Hallo miteinander,
in LCOS 10.94 kam 2FA als Neuerung hinzu. Leider liest es sich so, als dass es nur mit einer Authenticator-App nutzbar wäre.
Mich würde interessieren, ob es auch Wege und Möglichkeiten gibt, als 2. Faktor einen Hardware-Token ("YubiKey") einzusetzen. Das wäre natürlich toll, wenn sich das irgendwie implementieren lassen würde. Ich gehe davon aus, dass es rein technisch irgendwie umsetzen lassen würde.
Viele Grüße und danke
fildercom
LCOS 10.94 2FA - nur mit App oder auch mit Hardware-Token machbar?
Moderator: Lancom-Systems Moderatoren
LCOS 10.94 2FA - nur mit App oder auch mit Hardware-Token machbar?
Router: 2 x 1900EF (Vodafone Business 600/20; Telekom ADSL2+); 1930EF (Telekom VDSL 250/40);
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
Wireless: WLC-4006+; 4 x L-452agn;
Switches: 4 x aruba 6100 12G; 2 x Cisco 3560-CX; 2 x Extreme X440G2-12p-10GE4; 2 x Juniper EX2300-C-12P; 3 x Zyxel XS1930-12F
-
Dr.Einstein
- Beiträge: 3475
- Registriert: 12 Jan 2010, 14:10
Re: LCOS 10.94 2FA - nur mit App oder auch mit Hardware-Token machbar?
Ist halt TOTP, kein FIDO2. Importiere einfach den Hash und schon klappt alles. Aber halt das "alte" Verfahren.
-
GrandDixence
- Beiträge: 1193
- Registriert: 19 Aug 2014, 22:41
Re: LCOS 10.94 2FA - nur mit App oder auch mit Hardware-Token machbar?
Für das 2FA-Verfahren TOTP ist der Reiner SCT Authenticator als "Hardware-Token" erhältlich:
https://www.reiner-sct.com/produkt/rein ... enticator/
https://www.reiner-sct.com/material/dow ... icator.pdf
Der Reiner SCT Authenticator ist sicherer als jede Authenticator-App.
Der Reiner SCT Authenticator ist vielleicht sogar "Made in Germany"
Aber wahrscheinlich steckt heute im Reiner SCT Authenticator soviel "Made in Germany", wie in den aktuellen LANCOM-Produkten
Leider schützt das 2FA-Verfahren TOTP nicht vor "Man-in-the-Middle"-Angriffen.
https://www.bsi.bund.de/DE/Themen/Verbr ... ahren.html
Der Zugriff auf jedes elektronische Gerät, welches ein Geheimnis in verschlüsselter Form aufbewahrt, muss aus Sicherheitsgründen mindestens mit einem PIN-Code geschützt werden. Auf Grund der fehlenden abhörsicheren, eigenen Tastatur an den FIDO2-USB-Sticks für die PIN-Codeeingabe erachte ich das 2FA-Verfahren FIDO2 als generell unsicher.
Wieso die FIDO2-USB-Sticks nicht mit einem PIN-Schutz per PIN-Code-Eingabe auf einer USB-Stick eigenen, abhörsicheren Tastatur ausgerüstet werden, ist mir ein Rätsel. Der englische Hersteller iStorage demonstriert mit seinen verschlüsselten USB-Memorysticks mit dem Markennamen "datAshur", dass USB-Memorysticks problemlos mit einem PIN-Schutz per PIN-Code-Eingabe auf einer eigenen, abhörsicheren Tastatur ausgerüstet werden können. Zum Beispiel der iStorage datAshur Pro:
https://istorage-uk.com/de/product/datashur-pro/
Der Lesezugriff auf die verschlüsselten Daten in diesem USB-Memorystick ist nur möglich, wenn vorgängig der korrekte PIN-Code auf der USB-Memorystick-Tastatur eingegeben wurde.
Zu allen 2FA-Verfahren gehört eine gut durchdachte Backupstrategie:
https://www.heise.de/hintergrund/Zwei-F ... 60819.html
https://www.reiner-sct.com/produkt/rein ... enticator/
https://www.reiner-sct.com/material/dow ... icator.pdf
Der Reiner SCT Authenticator ist sicherer als jede Authenticator-App.
Der Reiner SCT Authenticator ist vielleicht sogar "Made in Germany"
Aber wahrscheinlich steckt heute im Reiner SCT Authenticator soviel "Made in Germany", wie in den aktuellen LANCOM-Produkten
Leider schützt das 2FA-Verfahren TOTP nicht vor "Man-in-the-Middle"-Angriffen.
https://www.bsi.bund.de/DE/Themen/Verbr ... ahren.html
Der Zugriff auf jedes elektronische Gerät, welches ein Geheimnis in verschlüsselter Form aufbewahrt, muss aus Sicherheitsgründen mindestens mit einem PIN-Code geschützt werden. Auf Grund der fehlenden abhörsicheren, eigenen Tastatur an den FIDO2-USB-Sticks für die PIN-Codeeingabe erachte ich das 2FA-Verfahren FIDO2 als generell unsicher.
Wieso die FIDO2-USB-Sticks nicht mit einem PIN-Schutz per PIN-Code-Eingabe auf einer USB-Stick eigenen, abhörsicheren Tastatur ausgerüstet werden, ist mir ein Rätsel. Der englische Hersteller iStorage demonstriert mit seinen verschlüsselten USB-Memorysticks mit dem Markennamen "datAshur", dass USB-Memorysticks problemlos mit einem PIN-Schutz per PIN-Code-Eingabe auf einer eigenen, abhörsicheren Tastatur ausgerüstet werden können. Zum Beispiel der iStorage datAshur Pro:
https://istorage-uk.com/de/product/datashur-pro/
Der Lesezugriff auf die verschlüsselten Daten in diesem USB-Memorystick ist nur möglich, wenn vorgängig der korrekte PIN-Code auf der USB-Memorystick-Tastatur eingegeben wurde.
Zu allen 2FA-Verfahren gehört eine gut durchdachte Backupstrategie:
https://www.heise.de/hintergrund/Zwei-F ... 60819.html
Re: LCOS 10.94 2FA - nur mit App oder auch mit Hardware-Token machbar?
Ich empfinde es als großen Nachteil, das die interne Uhr des Reiner SCT Authenticator sehr schnell falsch geht - und erst recht als großen Nachteil, das - man korrigiere mich wenn ich etwas Falsches sage - die Uhr ausschließlich über eine Webseite eingestellt werden kann. Abgesehen davon das so etwas sicher auch per DCF77 und/oder manuell möglich sein sollte, wäre es mindestens sinnvoll wenn REINER SCT hier einen extrem genaue Uhr verwendet die jahrelang nicht gestellt werden muss. Leider habe ich Geräte die extrem zickig sind was die Uhrzeit betrifft und es ist lästig den Reiner SCT Authenticator alle paar Wochen einstellen zu müssen und nein die Batterien sind es nicht.
Aber sind - Zustimmung - so ein Offline Token ist besser als eine App.
Aber sind - Zustimmung - so ein Offline Token ist besser als eine App.
Wann zum Teufel werden ALLE PCs grundsätzlich nur noch mit Hardware RAID 1 ausgestattet???