12
MFA - mit welcher Hardware und wie macht ihr das?
Hallo zusammen,
bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.
Es soll und muss auch über das ganze Unternehmen ausgerollt werden.
Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x FIDO-Sticks kaufen, aber wie macht ihr das?
Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden? Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?
bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.
Es soll und muss auch über das ganze Unternehmen ausgerollt werden.
Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x FIDO-Sticks kaufen, aber wie macht ihr das?
Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden? Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 5337233707
Url: https://administrator.de/contentid/5337233707
Printed on: April 27, 2024 at 09:04 o'clock
12 Comments
Latest comment
Gute Frage, schließe ich mich an.
Zitat von @rrobbyy:
bei uns nutzen derzeit 3 User MFA - was für sich genommen nicht das Problem ist.
Es soll und muss auch über das ganze Unternehmen ausgerollt werden.
Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x SIDO-Sticks kaufen, aber wie macht ihr das?
Es soll und muss auch über das ganze Unternehmen ausgerollt werden.
Ich frage mich aber, was ihr mit Usern macht, die keine Hardware (Smartphone) vom Unternehmen haben. Klar, ich könnte jetzt x SIDO-Sticks kaufen, aber wie macht ihr das?
Jeder bekommt einen geeigneten Hardware-Token.
Moin @rrobbyy,
nö, wer kein Geschäftshandy hat bekommt einen Rainer SCT aufs Auge gedrückt.
Selbe Antwort wie oben. 😁
Und was das Anmelden am Rechner angeht, so musst du lediglich den richtigen Yubikey bestellen, etwas konfigurieren und schon kann es losgehen. 😉
Beste Grüsse aus BaWü
Alex
Verlangt ihr vom Arbeitnehmer, dass sie ihre privaten Geräte nutzen müssen, um sich am System anzumelden?
nö, wer kein Geschäftshandy hat bekommt einen Rainer SCT aufs Auge gedrückt.
Wie ist das dann mit Personen, die auch persönlich kein Smartphone haben?
Selbe Antwort wie oben. 😁
Und was das Anmelden am Rechner angeht, so musst du lediglich den richtigen Yubikey bestellen, etwas konfigurieren und schon kann es losgehen. 😉
Beste Grüsse aus BaWü
Alex
1
Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei
Kann man Problemlos in Azure einbinden . Klappt einwandfrei
AHA! Da war ich doch gar nicht so schlecht. Gut, einen zweiten Faktor gibt es halt nicht für umsonst.
Wisst ihr, ob Hardware-Tokens auch über RDP funktionieren?
Wir machen das hier so - falls nötig, nicht die Regel, da kein mobiles Arbeiten erwünscht - dass der Rechner des Mitarbeiters eingeschaltet ist und sich der Mitarbeiter dann über VPN auf diesen Rechner mit seinen Zugangsdaten aufschaltet. Er bräuchte ja dann den Token an seinem Rechner zu Hause?
Ich weiß, dass USB-Geräte durchgeschleift werden können, aber ich weiß auch, dass das nicht immer funktioniert.
Wisst ihr, ob Hardware-Tokens auch über RDP funktionieren?
Wir machen das hier so - falls nötig, nicht die Regel, da kein mobiles Arbeiten erwünscht - dass der Rechner des Mitarbeiters eingeschaltet ist und sich der Mitarbeiter dann über VPN auf diesen Rechner mit seinen Zugangsdaten aufschaltet. Er bräuchte ja dann den Token an seinem Rechner zu Hause?
Ich weiß, dass USB-Geräte durchgeschleift werden können, aber ich weiß auch, dass das nicht immer funktioniert.
Der ganze Sinn dahinter ist ja das der Kram NICHT am Rechner ist.
Die generieren genau wie das Handy auch einfach alle 60 Sekunden einen OTP Code, vollkommen offline.
Da wird nichts weiter dazu benötigt. Kein Rechner, kein USB, kein Internet
Die generieren genau wie das Handy auch einfach alle 60 Sekunden einen OTP Code, vollkommen offline.
Da wird nichts weiter dazu benötigt. Kein Rechner, kein USB, kein Internet
Smartcards. Auch in Form von Yubikeys.
Smartcards werden per RDP durchgereicht.
Füge deiner Frage Details hinzu. Geht es um Authentifizierung von Domänenkonten? Habt ihr eine interne CA?
Füge deiner Frage Details hinzu. Geht es um Authentifizierung von Domänenkonten? Habt ihr eine interne CA?
Ein +1 für den Reiner SCT Authenticator
https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator
Aber die meisten nutzen dann doch lieber das Handy.
Die meisten Kunden, alles KMUs, sichern damit auch nur die Einwahl von extern ab.
An den PCs selber wird sowas seltener eingesetzt. Obwohl natürlich sinnvoll.
Stefan
https://shop.reiner-sct.com/authenticator/reiner-sct-authenticator
Aber die meisten nutzen dann doch lieber das Handy.
Die meisten Kunden, alles KMUs, sichern damit auch nur die Einwahl von extern ab.
An den PCs selber wird sowas seltener eingesetzt. Obwohl natürlich sinnvoll.
Stefan
Zitat von @SeaStorm:
Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei
Wir haben MFA über Azure und für diese Spezls haben wir Hardware OTPs, in unserem Fall FortiToken .
Kann man Problemlos in Azure einbinden . Klappt einwandfrei
Also problemlos ja, "toll" ist das mit den FortiToken aber auch nicht.
Ist das einmal eingerichtet läuft es zwar, aber z.B. für die Seeds muss man aktuell immer noch ein Ticket bei Forti aufmachen, damit man die korrekten Seeds bekommt. Die auf der beigelegten CD sind wohl nur gehasht und reichen nicht für das Setup in Azure aus.
Moin,
Also früher, bevor es die Smartphones und passende MFA-Apps gab, setzen wir von RSA die SecurIDs ein.
Heute wird der Zugang via Gemaltos SafeNet/ MobilePass+ abgesichert.
Unsere User hatten bei der Umstellung kein Problem damit, die App auf ihr privates Phone zu installieren. Haben denen transparent erklärt, was das ist und was die macht. Zudem haben alle immer irgendwelche Apps installiert, die irgendwelche Daten aus- und verwerten. Somit ist die von uns „geforderte“ App absolut unkritisch.
Und die Leute, die kurze Zweifel hatten (Chef will Firmenrelevante App auf mein Smartphone haben) wurden dann gefragt, ob sie denn die Firmen-Systeme auch mal privat nutzen und ob sie denn dann dies im Gegenzug zukünftig sein lassen wollen…
Also früher, bevor es die Smartphones und passende MFA-Apps gab, setzen wir von RSA die SecurIDs ein.
Heute wird der Zugang via Gemaltos SafeNet/ MobilePass+ abgesichert.
Unsere User hatten bei der Umstellung kein Problem damit, die App auf ihr privates Phone zu installieren. Haben denen transparent erklärt, was das ist und was die macht. Zudem haben alle immer irgendwelche Apps installiert, die irgendwelche Daten aus- und verwerten. Somit ist die von uns „geforderte“ App absolut unkritisch.
Und die Leute, die kurze Zweifel hatten (Chef will Firmenrelevante App auf mein Smartphone haben) wurden dann gefragt, ob sie denn die Firmen-Systeme auch mal privat nutzen und ob sie denn dann dies im Gegenzug zukünftig sein lassen wollen…
Vielen Dank für die Infos!
@em-pie: Das ist ja ein richtig geiles Argument, mit den privaten Dingen auf den Business-Geräten.
die Inputs haben mir echt geholfen!!! Vielen Dank an alle!!!!!!!!
@em-pie: Das ist ja ein richtig geiles Argument, mit den privaten Dingen auf den Business-Geräten.
die Inputs haben mir echt geholfen!!! Vielen Dank an alle!!!!!!!!