Authentifizierung mit Clientzertifikat
- Jolinar
- Community Moderator
- Posts: 3607
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Authentifizierung mit Clientzertifikat
Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.
Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.
Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte
Achja...Das Ganze natürlich als Option zum normalen Login...
Was haltet ihr von dieser Idee?
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.
Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.
Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte
Achja...Das Ganze natürlich als Option zum normalen Login...
Was haltet ihr von dieser Idee?
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
-
- Posts: 579
- Joined: Tue 9. Feb 2016, 16:44
Re: Authentifizierung mit Clientzertifikat
Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
OTP ist schon gut. U2F oder WebAuthn per Hardware finde ich noch besser.
OTP ist schon gut. U2F oder WebAuthn per Hardware finde ich noch besser.
Viele Grüße, Christian
- Jolinar
- Community Moderator
- Posts: 3607
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Authentifizierung mit Clientzertifikat
Genau das sehe ich eben anders.select name from me; wrote: ↑Fri 30. Aug 2019, 09:53 Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
Bei der 2FA muß man zuerst die Logindaten eingeben (oder mit einem Paßwortmanager einfügen lassen) und dann noch den zweiten Code vom Handy ablesen und eintippen.
Beim Cert-Auth rufst du die Seite auf und bist drin.
Hardware-Auth finde ich auch genial...Aber die wenigsten haben einen Hardwaretoken rumliegen oder sind bereit, dafür Geld auszugeben.select name from me; wrote: ↑Fri 30. Aug 2019, 09:53 U2F oder WebAuthn per Hardware finde ich noch besser.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Authentifizierung mit Clientzertifikat
In dieser Hinsicht könnten wir Brüder sein
Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave. Und wenn beide Wege offen gehalten werden (z.B. mobile Nutzer) sehe ich den gewonnenen Vorteil nahezu Null.
2FA erachte ich für nicht weniger sicher.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
- Jolinar
- Community Moderator
- Posts: 3607
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Authentifizierung mit Clientzertifikat
Meine erste Berührung mit der Thematik hatte ich vor einigen Jahren mit der Firma Startcom (israelische CA), wo man vor Zeiten von Let's Encrypt kostenfreie Zertifikate beziehen konnte. Bei denen kam man nur auf die Seite, wenn man das nach der Registrierung zur Verfügung gestellte Cert im Browser importiert hatte...Und obwohl das für mich zu dem Zeitpunkt noch völliges Neuland war, fand ich das Vorgehen eigentlich sehr simpel.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
Re: Authentifizierung mit Clientzertifikat
Also "Zertifikat importieren" halte ich bei meiner Kundenstruktur für, sagen wir Mal, "problematisch bis schwierig bis hin zu unmöglich".
Wenn dann würde ich lieber auf FIDO Key setzen wollen. Das wird in naher Zukunft ohnehin Standard sein und ist keine Insellösung wie dieses Zertifikat-Import-Dingengs.
Geld für den Key geben meine Kunden wiederum sicherlich gerne aus, da dies unmittelbar die Sicherheit erhöht, leicht zu bedienen ist und darüber hinaus auch für weitere Webseiten und Programme verwendet werden kann.
Beim Zertifikat Import geht das Problem schon los wenn mehr als einer oder einer mit mehreren Computern auf das Panel zugreifen will. Fido hat man am Schlüsselbund oder man verwendet gleich sein Android-Gerät welches man ohnehin immer "am Mann" (m/w/d) hat.
Sobald das Zert ausläuft muss man das nächste importieren. Dann ist der Import schon so lange her, dass doch wieder alle anrufen.
Zert-Import ist aus meiner Sicht ne super "Nerd-Sache" aber nix für "Es-soll-einfach-nur-funktionieren-Anwender".
Da ich aber grundsätzlich nix gegen neue Vorschläge habe kann Alex das gerne umsetzten solange es nicht verpflichtend und alternativlos ist.
Wenn dann würde ich lieber auf FIDO Key setzen wollen. Das wird in naher Zukunft ohnehin Standard sein und ist keine Insellösung wie dieses Zertifikat-Import-Dingengs.
Geld für den Key geben meine Kunden wiederum sicherlich gerne aus, da dies unmittelbar die Sicherheit erhöht, leicht zu bedienen ist und darüber hinaus auch für weitere Webseiten und Programme verwendet werden kann.
Beim Zertifikat Import geht das Problem schon los wenn mehr als einer oder einer mit mehreren Computern auf das Panel zugreifen will. Fido hat man am Schlüsselbund oder man verwendet gleich sein Android-Gerät welches man ohnehin immer "am Mann" (m/w/d) hat.
Sobald das Zert ausläuft muss man das nächste importieren. Dann ist der Import schon so lange her, dass doch wieder alle anrufen.
Zert-Import ist aus meiner Sicht ne super "Nerd-Sache" aber nix für "Es-soll-einfach-nur-funktionieren-Anwender".
Da ich aber grundsätzlich nix gegen neue Vorschläge habe kann Alex das gerne umsetzten solange es nicht verpflichtend und alternativlos ist.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Authentifizierung mit Clientzertifikat
Also ich find die Idee echt klasse.Jolinar wrote: ↑Fri 30. Aug 2019, 09:49 Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.
Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.
Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte
Achja...Das Ganze natürlich als Option zum normalen Login...
Was haltet ihr von dieser Idee?
Allerdings frage ich mich ob die Idee nicht für das Panel komplett OverTuned ist wenn wir mal richtig drüber nachdenken.
Davon ab, das es für den "Endkunden" letztlich nen Aufwand ist der wieder im Support landet weil er nicht weiß wie wo warum weshalb er tun muss.
Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Davon ab das Alex, wenn er das ließt dich ans Ende der welt jagen wird
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Gruß Olli
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
- Jolinar
- Community Moderator
- Posts: 3607
- Joined: Sat 30. Jan 2016, 07:11
- Location: Weimar (Thüringen)
- Contact:
Re: Authentifizierung mit Clientzertifikat
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12 Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Wenn nötig, komme ich auf dein Angebot zurück.OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12 Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
- In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
In this color, I write as a moderator and provide moderative guidance or justify moderative interventions - In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
In this color, I write as a community member and share my personal opinions and views
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Authentifizierung mit Clientzertifikat
Ich hab fast damit gerechnet das du mit dem Argument kommst ^^Jolinar wrote: ↑Fri 30. Aug 2019, 11:27Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12 Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Wenn nötig, komme ich auf dein Angebot zurück.OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12 Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Allerdings kann ich dich da direkt bremsen, den es ist unwichtig was ich, du oder sonst wer einfacher finden.
Letztlich muss es Kundenfreundlich sein und mein Intresse Hannelore K. (85 Jahre) aus E (Name der Redaktion bekannt) zu erklären wie sie ein Cert in ihrem Browser berechtigt zu erklären (etwa 3 mal am Tag) liegt bei etwa 1%.
Davon ab, sehen wir es mal realistisch... wer gibt 3-4 mal täglich seine Daten ein ?
98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.
Ich verstehe absolut den Hintergrund deines vorschlages aber du kannst die Menschheit nicht umerziehen.
Wenn nötig, komme ich auf dein Angebot zurück.OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12 Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Alles kla
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
Re: Authentifizierung mit Clientzertifikat
Das ist die Wahrheit!OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:38
98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Re: Authentifizierung mit Clientzertifikat
Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.
Gruß Mlan
Re: Authentifizierung mit Clientzertifikat
Wenn wir gerade bei Einwürfen sind.. ich wäre ja stark für eine Wireguard-Integration, sofern der Code schon valide genug ist.
Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner.
- OlliTheDarkness
- Posts: 1854
- Joined: Tue 14. Aug 2018, 16:41
- Location: Essen (NRW)
Re: Authentifizierung mit Clientzertifikat
Dann hätte ich gern noch eine Verifikation mit Fingerabdruck, Iris- und Spracherkennung.
Ein Brain Detect wäre auch noch ganz nice.
Spass bei Seite , ich find es für´s Panel einfach zu OverTuned
Ein Brain Detect wäre auch noch ganz nice.
Spass bei Seite , ich find es für´s Panel einfach zu OverTuned
Mit freundlichen Grüßen
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
OlliTheDarkness
**************************************************************
Helden leben lange, Legenden sterben nie
World Hack Organization
**************************************************************
-
- Posts: 579
- Joined: Tue 9. Feb 2016, 16:44
Re: Authentifizierung mit Clientzertifikat
Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken.
Viele Grüße, Christian
Re: Authentifizierung mit Clientzertifikat
Genau. Nach dem neuen FIDO Standard können dafür auch Fingerabdruck Scanner von Android Phones verwendet werden. So ein Ding haben eh 4 von 5 schon in der Tasche.select name from me; wrote: ↑Fri 30. Aug 2019, 16:02Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken.
Ich habe auf meiner Tastatur einen Fingerabdruck Scanner für Windows Login (Windows Hello) und Keepass. Sehr feine Sache.
Gruß,
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Tobi
-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser