mrheisenberg
Goto Top

Wie handhabt Ihr eure MFA

Moin Leute,

wir sind gerade dabei MFA einzuführen, leider hat mich unser Lieferant etwas sitzen lassen, jetzt gehen wir auf MFA über Windows Hello, anstatt unser Schliessytem mit Smartcards einzubinden. Bin hier auf zwei Systeme gekommen welche wir implementieren werden, zum einen Webcam und zum anderen Fingerprint in Kombi mit Pin. (WinPW Komplex und minimalzeichenlänge...)

Aus meiner Sicht habe ich den Vorteil da die Mobilen Geräte eigtl. schon alle (abgesehen von den Bausparvarianten) entweder eine Webcam oder Fingerprint besitzen (oder auch beides besitzen siehe Lenovo / DELL).

Wie siehts bei euch aus?

Content-Key: 4136797953

Url: https://administrator.de/contentid/4136797953

Printed on: December 4, 2022 at 19:12 o'clock

Member: unbelanglos
unbelanglos Oct 03, 2022 at 11:26:46 (UTC)
Goto Top
Wir sind im Kern bei Yubikeys gelandet. Am Samstag hatten wir auch einen regulären IT-Helpdesk Tag mit ein paar zusätzlichen Admins eingeplant und zum Glück nicht benötigt. Wussten nciht genau ob der 01.10.22 uns etwas fordert.


Die meisten unserer Angestellten haben ihr Notebook zugeklappt und möchten so auch weiter arbeiten. USB Geräte haben oft erhöhten Aufwand zu Folge, wenn sie bestimmte Sicherheitsklassen erreichen sollen. Somit fielen viele Ideen aus, was USB-Geräte angeht.
Windows Helo per Webcam hat bei uns leider nicht die nötige Quote an tauglichen Webcams. Im nächsten Zyklus vielleicht. Die Cheery-Tastaturen mit entsprechender Sicherheit konnten wir niemand für begeistern und nur die Kollegen die den Abfall signieren müssen, konnten wir dieses Modelle vorschreiben und Smartcards waren eh vorhanden.

Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.

Somit ist im Moment Yubikey der primäre Zusatz-Faktor nach User:Pass.
Zusätzlicher gibt es einen Anruf für den Fall der Fälle. Personal ohne geschäftliches Telefon muss vom Gruppensprecher/Abteilungsleiter im Self-Service-Portal nachgeholfen werden, wenn nötig.

Leider haben wir so viele Türen am Kaba hängen, dass die Migration auf eine Hybridumgebung mit Yubikeys unglaublich teuer und zeitaufwendig ist. Machen müssen wir aber etwas, sind uns nur noch nicht ganz schlüssig. Aber immer wenn wir neue Zutrittskarten bei Kaba kaufen, dann ärgern wir uns immer wieder.
Member: Visucius
Visucius Oct 03, 2022 updated at 11:45:37 (UTC)
Goto Top
Der Admin nutzt Authenticator-App, sms und Security-Stick (hier token2.com) und die MAs laufen über sms und bei Wunsch/Bedarf authenticator-app.

Wir haben aber auch kein korrespondierendes Schließsystem z.B. über NFC.

VG
Member: Dani
Dani Oct 03, 2022 at 11:57:33 (UTC)
Goto Top
Moin,
entweder eine Webcam oder Fingerprint besitzen
da in beiden Verfahren personenbezogene Daten gespeichert werden sollen, wirst du dich mit Betriebsrat und Datenschutz auseinandersetzen müssen.

Wie siehts bei euch aus?
Es gibt zwei Verfahren:
  • Smartcard + PIN. Die Smartcard wird bei uns für das Schließsystem, Kantine, Serverracks, etc. nutzt.
  • Hardware OTP Tokens, ohne USB Schnittstelle o.ä. (autark).

Beides ist mit einem PIN versehen. Um auch bei Verlust noch lange kein Login zu ermöglichen.


Gruß,
Dani
Member: MysticFoxDE
MysticFoxDE Oct 04, 2022 at 05:22:54 (UTC)
Goto Top
Moin unbelanglos,

OFFTOPIC

Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.

das riecht mir irgendwie auch nach infor:COM.

Treffer?

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Oct 04, 2022 at 05:59:37 (UTC)
Goto Top
Moin MrHeisenberg,

Wie siehts bei euch aus?

wir betreuen überwiegend mittelständische Betriebe und bei diesen bin ich froh, wenn die MFA wenigstens für alle von extern zugängliche Dienste, wie z.B. VPN, verwenden.

Kleiner Schmankerl am Rande.

Meine Frau hat eine Heimarbeitsplatz und arbeitet bei einer meistens ungeliebten Behörde. 🤪
Sie hat von dieser einen Rechner (Linux-Büchse) bekommen, mit der sie sich per VPN im entsprechenden Rechenzentrum einwählt und dort per RDP ihre Arbeit verrichtet.

Die Einwahl erfolgte seit Jahren mit Benutzername + Passwort + OTP welches von einem Hardwaretoken generiert wurde.

Mitte letzten Jahres bekam meine Frau dann die Info, dass die VPN-Einwahl demnächst umgestellt werden soll und in diesem Zug auch der bisherige Hardwaretoken überflüssig wird, da man auf Softwaretoken umstellen würde.

In der entsprechenden Handlungsanweisung, stand wörtlich geschrieben, dass man dazu sein privates Smartphone nehmen und sich irgendeine Authentifizierungs-App aus dem App-Store herunterladen soll.

Ich habe daraufhin meiner Frau das folgende Gerätle spendiert ...

https://authenticator.reiner-sct.com/de/

und gebeten, dem Landes-IT-Dienstleister einen Gruss auszurichten und diesen zu Fragen ob die noch alle "Tassen im Schrank" haben.

Gruss Alex
Member: unbelanglos
unbelanglos Oct 04, 2022 at 07:00:43 (UTC)
Goto Top
Zitat von @MysticFoxDE:

Moin unbelanglos,

OFFTOPIC

Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.

das riecht mir irgendwie auch nach infor:COM.

Treffer?

Gruss Alex

Nein.
Alles mit SAP gekoppelt.
Member: MysticFoxDE
MysticFoxDE Oct 04, 2022 at 07:20:20 (UTC)
Goto Top
Moin unbelanglos,

Alles mit SAP gekoppelt.

knapp vorbei ist auch daneben.

Das mit dem Preis von den Kabas kenne ich nur zu gut und muss dabei immer an eine sehr alte Geschichte denken.

Als die Infor damals (> 20 Jahre) angefangen hat sich mit Kaba anzufreunden, hat Kaba der Infor ein angeblich fast unzerstörbares Test-Terminal zur Verfügung gestellt, was selbst einen direkten Hammerschlag auf das Display unbeschadet überstehen sollte.

Dieses Versprechen hat einer der Verkäufer wohl zu ernst genommen und hat bei der Vorstellung des Gerätes vor versammelter Mannschaft als Beweis mit einem Hammer auf das Display geschlagen. 😬

Leider gab es zu der Zeit noch keine Smartphones, aber das folgende Filmchen zeigt +- was dabei passiert ist. 🙃

https://www.youtube.com/watch?v=BSKfSs99QFs

Gruss Alex
Member: jsysde
jsysde Oct 04, 2022 at 19:44:54 (UTC)
Goto Top
N'Abend.

Wir nutzen den Auth-Server eines großen Security Anbieters und regeln 2FA damit über mehrere Domains und domain-unabhängige Applikationen hinweg. Der zweite Faktor ist dabei entweder die Hersteller-App auf dem Smartphone oder ein Yubikey. Oder auch beides. FIDO-Implementation sind wir grad am vorbereiten und testen.

Letztlich können wir das soweit runterbrechen, das wir auch die VPN-Einwahlen damit absichern können. Oder Web-Logins, oder ...

In einer vereinfachten Form (reine Domain-Anmeldung) setzen wir das auch vermehrt bei Kunden ein. Administration, Handhabung und Bedienung sind da echt gut umgesetzt.

Cheers,
jsysde
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 05:28:59 (UTC)
Goto Top
Moin,

ich lese immer wieder die Yubikey´s , scheint ja irgendwie eine gute Lösung zu sein, was ich mich frage, wir arbeiten bald auf einem Domaincontroller WinSrv 2022 verbunden mit der Azure-Cloud, jetzt kenne ich meine User doch schon etwas besser, wie wird verhindert dass der User seinen Yubikey stecken lässt? Natürlich braucht er seinen Pin oder PW zum Einloggen, aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?

Bessert mich bitte aus wenn ich komplett falsch liege.

LG
Member: jsysde
jsysde Oct 05, 2022 at 08:56:49 (UTC)
Goto Top
Moin.

Zitat von @MrHeisenberg:
[...]aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Jein - angenommen, Username und Passwort sind bekannt und du hast keine 2FA am Start. Dann genügt das, um von _überall!_ aus Zugriff zu erhalten. Mit 2FA, und wenn du den Yubikey nur berühren musst/ohne Fingerprint-Reader, ist physischer Zugang zur Maschine nötig. Macht also schon nen Unterschied.

Cheers,
jsysde
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 09:48:19 (UTC)
Goto Top
Zitat von @jsysde:

Moin.

Zitat von @MrHeisenberg:
[...]aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Jein - angenommen, Username und Passwort sind bekannt und du hast keine 2FA am Start. Dann genügt das, um von _überall!_ aus Zugriff zu erhalten. Mit 2FA, und wenn du den Yubikey nur berühren musst/ohne Fingerprint-Reader, ist physischer Zugang zur Maschine nötig. Macht also schon nen Unterschied.

Cheers,
jsysde

ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Member: Visucius
Visucius Oct 05, 2022 updated at 10:10:54 (UTC)
Goto Top
Übertragen werden die ja nicht und es muss ja auch keiner mit Fingerscan sein. Bei meinem muss ich z.B. trotz des "einsteckens" noch einen Knopf drücken.
Member: jsysde
jsysde Oct 05, 2022 at 11:32:22 (UTC)
Goto Top
Mahlzeit.
Zitat von @MrHeisenberg:
ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Auch hier: Jein. face-wink
Es gibt Yubikeys, die einen Fingerprint-Reader integriert haben und welche, die "nur" Knöpfe/Taster/Schaltfläche haben, die der User drücken muss, wenn er beim Login dazu aufgefordert wird. Wir haben letztere im Einsatz und das passt und funktioniert eigentlich ganz gut.

Cheers,
jsysde
Member: jsysde
jsysde Oct 05, 2022 at 11:32:49 (UTC)
Goto Top
Mahlzeit.
Zitat von @Visucius:
Übertragen werden die ja nicht und es muss ja auch keiner mit Fingerscan sein. Bei meinem muss ich z.B. trotz des "einsteckens" noch einen Knopf drücken.
Exakt so ^^ ist es auch bei uns.

Cheers,
jsysde
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 12:45:42 (UTC)
Goto Top
Zitat von @jsysde:

Mahlzeit.
Zitat von @MrHeisenberg:
ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Auch hier: Jein. face-wink
Es gibt Yubikeys, die einen Fingerprint-Reader integriert haben und welche, die "nur" Knöpfe/Taster/Schaltfläche haben, die der User drücken muss, wenn er beim Login dazu aufgefordert wird. Wir haben letztere im Einsatz und das passt und funktioniert eigentlich ganz gut.

Cheers,
jsysde

Jetz bitte um Hilfe,

also wenn ich eine Yubi verwende, welcher nun nur einen Knopf zu betätigen hat stelle ich´s mir so vor: (pardon für meinen einfach gestrickten Geist)
- User schaltet PC ein
- Windows rödelt bis der Lockscreen kommt
- User wählt seinen Benutzernamen aus, gibt Pin ein oder PW jenachdem
- OS sagt ihm dann: Junge drück den Knopf auf deinem Yubi
- User ist angemeldet

so in etwa richtig?
Wenn ja, wo bleibt dann der 2FA wenn der User den Key Stecken lassen sollte, was natürlich nie die Gefahr ist unsere User sind alle brav und machen keinen Blödsinn :P , Spaß bei Seite, aber wäre da dann nicht der mit dem Fingerprint die bessere Variante?

LG
Member: Visucius
Visucius Oct 05, 2022 updated at 12:54:15 (UTC)
Goto Top
Lokal kann ich es nicht bestätigen (mangelsl Erfahrung) - aber bei den Web-Logins (z.B. MS365) läufts genau so.

PS: Einfach mal einen bestellen udn testen. Kostet wenig und so lässt sich am ehesten der praktische Nutzen ausprobieren.
Member: jsysde
jsysde Oct 05, 2022 at 13:03:40 (UTC)
Goto Top
Servus.
Zitat von @MrHeisenberg:
[...]- User schaltet PC ein
- Windows rödelt bis der Lockscreen kommt
- User wählt seinen Benutzernamen aus, gibt Pin ein oder PW jenachdem
- OS sagt ihm dann: Junge drück den Knopf auf deinem Yubi
- User ist angemeldet
so in etwa richtig?[...]
Exakt so läuft es. Oder der User hat die App auf dem Smartphone und bekommt per Push eine Nachricht, die er entsprechend bestätigen muss (natürlich ist dann erst nach Eingabe der PIN oder biometrischem Entsperren des Smartphones möglich).

[...]Wenn ja, wo bleibt dann der 2FA wenn der User den Key Stecken lassen sollte[...]
Der Yubikey _ist!_ der zweite Faktor - der erste Faktor ist die Kombination aus Username/Passwort.
Ohne die Eingabe von korrektem Username/Passwort nutzt dir nur der Yubikey gar nix.

Cheers,
jsysde
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 13:11:27 (UTC)
Goto Top
[...]Wenn ja, wo bleibt dann der 2FA wenn der User den Key Stecken lassen sollte[...]
Der Yubikey _ist!_ der zweite Faktor - der erste Faktor ist die Kombination aus Username/Passwort.
Ohne die Eingabe von korrektem Username/Passwort nutzt dir nur der Yubikey gar nix.

Cheers,
jsysde

Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?
War mein missing link an der Sache, dann ist´s egal ob der Yubi am Gerät steckt oder nicht, mit der App klingt auch spannend, da wird jetzt einiges an Recherche erforderlich

LG
Member: Visucius
Visucius Oct 05, 2022 updated at 13:25:35 (UTC)
Goto Top
Member: jsysde
jsysde Oct 05, 2022 at 13:23:05 (UTC)
Goto Top
Servus.
Zitat von @MrHeisenberg:
Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?[...]
Rischdisch. face-smile

Cheers,
jsysde
Member: Visucius
Visucius Oct 05, 2022 at 13:27:53 (UTC)
Goto Top
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 13:29:44 (UTC)
Goto Top
Zitat von @Visucius:

Wie gesagt: Einfach mal einen bestellen (wenn lieferbar) und rumspielen.


Naja wird eher schwer werden, ich suche für eine bestehende Domain eine Lösung, da ist so nix mit einfach bestellen und Rumspielen, da ich egal wieviel der Zeug kostet begründen muss warum ich was kaufe und damit meine Arbeitszeit verbringe
Member: unbelanglos
unbelanglos Oct 05, 2022 at 13:31:46 (UTC)
Goto Top
Zitat von @MrHeisenberg:

Zitat von @Visucius:

Wie gesagt: Einfach mal einen bestellen (wenn lieferbar) und rumspielen.


Naja wird eher schwer werden, ich suche für eine bestehende Domain eine Lösung, da ist so nix mit einfach bestellen und Rumspielen, da ich egal wieviel der Zeug kostet begründen muss warum ich was kaufe und damit meine Arbeitszeit verbringe

Neuen Arbeitsgeber/Auftraggeber bei Wish bestellen.
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 13:37:01 (UTC)
Goto Top
Zitat von @unbelanglos:

Neuen Arbeitsgeber/Auftraggeber bei Wish bestellen.

gratuliere wenn du deinen Arbeitgeber bei Wish bekommen hast ;)
Member: Visucius
Visucius Oct 05, 2022 at 13:38:26 (UTC)
Goto Top
ich suche für eine bestehende Domain eine Lösung
Ja?! Und wo wäre da das Problem? Vielleicht kannst sogar andere Sachen verknüpfen, die Sticks gibts ja auch mit (zusätzlich) NFC, Bluetooth, usw.

begründen muss warum ich was kaufe
Naja, die Dinger kosten +/- 30 EUR und es gibt ja nen Anlass. Selbst wenn Du ihn privat kaufst, beruflich testest aber ihn anschließend wieder "ins private" übernimmst, wäre das ja kein Beinbruch. Es ist ein zusätzlicher "Schritt" und ich finde, man sollte sich gut überlegen, welcher "2. Faktor" im persönlcihen Arbeitsumfeld Sinn macht. Mangels Einfühlungsvermögens muss ich sowas aktiv ausprobieren und im Prozessablauf testen.
Member: MrHeisenberg
MrHeisenberg Oct 05, 2022 at 13:52:52 (UTC)
Goto Top
Zitat von @Visucius:


begründen muss warum ich was kaufe
Naja, die Dinger kosten +/- 30 EUR und es gibt ja nen Anlass. Selbst wenn Du ihn privat kaufst, beruflich testest aber ihn anschließend wieder "ins private" übernimmst, wäre das ja kein Beinbruch. Es ist ein zusätzlicher "Schritt" und ich finde, man sollte sich gut überlegen, welcher "2. Faktor" im persönlcihen Arbeitsumfeld Sinn macht. Mangels Einfühlungsvermögens muss ich sowas aktiv ausprobieren und im Prozessablauf testen.

Also die Dinger was ich gefunden habe liegen bei 80€ + , da ich die Bio Variante bevorzuge, natürlich bekomm ich die teilw. für 29€ excl. Versand, aber ich möchte wenn dann die "Endlösung" haben, und wie erwähnt wollen wir mit Fingerprint oder FaceID arbeiten , privat arbeite ich mit der MS Auth App und Win Hello, da brauch ich dieses Teil nicht, und wenn die Firma den 2FA will, greif ich nicht in meine Tasche ;)
Member: unbelanglos
unbelanglos Oct 05, 2022 at 14:03:17 (UTC)
Goto Top
Zitat von @MrHeisenberg:

Zitat von @Visucius:


begründen muss warum ich was kaufe
Naja, die Dinger kosten +/- 30 EUR und es gibt ja nen Anlass. Selbst wenn Du ihn privat kaufst, beruflich testest aber ihn anschließend wieder "ins private" übernimmst, wäre das ja kein Beinbruch. Es ist ein zusätzlicher "Schritt" und ich finde, man sollte sich gut überlegen, welcher "2. Faktor" im persönlcihen Arbeitsumfeld Sinn macht. Mangels Einfühlungsvermögens muss ich sowas aktiv ausprobieren und im Prozessablauf testen.

Also die Dinger was ich gefunden habe liegen bei 80€ + , da ich die Bio Variante bevorzuge, natürlich bekomm ich die teilw. für 29€ excl. Versand, aber ich möchte wenn dann die "Endlösung" haben, und wie erwähnt wollen wir mit Fingerprint oder FaceID arbeiten , privat arbeite ich mit der MS Auth App und Win Hello, da brauch ich dieses Teil nicht, und wenn die Firma den 2FA will, greif ich nicht in meine Tasche ;)

Ich würde, wenn Du bei mir mit sowas vorstellig wirst, dich dem Personal-Leiter melden!
Dass es eine kleine Prämie gibt für: Macht/denkt mehr als man verlangt.
Member: MysticFoxDE
MysticFoxDE Oct 06, 2022 at 08:51:11 (UTC)
Goto Top
Moin jsysde,

Servus.
Zitat von @MrHeisenberg:
Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?[...]
Rischdisch. face-smile

jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.

Gruss Alex
Member: jsysde
jsysde Oct 06, 2022 at 13:44:33 (UTC)
Goto Top
Servus.
Zitat von @MysticFoxDE:
jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
PIN eingeben ist irgendwie ähnlich wie Passwort eingeben, daher.... face-plain
Windows Hello oder Fingerprint am Rechner zur Domain-Anmeldung?
Klar, kann man machen, hatte ich ich nicht auf dem Schirm.

An der Kernaussage: User muss physikalisch Zugang zum Computer haben, ändert das aber nichts.

Cheers,
jsysde
Member: MysticFoxDE
MysticFoxDE Oct 06, 2022 at 15:05:08 (UTC)
Goto Top
Moin jsysde,

jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
PIN eingeben ist irgendwie ähnlich wie Passwort eingeben, daher.... face-plain

ja, beim Thema PIN scheiden sich die Geister und ich bin auch kein Fan davon.
Ich sehe aber durchaus bei manchen Einsatzgebieten durchaus Vorteile.
Du kannst im AD für den User ein komplexes/langes Passwort setzen und dieser musst sich beim Anmelden dennoch nicht jedes mal einen abtippseln.

Windows Hello oder Fingerprint am Rechner zur Domain-Anmeldung?
Klar, kann man machen, hatte ich ich nicht auf dem Schirm.

Klar, läuft 1A und vor allen die Hello Anmeldung möchte ich an meinem Schlepptop nicht mehr missen.

An der Kernaussage: User muss physikalisch Zugang zum Computer haben, ändert das aber nichts.

Das ist korrekt und daran wollte ich auch nicht rütteln.

Habe mir heute mal zwei "YubiKey 5 NFC" bestellt, muss das jetzt auch mal ausprobieren. 🤪

Gruss Alex
Member: MysticFoxDE
MysticFoxDE Oct 08, 2022 at 18:28:50 (UTC)
Goto Top
Moin Zusammen,

juhu, meine beiden YubiKey's sind da. 😁

Bin gerade schon dabei, eine neue CA auf Server 2022 aufzusetzen.

Wenn, dann gleich auf Domänenebene, sprich, gleich richtig. 😀

Werde berichten wie die Sache gelaufen ist, bin aber jetzt schon zuversichtlich,
dass ich das Ganze komplexitätstechnisch vorher zu sehr überschätzt habe. 🤪

Gruss Alex