Wunsch: Zwei-Faktor-Authentifizierung

  • Quote

    In wie fern wären Sie bereit einmalige Kosten zu zahlen, z.B. für einen YubiKey?


    Das fände ich besser als pro Anmedlung zu Zahlen


    Quote


    Was halten Sie von einer App die per Handy bedient wird (Android und iOS)?


    Finde ich auch eine gute Idee.


    Grüße

  • In wie fern wären Sie bereit einmalige Kosten zu zahlen, z.B. für einen YubiKey?


    Einmalige Kosten gerne, aber ein USB-Device? (sofern ich das jetzt richtig überflogen habe)
    Das finde ich eher unpraktisch, da es z.B. am Handy oder Tablet nicht genutzt werden kann.


    Was halten Sie von einer App die per Handy bedient wird (Android und iOS)?


    :thumbup:



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Der YubiKey NEO unterstützt auf NFC und wäre damit gut am Handy nutzbar.


    Ich weiß ja nicht, wie viele netcup-Kunden bereits NFC-fähige Endgeräte haben, aber mein Smartphone (und jedes auf das ich bisher ein Auge geworfen habe) unterstützt das noch nicht :S


    Ganz zu schweigen vom Tablet, wo es dann ohne NFC-Smartphone ebenfalls nutzlos bleibt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Nur kurz zur Aufklärung: Der Yubikey NEO generiert mit einer entsprechenden APP auch TOTP Tokens!


    Eine komplette Yubikey Implementierung sollte aber ebenfalls problemlos umzusetzen sein. Ich kann dazu gerne der Netcup GmbH einen Yubikey zukommen lassen!

  • Per App halte ich für die sinnvollste Variante.
    Da gibt es schon fertige Klassen für die Programmierung (sofern man denen vertraut).
    Und Apps ja sowieso.


    Die Implementierung ist, denke ich, recht günstig, und der Betrieb für beide Seiten auch.


    Für ausreichend sicher halte ich es auch, wenngleich weit verbreitete alte android versionen schwachstellen haben. es ist einfach ein weiteres gerät was gefunden und ausgespäht werden muss

  • Guten Morgen,



    seit heute unterstützt das CCP optional eine Zwei-Faktor-Authentifizierung. Das Token dafür kann in den Stammdaten generiert werden.


    Das VCP bauen wir so um, dass es über das CCP aufgerufen werden kann.


    Anregungen und Änderungswünsche sind willkommen.



    Mit freundlichen Grüßen


    Felix Preuß

  • Sehr schön. :thumbup: Ich kann es bisher nur so, dass der TAN nach der Anmeldung angegeben werden muss und nicht direkt im Login-Formular (könnte Leute verwirren, die den Hinweis darunter übersehen).


    Was passiert, wenn man z.B. sein Smartphone verloren hat? Gibt es da Ersatzcode oder muss man sich irgendwie beim Support verifizieren?

  • Hm, scheint noch etwas fehlerhaft zu sein.
    Ein Klick auf "QR-Code anzeigen mit Google-Chart" endet nur mit einer Fehlerseite von google.


    Nachtrag:
    Jetzt ist gar kein login mehr möglich im CCP

  • Guten Tag,


    Quote


    Was passiert, wenn man z.B. sein Smartphone verloren hat? Gibt es da
    Ersatzcode oder muss man sich irgendwie beim Support verifizieren?

    das Token sollte auch an unabhängiger Stelle, idealer Weise nicht in digitaler Form, abgelegt werden. Wenn das verloren geht, müssten wir aktuell per Post ein neues heraus senden. Falls jemand eine bessere Idee hat, freuen wir uns diese zu hören.

    Quote


    Ein Klick auf "QR-Code anzeigen mit Google-Chart" endet nur mit einer Fehlerseite von google.

    Das ist ein Bug der uns aktuell noch unklar ist. Dieser tritt bei uns bislang selten auf. Wenn Sie den Link manuell aufrufen (einfach die Browserzeile per "Enter"-Taste bestätigen) gibt es den Fehler nicht.



    Mit freundlichen Grüßen


    Felix Preuß

  • Super, funktioniert einwandfrei! DANKESCHÖN :)


    Kann man das im CCP eigentlich auch wieder deaktivieren? Weil im Moment sehe ich da nur die Möglichkeit das Token auszutauschen.


    Wenn ich das richtig verstanden habe, reicht es als Backup aus, wenn ich mir das Token aufschreibe, um es bei Verlust des Smartphones oder Defekt des Betriebssystems wieder in der App zu hinterlegen, damit man wieder ins CCP kommt und einen neuen Token generieren kann?


    Ich möchte das jetzt nicht ausprobieren, aber könnte man es dann nicht theoretisch z.B. auf zwei Endgeräten einstellen? z.B. Handy und Tablet?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Das TAN Feld beim Login würde ich lieber erst nach dem Login anzeigen (wie weiter oben vorgeschlagen), das ist meistens so üblich. Die aktuelle Methode ist zwar deutlich bequemer für den Kunden, könnte einige Nutzer aber verwirren, wenn sie damit nichts anzufangen wissen.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Guten Tag,

    Quote


    Kann man das im CCP eigentlich auch wieder deaktivieren? Weil im Moment sehe ich da nur die Möglichkeit das Token auszutauschen.

    in wie weit würde das die Sicherheit wieder mindern? Bei den mir bekannten Anbietern kann man das nie mehr deaktivieren, wenn es einmal aktiviert ist.

    Quote

    Ich möchte das jetzt nicht ausprobieren, aber könnte man es dann nicht
    theoretisch z.B. auf zwei Endgeräten einstellen? z.B. Handy und Tablet?

    Ja, natürlich. Das geht. Das Token sollte nur immer auf einem anderen Gerät sein, wie mit dem man das Passwort eingibt. Andernfalls ergibt das alles keinen Sinn :)



    Mit freundlichen Grüßen


    Felix Preuß

  • in wie weit würde das die Sicherheit wieder mindern? Bei den mir bekannten Anbietern kann man das nie mehr deaktivieren, wenn es einmal aktiviert ist.


    Sagen wir es so: Man könnte es also nur über den Support deaktivieren lassen, wenn erforderlich? Müsste ja nicht direkt im CCP sein.


    Ich denke da nur an Szenarien, wenn man es nur kurz ausprobieren wollte oder plötzlich kein kompatibles Smartphone oder Tablet mehr hat.


    Ja, natürlich. Das geht. Das Token sollte nur immer auf einem anderen Gerät sein, wie mit dem man das Passwort eingibt. Andernfalls ergibt das alles keinen Sinn :)


    Danke für die Info. Ich logge mich sowieso nur am PC ins CCP ein, von daher wäre Smartphone und Tablet sehr praktisch.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • das Token sollte auch an unabhängiger Stelle, idealer Weise nicht in digitaler Form, abgelegt werden. Wenn das verloren geht, müssten wir aktuell per Post ein neues heraus senden. Falls jemand eine bessere Idee hat, freuen wir uns diese zu hören.


    Mich wundert, dass kein anderer Anbieter mit dem Token "arbeitet" sondern Ersatzcodes anbieten. Meist bekommt man nur den QR-Code und sieht das Token nie.


    Von einem anderen Anbieter kenne ich, dass man per Personalausweis-Kopie und Meldebescheinigung per E-Mail/Fax die Zwei-Faktor-Authentifizierung deaktivieren lassen kann.


    in wie weit würde das die Sicherheit wieder mindern? Bei den mir bekannten Anbietern kann man das nie mehr deaktivieren, wenn es einmal aktiviert ist.


    Ich habe eigentlich noch nirgends erlebt, dass die Authentifizierung nicht wieder deaktiviert werden kann. Wenn man bereits im CCP ist, muss man schließlich zwangsläufig das Passwort und das Token kennen.