarte. Aber die haben nur ein festes secret. Funktionieren also genau für einen Dienst. Die bekommen Kunden die das sonst nicht wollen.
Zitat von @DenverCoder9:
Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
Wenn der Angreifer im Passwortsafe unterwegs ist, ist bereits das gesamte Gerät des Nutzers (und somit i.d.R. auch dessen gesamtes Netzwerk) kompromittiert - dann gibt es weit größere Probleme.Naja wenn der Angreifer schon soweit ist, das er in dem Passwortsafe unterwegs ist, dann kann er ja auch die Schlüssel für die OTPs auslesen, deshalb war mein erster Gedanke, dass das nicht wirklich Sinn macht.
Es gibt aber noch sehr viel weitere und wahrscheinlichere Szenarien, z.B. man-in-the-middle-angriffe - und da schützt der 2 Faktor eben durchaus.
Ja macht ja auch Sinn wenn es um deinen Arbeitgeber geht, aber jeder Kunde kocht halt sein eigenes Süppchen mit seiner Inhouse-IT oder seinem Systemhaus. Da geben die halt vor hier ist der VPN Client die App wird benötigt, viel Spass damit.
Oh sorry, hab den Text eingangs nur überflogen....
In diesem Fall wäre eventuell ja auch eine zentrale Android-Emulation welche per RDP/VNC/HTML5 mit vorheriger 2FA durch eure Mitarbeiter ereichbar ist ein Weg...
Ein zentraler Passwort-Tresor könnte auch per 2FA abgesichert werden...
Weil wäre doch auch irgendwie doof, wenn Mitarbeiter A alleine den zweiten Faktor auf seinem Smartphone hat, Mitarbeiter B krank wird und Ihr nicht agieren könnt?
Zitat von @DenverCoder9:
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Danke für euren Input, ich lass den Thread aber mal noch auf
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Danke für euren Input, ich lass den Thread aber mal noch auf
Wenn ihr den Rollout der Diensthandys wagt, denkt an die Doku! Ganz wichtig ist dabei, dass dementsprechend, wenn nicht bereits in Verträgen steht, dass das Diensthandy nur für dienstliche Zwecke genutzt werden darf, dass ihr auch die private Nutzung untersagt.
Geht mit Sophos super easy.
Zitat von @DenverCoder9:
Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Kurz am Rande... TOTP ist eine Offline-Funktion die nur die aktuelle Uhrzeit braucht. Die Geräte brauchen also keine SIM-Karte. Das macht sie teilweise nutzlos, aber für 2FA reicht offline/WLAN.Ok, aber dann werde ich das mal mit meinen Kollegen besprechen, ob wir doch für jeden ein Smartphone für die 2FA Geschichten anfordern
Stefan
Wir verwenden https://keepersecurity.eu