31
Wie handhabt Ihr eure MFA
Moin Leute,
wir sind gerade dabei MFA einzuführen, leider hat mich unser Lieferant etwas sitzen lassen, jetzt gehen wir auf MFA über Windows Hello, anstatt unser Schliessytem mit Smartcards einzubinden. Bin hier auf zwei Systeme gekommen welche wir implementieren werden, zum einen Webcam und zum anderen Fingerprint in Kombi mit Pin. (WinPW Komplex und minimalzeichenlänge...)
Aus meiner Sicht habe ich den Vorteil da die Mobilen Geräte eigtl. schon alle (abgesehen von den Bausparvarianten) entweder eine Webcam oder Fingerprint besitzen (oder auch beides besitzen siehe Lenovo / DELL).
Wie siehts bei euch aus?
wir sind gerade dabei MFA einzuführen, leider hat mich unser Lieferant etwas sitzen lassen, jetzt gehen wir auf MFA über Windows Hello, anstatt unser Schliessytem mit Smartcards einzubinden. Bin hier auf zwei Systeme gekommen welche wir implementieren werden, zum einen Webcam und zum anderen Fingerprint in Kombi mit Pin. (WinPW Komplex und minimalzeichenlänge...)
Aus meiner Sicht habe ich den Vorteil da die Mobilen Geräte eigtl. schon alle (abgesehen von den Bausparvarianten) entweder eine Webcam oder Fingerprint besitzen (oder auch beides besitzen siehe Lenovo / DELL).
Wie siehts bei euch aus?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 4136797953
Url: https://administrator.de/knowledge/wie-handhabt-ihr-eure-mfa-4136797953.html
Ausgedruckt am: 31.03.2025 um 13:03 Uhr
31 Kommentare
Neuester Kommentar
Wir sind im Kern bei Yubikeys gelandet. Am Samstag hatten wir auch einen regulären IT-Helpdesk Tag mit ein paar zusätzlichen Admins eingeplant und zum Glück nicht benötigt. Wussten nciht genau ob der 01.10.22 uns etwas fordert.
Die meisten unserer Angestellten haben ihr Notebook zugeklappt und möchten so auch weiter arbeiten. USB Geräte haben oft erhöhten Aufwand zu Folge, wenn sie bestimmte Sicherheitsklassen erreichen sollen. Somit fielen viele Ideen aus, was USB-Geräte angeht.
Windows Helo per Webcam hat bei uns leider nicht die nötige Quote an tauglichen Webcams. Im nächsten Zyklus vielleicht. Die Cheery-Tastaturen mit entsprechender Sicherheit konnten wir niemand für begeistern und nur die Kollegen die den Abfall signieren müssen, konnten wir dieses Modelle vorschreiben und Smartcards waren eh vorhanden.
Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.
Somit ist im Moment Yubikey der primäre Zusatz-Faktor nach User:Pass.
Zusätzlicher gibt es einen Anruf für den Fall der Fälle. Personal ohne geschäftliches Telefon muss vom Gruppensprecher/Abteilungsleiter im Self-Service-Portal nachgeholfen werden, wenn nötig.
Leider haben wir so viele Türen am Kaba hängen, dass die Migration auf eine Hybridumgebung mit Yubikeys unglaublich teuer und zeitaufwendig ist. Machen müssen wir aber etwas, sind uns nur noch nicht ganz schlüssig. Aber immer wenn wir neue Zutrittskarten bei Kaba kaufen, dann ärgern wir uns immer wieder.
Die meisten unserer Angestellten haben ihr Notebook zugeklappt und möchten so auch weiter arbeiten. USB Geräte haben oft erhöhten Aufwand zu Folge, wenn sie bestimmte Sicherheitsklassen erreichen sollen. Somit fielen viele Ideen aus, was USB-Geräte angeht.
Windows Helo per Webcam hat bei uns leider nicht die nötige Quote an tauglichen Webcams. Im nächsten Zyklus vielleicht. Die Cheery-Tastaturen mit entsprechender Sicherheit konnten wir niemand für begeistern und nur die Kollegen die den Abfall signieren müssen, konnten wir dieses Modelle vorschreiben und Smartcards waren eh vorhanden.
Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.
Somit ist im Moment Yubikey der primäre Zusatz-Faktor nach User:Pass.
Zusätzlicher gibt es einen Anruf für den Fall der Fälle. Personal ohne geschäftliches Telefon muss vom Gruppensprecher/Abteilungsleiter im Self-Service-Portal nachgeholfen werden, wenn nötig.
Leider haben wir so viele Türen am Kaba hängen, dass die Migration auf eine Hybridumgebung mit Yubikeys unglaublich teuer und zeitaufwendig ist. Machen müssen wir aber etwas, sind uns nur noch nicht ganz schlüssig. Aber immer wenn wir neue Zutrittskarten bei Kaba kaufen, dann ärgern wir uns immer wieder.
Der Admin nutzt Authenticator-App, sms und Security-Stick (hier token2.com) und die MAs laufen über sms und bei Wunsch/Bedarf authenticator-app.
Wir haben aber auch kein korrespondierendes Schließsystem z.B. über NFC.
VG
Wir haben aber auch kein korrespondierendes Schließsystem z.B. über NFC.
VG
Moin,
Beides ist mit einem PIN versehen. Um auch bei Verlust noch lange kein Login zu ermöglichen.
Gruß,
Dani
entweder eine Webcam oder Fingerprint besitzen
da in beiden Verfahren personenbezogene Daten gespeichert werden sollen, wirst du dich mit Betriebsrat und Datenschutz auseinandersetzen müssen. Wie siehts bei euch aus?
Es gibt zwei Verfahren:- Smartcard + PIN. Die Smartcard wird bei uns für das Schließsystem, Kantine, Serverracks, etc. nutzt.
- Hardware OTP Tokens, ohne USB Schnittstelle o.ä. (autark).
Beides ist mit einem PIN versehen. Um auch bei Verlust noch lange kein Login zu ermöglichen.
Gruß,
Dani
Moin unbelanglos,
OFFTOPIC
das riecht mir irgendwie auch nach infor:COM.
Treffer?
Gruss Alex
OFFTOPIC
Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.
das riecht mir irgendwie auch nach infor:COM.
Treffer?
Gruss Alex
Moin MrHeisenberg,
wir betreuen überwiegend mittelständische Betriebe und bei diesen bin ich froh, wenn die MFA wenigstens für alle von extern zugängliche Dienste, wie z.B. VPN, verwenden.
Kleiner Schmankerl am Rande.
Meine Frau hat eine Heimarbeitsplatz und arbeitet bei einer meistens ungeliebten Behörde. 🤪
Sie hat von dieser einen Rechner (Linux-Büchse) bekommen, mit der sie sich per VPN im entsprechenden Rechenzentrum einwählt und dort per RDP ihre Arbeit verrichtet.
Die Einwahl erfolgte seit Jahren mit Benutzername + Passwort + OTP welches von einem Hardwaretoken generiert wurde.
Mitte letzten Jahres bekam meine Frau dann die Info, dass die VPN-Einwahl demnächst umgestellt werden soll und in diesem Zug auch der bisherige Hardwaretoken überflüssig wird, da man auf Softwaretoken umstellen würde.
In der entsprechenden Handlungsanweisung, stand wörtlich geschrieben, dass man dazu sein privates Smartphone nehmen und sich irgendeine Authentifizierungs-App aus dem App-Store herunterladen soll.
Ich habe daraufhin meiner Frau das folgende Gerätle spendiert ...
https://authenticator.reiner-sct.com/de/
und gebeten, dem Landes-IT-Dienstleister einen Gruss auszurichten und diesen zu Fragen ob die noch alle "Tassen im Schrank" haben.
Gruss Alex
Wie siehts bei euch aus?
wir betreuen überwiegend mittelständische Betriebe und bei diesen bin ich froh, wenn die MFA wenigstens für alle von extern zugängliche Dienste, wie z.B. VPN, verwenden.
Kleiner Schmankerl am Rande.
Meine Frau hat eine Heimarbeitsplatz und arbeitet bei einer meistens ungeliebten Behörde. 🤪
Sie hat von dieser einen Rechner (Linux-Büchse) bekommen, mit der sie sich per VPN im entsprechenden Rechenzentrum einwählt und dort per RDP ihre Arbeit verrichtet.
Die Einwahl erfolgte seit Jahren mit Benutzername + Passwort + OTP welches von einem Hardwaretoken generiert wurde.
Mitte letzten Jahres bekam meine Frau dann die Info, dass die VPN-Einwahl demnächst umgestellt werden soll und in diesem Zug auch der bisherige Hardwaretoken überflüssig wird, da man auf Softwaretoken umstellen würde.
In der entsprechenden Handlungsanweisung, stand wörtlich geschrieben, dass man dazu sein privates Smartphone nehmen und sich irgendeine Authentifizierungs-App aus dem App-Store herunterladen soll.
Ich habe daraufhin meiner Frau das folgende Gerätle spendiert ...
https://authenticator.reiner-sct.com/de/
und gebeten, dem Landes-IT-Dienstleister einen Gruss auszurichten und diesen zu Fragen ob die noch alle "Tassen im Schrank" haben.
Gruss Alex
Zitat von @MysticFoxDE:
Moin unbelanglos,
OFFTOPIC
das riecht mir irgendwie auch nach infor:COM.
Treffer?
Gruss Alex
Moin unbelanglos,
OFFTOPIC
Kaba hat uns mehrfach enttäuscht und flieht in Zukunft mit jeder Investition eh raus. Sind noch maximal 30 Jahre sukzessive Kunde von Kaba.
das riecht mir irgendwie auch nach infor:COM.
Treffer?
Gruss Alex
Nein.
Alles mit SAP gekoppelt.
Moin unbelanglos,
knapp vorbei ist auch daneben.
Das mit dem Preis von den Kabas kenne ich nur zu gut und muss dabei immer an eine sehr alte Geschichte denken.
Als die Infor damals (> 20 Jahre) angefangen hat sich mit Kaba anzufreunden, hat Kaba der Infor ein angeblich fast unzerstörbares Test-Terminal zur Verfügung gestellt, was selbst einen direkten Hammerschlag auf das Display unbeschadet überstehen sollte.
Dieses Versprechen hat einer der Verkäufer wohl zu ernst genommen und hat bei der Vorstellung des Gerätes vor versammelter Mannschaft als Beweis mit einem Hammer auf das Display geschlagen. 😬
Leider gab es zu der Zeit noch keine Smartphones, aber das folgende Filmchen zeigt +- was dabei passiert ist. 🙃
https://www.youtube.com/watch?v=BSKfSs99QFs
Gruss Alex
Alles mit SAP gekoppelt.
knapp vorbei ist auch daneben.
Das mit dem Preis von den Kabas kenne ich nur zu gut und muss dabei immer an eine sehr alte Geschichte denken.
Als die Infor damals (> 20 Jahre) angefangen hat sich mit Kaba anzufreunden, hat Kaba der Infor ein angeblich fast unzerstörbares Test-Terminal zur Verfügung gestellt, was selbst einen direkten Hammerschlag auf das Display unbeschadet überstehen sollte.
Dieses Versprechen hat einer der Verkäufer wohl zu ernst genommen und hat bei der Vorstellung des Gerätes vor versammelter Mannschaft als Beweis mit einem Hammer auf das Display geschlagen. 😬
Leider gab es zu der Zeit noch keine Smartphones, aber das folgende Filmchen zeigt +- was dabei passiert ist. 🙃
https://www.youtube.com/watch?v=BSKfSs99QFs
Gruss Alex
N'Abend.
Wir nutzen den Auth-Server eines großen Security Anbieters und regeln 2FA damit über mehrere Domains und domain-unabhängige Applikationen hinweg. Der zweite Faktor ist dabei entweder die Hersteller-App auf dem Smartphone oder ein Yubikey. Oder auch beides. FIDO-Implementation sind wir grad am vorbereiten und testen.
Letztlich können wir das soweit runterbrechen, das wir auch die VPN-Einwahlen damit absichern können. Oder Web-Logins, oder ...
In einer vereinfachten Form (reine Domain-Anmeldung) setzen wir das auch vermehrt bei Kunden ein. Administration, Handhabung und Bedienung sind da echt gut umgesetzt.
Cheers,
jsysde
Wir nutzen den Auth-Server eines großen Security Anbieters und regeln 2FA damit über mehrere Domains und domain-unabhängige Applikationen hinweg. Der zweite Faktor ist dabei entweder die Hersteller-App auf dem Smartphone oder ein Yubikey. Oder auch beides. FIDO-Implementation sind wir grad am vorbereiten und testen.
Letztlich können wir das soweit runterbrechen, das wir auch die VPN-Einwahlen damit absichern können. Oder Web-Logins, oder ...
In einer vereinfachten Form (reine Domain-Anmeldung) setzen wir das auch vermehrt bei Kunden ein. Administration, Handhabung und Bedienung sind da echt gut umgesetzt.
Cheers,
jsysde
Moin,
ich lese immer wieder die Yubikey´s , scheint ja irgendwie eine gute Lösung zu sein, was ich mich frage, wir arbeiten bald auf einem Domaincontroller WinSrv 2022 verbunden mit der Azure-Cloud, jetzt kenne ich meine User doch schon etwas besser, wie wird verhindert dass der User seinen Yubikey stecken lässt? Natürlich braucht er seinen Pin oder PW zum Einloggen, aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Bessert mich bitte aus wenn ich komplett falsch liege.
LG
ich lese immer wieder die Yubikey´s , scheint ja irgendwie eine gute Lösung zu sein, was ich mich frage, wir arbeiten bald auf einem Domaincontroller WinSrv 2022 verbunden mit der Azure-Cloud, jetzt kenne ich meine User doch schon etwas besser, wie wird verhindert dass der User seinen Yubikey stecken lässt? Natürlich braucht er seinen Pin oder PW zum Einloggen, aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Bessert mich bitte aus wenn ich komplett falsch liege.
LG
Moin.
Cheers,
jsysde
Zitat von @MrHeisenberg:
[...]aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Jein - angenommen, Username und Passwort sind bekannt und du hast keine 2FA am Start. Dann genügt das, um von _überall!_ aus Zugriff zu erhalten. Mit 2FA, und wenn du den Yubikey nur berühren musst/ohne Fingerprint-Reader, ist physischer Zugang zur Maschine nötig. Macht also schon nen Unterschied.[...]aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Cheers,
jsysde
Zitat von @jsysde:
Moin.
Cheers,
jsysde
Moin.
Zitat von @MrHeisenberg:
[...]aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Jein - angenommen, Username und Passwort sind bekannt und du hast keine 2FA am Start. Dann genügt das, um von _überall!_ aus Zugriff zu erhalten. Mit 2FA, und wenn du den Yubikey nur berühren musst/ohne Fingerprint-Reader, ist physischer Zugang zur Maschine nötig. Macht also schon nen Unterschied.[...]aber wenn der immer im Gerät bleibt, dann ist doch die 2FA eigentlich sinnlos oder?
Cheers,
jsysde
ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Übertragen werden die ja nicht und es muss ja auch keiner mit Fingerscan sein. Bei meinem muss ich z.B. trotz des "einsteckens" noch einen Knopf drücken.
Mahlzeit.
Es gibt Yubikeys, die einen Fingerprint-Reader integriert haben und welche, die "nur" Knöpfe/Taster/Schaltfläche haben, die der User drücken muss, wenn er beim Login dazu aufgefordert wird. Wir haben letztere im Einsatz und das passt und funktioniert eigentlich ganz gut.
Cheers,
jsysde
Zitat von @MrHeisenberg:
ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Auch hier: Jein. ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Es gibt Yubikeys, die einen Fingerprint-Reader integriert haben und welche, die "nur" Knöpfe/Taster/Schaltfläche haben, die der User drücken muss, wenn er beim Login dazu aufgefordert wird. Wir haben letztere im Einsatz und das passt und funktioniert eigentlich ganz gut.
Cheers,
jsysde
Mahlzeit.
Cheers,
jsysde
Zitat von @Visucius:
Übertragen werden die ja nicht und es muss ja auch keiner mit Fingerscan sein. Bei meinem muss ich z.B. trotz des "einsteckens" noch einen Knopf drücken.
Exakt so ^^ ist es auch bei uns.Übertragen werden die ja nicht und es muss ja auch keiner mit Fingerscan sein. Bei meinem muss ich z.B. trotz des "einsteckens" noch einen Knopf drücken.
Cheers,
jsysde
Zitat von @jsysde:
Mahlzeit.
Es gibt Yubikeys, die einen Fingerprint-Reader integriert haben und welche, die "nur" Knöpfe/Taster/Schaltfläche haben, die der User drücken muss, wenn er beim Login dazu aufgefordert wird. Wir haben letztere im Einsatz und das passt und funktioniert eigentlich ganz gut.
Cheers,
jsysde
Mahlzeit.
Zitat von @MrHeisenberg:
ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Auch hier: Jein. ah ok, also hab ich bei Yubikey die auswahl dass der seinen Finger auf die Sensorfläche klatschen muss zum LogIn, aber wie läufts denn dann da wieder mit der DSGVO ab, weil Biometrische Daten sind ja dann wieder Oha
Es gibt Yubikeys, die einen Fingerprint-Reader integriert haben und welche, die "nur" Knöpfe/Taster/Schaltfläche haben, die der User drücken muss, wenn er beim Login dazu aufgefordert wird. Wir haben letztere im Einsatz und das passt und funktioniert eigentlich ganz gut.
Cheers,
jsysde
Jetz bitte um Hilfe,
also wenn ich eine Yubi verwende, welcher nun nur einen Knopf zu betätigen hat stelle ich´s mir so vor: (pardon für meinen einfach gestrickten Geist)
- User schaltet PC ein
- Windows rödelt bis der Lockscreen kommt
- User wählt seinen Benutzernamen aus, gibt Pin ein oder PW jenachdem
- OS sagt ihm dann: Junge drück den Knopf auf deinem Yubi
- User ist angemeldet
so in etwa richtig?
Wenn ja, wo bleibt dann der 2FA wenn der User den Key Stecken lassen sollte, was natürlich nie die Gefahr ist unsere User sind alle brav und machen keinen Blödsinn :P , Spaß bei Seite, aber wäre da dann nicht der mit dem Fingerprint die bessere Variante?
LG
Lokal kann ich es nicht bestätigen (mangelsl Erfahrung) - aber bei den Web-Logins (z.B. MS365) läufts genau so.
PS: Einfach mal einen bestellen udn testen. Kostet wenig und so lässt sich am ehesten der praktische Nutzen ausprobieren.
PS: Einfach mal einen bestellen udn testen. Kostet wenig und so lässt sich am ehesten der praktische Nutzen ausprobieren.
Servus.
Ohne die Eingabe von korrektem Username/Passwort nutzt dir nur der Yubikey gar nix.
Cheers,
jsysde
Zitat von @MrHeisenberg:
[...]- User schaltet PC ein
- Windows rödelt bis der Lockscreen kommt
- User wählt seinen Benutzernamen aus, gibt Pin ein oder PW jenachdem
- OS sagt ihm dann: Junge drück den Knopf auf deinem Yubi
- User ist angemeldet
so in etwa richtig?[...]
Exakt so läuft es. Oder der User hat die App auf dem Smartphone und bekommt per Push eine Nachricht, die er entsprechend bestätigen muss (natürlich ist dann erst nach Eingabe der PIN oder biometrischem Entsperren des Smartphones möglich).[...]- User schaltet PC ein
- Windows rödelt bis der Lockscreen kommt
- User wählt seinen Benutzernamen aus, gibt Pin ein oder PW jenachdem
- OS sagt ihm dann: Junge drück den Knopf auf deinem Yubi
- User ist angemeldet
so in etwa richtig?[...]
[...]Wenn ja, wo bleibt dann der 2FA wenn der User den Key Stecken lassen sollte[...]
Der Yubikey _ist!_ der zweite Faktor - der erste Faktor ist die Kombination aus Username/Passwort.Ohne die Eingabe von korrektem Username/Passwort nutzt dir nur der Yubikey gar nix.
Cheers,
jsysde
[...]Wenn ja, wo bleibt dann der 2FA wenn der User den Key Stecken lassen sollte[...]
Der Yubikey _ist!_ der zweite Faktor - der erste Faktor ist die Kombination aus Username/Passwort.Ohne die Eingabe von korrektem Username/Passwort nutzt dir nur der Yubikey gar nix.
Cheers,
jsysde
Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?
War mein missing link an der Sache, dann ist´s egal ob der Yubi am Gerät steckt oder nicht, mit der App klingt auch spannend, da wird jetzt einiges an Recherche erforderlich
LG
Wie gesagt: Einfach mal einen bestellen (wenn lieferbar) und rumspielen.
Yubikey oder Alternativen - Praxiserfahrungen?
Yubikey vs. OTP-App
Yubikey oder Alternativen - Praxiserfahrungen?
Yubikey vs. OTP-App
Servus.
Cheers,
jsysde
Zitat von @MrHeisenberg:
Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?[...]
Rischdisch. Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?[...]
Cheers,
jsysde
1
Ups, so nen Zufall:
https://www.golem.de/news/ende-von-basic-auth-brute-force-angriffe-auf-m ...
https://www.golem.de/news/ende-von-basic-auth-brute-force-angriffe-auf-m ...
Naja wird eher schwer werden, ich suche für eine bestehende Domain eine Lösung, da ist so nix mit einfach bestellen und Rumspielen, da ich egal wieviel der Zeug kostet begründen muss warum ich was kaufe und damit meine Arbeitszeit verbringe
Zitat von @MrHeisenberg:
Naja wird eher schwer werden, ich suche für eine bestehende Domain eine Lösung, da ist so nix mit einfach bestellen und Rumspielen, da ich egal wieviel der Zeug kostet begründen muss warum ich was kaufe und damit meine Arbeitszeit verbringe
Naja wird eher schwer werden, ich suche für eine bestehende Domain eine Lösung, da ist so nix mit einfach bestellen und Rumspielen, da ich egal wieviel der Zeug kostet begründen muss warum ich was kaufe und damit meine Arbeitszeit verbringe
Neuen Arbeitsgeber/Auftraggeber bei Wish bestellen.
Zitat von @2423392070:
Neuen Arbeitsgeber/Auftraggeber bei Wish bestellen.
gratuliere wenn du deinen Arbeitgeber bei Wish bekommen hast ;)
ich suche für eine bestehende Domain eine Lösung
Ja?! Und wo wäre da das Problem? Vielleicht kannst sogar andere Sachen verknüpfen, die Sticks gibts ja auch mit (zusätzlich) NFC, Bluetooth, usw.begründen muss warum ich was kaufe
Naja, die Dinger kosten +/- 30 EUR und es gibt ja nen Anlass. Selbst wenn Du ihn privat kaufst, beruflich testest aber ihn anschließend wieder "ins private" übernimmst, wäre das ja kein Beinbruch. Es ist ein zusätzlicher "Schritt" und ich finde, man sollte sich gut überlegen, welcher "2. Faktor" im persönlcihen Arbeitsumfeld Sinn macht. Mangels Einfühlungsvermögens muss ich sowas aktiv ausprobieren und im Prozessablauf testen.Zitat von @Visucius:
begründen muss warum ich was kaufe
Naja, die Dinger kosten +/- 30 EUR und es gibt ja nen Anlass. Selbst wenn Du ihn privat kaufst, beruflich testest aber ihn anschließend wieder "ins private" übernimmst, wäre das ja kein Beinbruch. Es ist ein zusätzlicher "Schritt" und ich finde, man sollte sich gut überlegen, welcher "2. Faktor" im persönlcihen Arbeitsumfeld Sinn macht. Mangels Einfühlungsvermögens muss ich sowas aktiv ausprobieren und im Prozessablauf testen.Also die Dinger was ich gefunden habe liegen bei 80€ + , da ich die Bio Variante bevorzuge, natürlich bekomm ich die teilw. für 29€ excl. Versand, aber ich möchte wenn dann die "Endlösung" haben, und wie erwähnt wollen wir mit Fingerprint oder FaceID arbeiten , privat arbeite ich mit der MS Auth App und Win Hello, da brauch ich dieses Teil nicht, und wenn die Firma den 2FA will, greif ich nicht in meine Tasche ;)
Zitat von @MrHeisenberg:
Also die Dinger was ich gefunden habe liegen bei 80€ + , da ich die Bio Variante bevorzuge, natürlich bekomm ich die teilw. für 29€ excl. Versand, aber ich möchte wenn dann die "Endlösung" haben, und wie erwähnt wollen wir mit Fingerprint oder FaceID arbeiten , privat arbeite ich mit der MS Auth App und Win Hello, da brauch ich dieses Teil nicht, und wenn die Firma den 2FA will, greif ich nicht in meine Tasche ;)
Zitat von @Visucius:
begründen muss warum ich was kaufe
Naja, die Dinger kosten +/- 30 EUR und es gibt ja nen Anlass. Selbst wenn Du ihn privat kaufst, beruflich testest aber ihn anschließend wieder "ins private" übernimmst, wäre das ja kein Beinbruch. Es ist ein zusätzlicher "Schritt" und ich finde, man sollte sich gut überlegen, welcher "2. Faktor" im persönlcihen Arbeitsumfeld Sinn macht. Mangels Einfühlungsvermögens muss ich sowas aktiv ausprobieren und im Prozessablauf testen.Also die Dinger was ich gefunden habe liegen bei 80€ + , da ich die Bio Variante bevorzuge, natürlich bekomm ich die teilw. für 29€ excl. Versand, aber ich möchte wenn dann die "Endlösung" haben, und wie erwähnt wollen wir mit Fingerprint oder FaceID arbeiten , privat arbeite ich mit der MS Auth App und Win Hello, da brauch ich dieses Teil nicht, und wenn die Firma den 2FA will, greif ich nicht in meine Tasche ;)
Ich würde, wenn Du bei mir mit sowas vorstellig wirst, dich dem Personal-Leiter melden!
Dass es eine kleine Prämie gibt für: Macht/denkt mehr als man verlangt.
Moin jsysde,
jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
Gruss Alex
Servus.
Zitat von @MrHeisenberg:
Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?[...]
Rischdisch. Ok, also bei der Win Anmeldung muss der User seinen Benutzer und Passwort immer eingeben, right?[...]
jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
Gruss Alex
Servus.
Windows Hello oder Fingerprint am Rechner zur Domain-Anmeldung?
Klar, kann man machen, hatte ich ich nicht auf dem Schirm.
An der Kernaussage: User muss physikalisch Zugang zum Computer haben, ändert das aber nichts.
Cheers,
jsysde
Zitat von @MysticFoxDE:
jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
PIN eingeben ist irgendwie ähnlich wie Passwort eingeben, daher.... jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
Windows Hello oder Fingerprint am Rechner zur Domain-Anmeldung?
Klar, kann man machen, hatte ich ich nicht auf dem Schirm.
An der Kernaussage: User muss physikalisch Zugang zum Computer haben, ändert das aber nichts.
Cheers,
jsysde
Moin jsysde,
ja, beim Thema PIN scheiden sich die Geister und ich bin auch kein Fan davon.
Ich sehe aber durchaus bei manchen Einsatzgebieten durchaus Vorteile.
Du kannst im AD für den User ein komplexes/langes Passwort setzen und dieser musst sich beim Anmelden dennoch nicht jedes mal einen abtippseln.
Klar, läuft 1A und vor allen die Hello Anmeldung möchte ich an meinem Schlepptop nicht mehr missen.
Das ist korrekt und daran wollte ich auch nicht rütteln.
Habe mir heute mal zwei "YubiKey 5 NFC" bestellt, muss das jetzt auch mal ausprobieren. 🤪
Gruss Alex
jain, je nach Konfiguration reicht manchmal auch nur das Gesicht vor die Hello Cam zu hängen oder die Eingabe des PIN's auch schon aus.
PIN eingeben ist irgendwie ähnlich wie Passwort eingeben, daher.... ja, beim Thema PIN scheiden sich die Geister und ich bin auch kein Fan davon.
Ich sehe aber durchaus bei manchen Einsatzgebieten durchaus Vorteile.
Du kannst im AD für den User ein komplexes/langes Passwort setzen und dieser musst sich beim Anmelden dennoch nicht jedes mal einen abtippseln.
Windows Hello oder Fingerprint am Rechner zur Domain-Anmeldung?
Klar, kann man machen, hatte ich ich nicht auf dem Schirm.
Klar, kann man machen, hatte ich ich nicht auf dem Schirm.
Klar, läuft 1A und vor allen die Hello Anmeldung möchte ich an meinem Schlepptop nicht mehr missen.
An der Kernaussage: User muss physikalisch Zugang zum Computer haben, ändert das aber nichts.
Das ist korrekt und daran wollte ich auch nicht rütteln.
Habe mir heute mal zwei "YubiKey 5 NFC" bestellt, muss das jetzt auch mal ausprobieren. 🤪
Gruss Alex
Moin Zusammen,
juhu, meine beiden YubiKey's sind da. 😁
Bin gerade schon dabei, eine neue CA auf Server 2022 aufzusetzen.
Wenn, dann gleich auf Domänenebene, sprich, gleich richtig. 😀
Werde berichten wie die Sache gelaufen ist, bin aber jetzt schon zuversichtlich,
dass ich das Ganze komplexitätstechnisch vorher zu sehr überschätzt habe. 🤪
Gruss Alex
juhu, meine beiden YubiKey's sind da. 😁
Bin gerade schon dabei, eine neue CA auf Server 2022 aufzusetzen.
Wenn, dann gleich auf Domänenebene, sprich, gleich richtig. 😀
Werde berichten wie die Sache gelaufen ist, bin aber jetzt schon zuversichtlich,
dass ich das Ganze komplexitätstechnisch vorher zu sehr überschätzt habe. 🤪
Gruss Alex
