3
OTP Hardware Token ohne zentrale Infrastruktur
Hallo zusammen,
ich möchte gerne, dass sich unsere Windows- und Linux-Nutzer an ihren Geräten jeweils mit Passwort + OTP anmelden müssen. Das OTP sollte dabei von einem Hardware-Token mit Display kommen (so wie beispielsweise RSA SecurID). Die Clients befinden sich aber in keiner zentralen AD / Radius Umgebung. Darüberhinaus möchte ich auch die Authentifizierung nicht zentral machen.Welche Lösungen gibt es, bei denen man Hardware Tokens lokal ohne zentralen Authentication Server verwenden kann?
Viele Grüße
Peter
ich möchte gerne, dass sich unsere Windows- und Linux-Nutzer an ihren Geräten jeweils mit Passwort + OTP anmelden müssen. Das OTP sollte dabei von einem Hardware-Token mit Display kommen (so wie beispielsweise RSA SecurID). Die Clients befinden sich aber in keiner zentralen AD / Radius Umgebung. Darüberhinaus möchte ich auch die Authentifizierung nicht zentral machen.Welche Lösungen gibt es, bei denen man Hardware Tokens lokal ohne zentralen Authentication Server verwenden kann?
Viele Grüße
Peter
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 337745
Url: https://administrator.de/contentid/337745
Printed on: April 26, 2024 at 09:04 o'clock
3 Comments
Latest comment
Moin,
ich kann dir keine Lösung nennen, habe auch keine Idee, in welche Richtung es gehen soll, stelle mir aber bei deinem Vorhaben folgende Frage:
Wenn die OTP-Lösung zur Anmeldung UND Authentifizierung auf einem System läuft (deinen Notebooks):
Was passiert, wenn das Gerät kompromittiert wird? Sind dann die OTPs noch sicher?
Was ich mich auch Frage: welche Sinn hat dein Vorhaben, also welches Ziel möchtest du realisieren?
Verschlüsselung/ Schutz vor unberechtigten Datenzugriffen? Das kann man auch anders lösen...
Gruß
em-pie
ich kann dir keine Lösung nennen, habe auch keine Idee, in welche Richtung es gehen soll, stelle mir aber bei deinem Vorhaben folgende Frage:
Wenn die OTP-Lösung zur Anmeldung UND Authentifizierung auf einem System läuft (deinen Notebooks):
Was passiert, wenn das Gerät kompromittiert wird? Sind dann die OTPs noch sicher?
Was ich mich auch Frage: welche Sinn hat dein Vorhaben, also welches Ziel möchtest du realisieren?
Verschlüsselung/ Schutz vor unberechtigten Datenzugriffen? Das kann man auch anders lösen...
Gruß
em-pie
Ich kann der Überlegung nur beipflichten. Für eine seriöse Funktionsweise braucht man für OTP eigentlich immer einen zentralen Server.
Wenn Peter keine zentrale Instanz will, dann muss er bei den einzelnen Geräten Turnschuhadministration machen.
Und dann kann er auch Geräte wie den Yubikey oder den Nitrokey mit einem entsprechenden Credential Provider nehmen, um für ausgesuchte, lokale Benutzer die lokale Anmeldung mit einem zweiten Faktor abzusichern.
Da steckt dann - anders als bei OTP (symmetrisch) - ein assymmetrisches Challenge-Response hinter und der Token ist durch den Diebstahl des Rechners nicht kompromittiert, weil auf dem Rechner nur der Public Key liegt.
Wenn Peter keine zentrale Instanz will, dann muss er bei den einzelnen Geräten Turnschuhadministration machen.
Und dann kann er auch Geräte wie den Yubikey oder den Nitrokey mit einem entsprechenden Credential Provider nehmen, um für ausgesuchte, lokale Benutzer die lokale Anmeldung mit einem zweiten Faktor abzusichern.
Da steckt dann - anders als bei OTP (symmetrisch) - ein assymmetrisches Challenge-Response hinter und der Token ist durch den Diebstahl des Rechners nicht kompromittiert, weil auf dem Rechner nur der Public Key liegt.
Vielen Dank! Jetzt wird mir das ganze klarer. Ist also im Grunde nichts anderes als PKI. Ja, war gedacht als Login / Festplattenverschlüsselung. Aber mach schon Sinn, wie Ihr sagt. Anders sieht es natürlich bei Webdiensten aus...