Wunsch: Zwei-Faktor-Authentifizierung

  • Hallo Forum, Hallo netcup Team,


    Nachdem "Zwei-Faktor-Authentifizierung" in den letzten Jahren mehr und mehr ein Thema geworden ist, wollte Ich mal hören wie Ihr die Sache seht. Hat netcup Pläne diese Möglichkeit der vermeintlich sichereren Anmeldung in den Kundenpanels und Co. umzusetzen?
    Ich selbst nutze zum Anmelden an meinen Servern einen Yubikey und bei anderen Portalen wie z.B. GitHub das Protokoll OTP mittels Google Authentificator.


    Gruß
    Jan

  • Finde ich prinzipiell auch sehr wünschenswert, von daher eindeutig: +1 :thumbup:
    Mein Domain-Registrar hat das vor einiger Zeit ebenfalls als Option eingeführt.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Von mir auch +1 fände ich eine coole Idee. Bei meinen Server (SSH) setze ich den Google Authenticator ein.


    Hallo,


    Darf Ich fragen welches Backend Du für den Google Authentificator auf dem Server verwendest?


    Gruß
    Jan

  • War von mir etwas blöd formuliert. Wie überprüfst du die OTP's auf dem Server? PAM Modul?

  • Hallo!
    Vielleicht kann man ja das Thema neu aufrollen :rolleyes:
    Ich würde mir vor allem für den VCP die Absicherung mittels Authenticator wünschen.
    Und mal ehrlich: mittels PHP-Klasse, die es gibt, ist das auch in kurzer Zeit integriert.


    Mal als Frage an's Netcup-Team: könnte man dies nicht als optionales Sicherheits-Feature einführen, gerade bei den Servern?


    VG

  • Und mal ehrlich: mittels PHP-Klasse, die es gibt, ist das auch in kurzer Zeit integriert.


    Nur läuft beim VCP kein PHP im Hintergrund. Das wurde hier im Forum schon ein paar mal erwähnt :)


    Aber prinzipiell hast du Recht. Die zusätzliche Absicherung wäre sehr wünschenswert.



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Guten Tag,



    optional werden wir so etwas anbieten, wenn sich das genügend Kunden wünschen. Aktuell besteht danach keine große Nachfrage. Auf Google oder andere ausländische Datenkraken werden wir dabei aber nicht zurück greifen können. Hier benötigen wir dann eine eigene Lösung.


    Wären Sie bereit dafür Geld zu bezahlen? Wenn ja, was wäre der Maximalbetrag je Authentifizierung?



    Mit freundlichen Grüßen


    Felix Preuß

  • Verstehe jetzt leider nicht wieso die Authenticator API von Google da schlecht sein soll. Das einzige was Google da wissen will, ist der eingegebene Code. Google gibt dann "nö" oder "ja" zurück. Passwörter oder Usernames werden dabei nicht durch die Gegend geschickt.


    Ein Domain Provider und ein Hosting Unternehmen, beide nicht gerade klein, setzen dies bereits ein.


    Ach und wieso man pro Anmeldung Geld bezahlen sollte, für einen Dienst der kostenlos ist, ist mir auch schleierhaft.

  • Hallo,

    Wenn ja, was wäre der Maximalbetrag je Authentifizierung?


    Solange es nicht über SMS oder einen Anruf läuft gar nichts. Google oder andere Firmen sind ja nicht notwendig einen Code anzuzeigen. Selber müsste netcup nur ein Zeitserver hierfür betreiben mit einem Auth-Server welchen den Code validiert.


    Also solcher empfiehlt sich freeIPAwelches auf TOTP: Time-Based One-Time Password Algorithm basiert. Verwendet werden kann jeder Client der TOTP kann, das kann der Google Authenticator sein, welcher Open Source ist (keine Daten die bei Google gespeichert werden), aber auch Authy oder FreeOTP ebenfalls Open Source.

  • Die Authenticator API ist halt wieder eine externe Abhängigkeit, die man als Unternehmen schwer kontrollieren kann.
    Ich bin generell auch für diesen Service von Google, kann es aber gut verstehen, wenn das hier nicht in Frage kommt.


    EDIT: Wobei die Erklärungen von twiddern gerade eine kleine Wissenslücke bei mir füllen. Muss ich mir auch mal ansehen…


    Wären Sie bereit dafür Geld zu bezahlen?


    Eigentlich sollte eine hohe Sicherheit heute Standard sein. Von daher Jein.


    Hier benötigen wir dann eine eigene Lösung.


    Wie darf man sich das vorstellen? SMS? Wäre zumindestens eine sehr brauchbare Alternative und auch ohne Smartphone nutzbar, was man auch nicht außer Acht lassen sollte. Selbst für Banken ist das immer noch ein häufiger Favorit :)


    Wenn ja, was wäre der Maximalbetrag je Authentifizierung?


    Wenn wir mal bei meiner Annahme von SMS bleiben: Die SMS-Gebühren? Ich will da jetzt keine genauen Preise nennen, da ich als kleiner Abnehmer eher hohe Gebühren bei Anbietern von Gateways bezahlen muss und somit keinen tiefen Einblick habe. Mein privater Gateway über Asterisk und chan_mobile kommt da als Vergleich auch eher schlecht. Generell würde es wahrscheinlich viele abschrecken solche Sicherheitsfeatures zu nutzen, wenn man pro Login zahlen darf. Eine Monatspauschale wäre eventuell sinnvoller. Noch besser wäre natürlich kostenlos… ;)



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

  • Naja, woher will man bitte wissen, dass sich da zu wenig Kunden wünschen? Wurden alle befragt?


    Vielleicht kann man ja mal eine Umfrage durchführen, wer sich das alles wünschen würde.
    Die Ablehnung von Google halte ich ebenfalls für unpassend. Schließlich läuft hier in Sachen Authentifizierung nicht's über Google-Server. Da wird mittels eines Algorithmus ein Code generiert (von der Google-App), der dann von Netcup überprüft werden muss.


    Das ist kostenlos, einfach integriert und bietet hohen Schutz.

  • Also das mit dem Bezahlen pro Anmeldung finde Ich persönlich etwas unangemessen, solange das System auf den TOTP-Tokens basiert. Eine Umsetzung sollte, wie auch schon angemerkt, nicht sehr kompliziert sein...

  • Guten Morgen,



    vielen Dank für das viele Feedback.


    Ich lese aus dem Feedback heraus das generell wenig Bereitschaft vorhanden ist als zweiten Authentifizierungsweg z.B. SMS zu nutzen, da dieses mit nutzungsabhängigen Kosten verbunden wäre.


    In wie fern wären Sie bereit einmalige Kosten zu zahlen, z.B. für einen YubiKey?


    Was halten Sie von einer App die per Handy bedient wird (Android und iOS)?



    Mit freundlichen Grüßen


    Felix Preuß

  • Hallo Felix,


    YubiKey ist in der tat eine tolle Möglichkeit. Ich denke aber heute möchte jeder eine schnelle und kostengünstige Möglichkeit und da ist nun mal TOTP via App die beste Möglichkeit.
    Auch netcup hätte hiermit wohl den geringsten Aufwand eine solche Lösung zu implementieren, da nur die serverseitige Lösung bereitgestellt werden muss. Clients gibt es, wie bereits geschrieben genügend und für viel mehr Betriebssysteme als nur Android und iOS.


    Somit würde netcup auch hier eine Einsparung machen und muss kein Setup/Verwaltung von Apps oder einen YubiKey machen, da bestehende Apps weiter verwendet können und mehrere Accounts verschiedener Anbieter unterstützen.

  • Ich denke aber heute möchte jeder eine schnelle und kostengünstige Möglichkeit und da ist nun mal TOTP via App die beste Möglichkeit.


    Zumal das Verfahren von zahlreichen bekannten Websites und Diensten (Time-based One-time Password Algorithm - Wikipedia, the free encyclopedia) verwendet wird, sodass es viele User schon kennen und eine entsprechende App installiert haben. Und mit Backup-Codes ist auch man nicht direkt ausgesperrt, wenn das Smartphone mal nicht verfügbar ist.