Authentifizierung mit Clientzertifikat

For topics beyond KeyHelp. / Für Themen jenseits von KeyHelp.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Authentifizierung mit Clientzertifikat

Post by Jolinar »

Hallo Community,

inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.

Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.

Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte

Achja...Das Ganze natürlich als Option zum normalen Login... ;)

Was haltet ihr von dieser Idee?
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: Authentifizierung mit Clientzertifikat

Post by select name from me; »

Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
OTP ist schon gut. U2F oder WebAuthn per Hardware finde ich noch besser.
Viele Grüße, Christian
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Authentifizierung mit Clientzertifikat

Post by Jolinar »

select name from me; wrote: Fri 30. Aug 2019, 09:53 Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
Genau das sehe ich eben anders.
Bei der 2FA muß man zuerst die Logindaten eingeben (oder mit einem Paßwortmanager einfügen lassen) und dann noch den zweiten Code vom Handy ablesen und eintippen.
Beim Cert-Auth rufst du die Seite auf und bist drin. 8-)

select name from me; wrote: Fri 30. Aug 2019, 09:53 U2F oder WebAuthn per Hardware finde ich noch besser.
Hardware-Auth finde ich auch genial...Aber die wenigsten haben einen Hardwaretoken rumliegen oder sind bereit, dafür Geld auszugeben. :?
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
nikko
Posts: 914
Joined: Fri 15. Apr 2016, 16:11

Re: Authentifizierung mit Clientzertifikat

Post by nikko »

Jolinar wrote: Fri 30. Aug 2019, 09:49 Hallo Community,

inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
In dieser Hinsicht könnten wir Brüder sein :lol:

Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave. Und wenn beide Wege offen gehalten werden (z.B. mobile Nutzer) sehe ich den gewonnenen Vorteil nahezu Null.
2FA erachte ich für nicht weniger sicher.
The software said: Requires Win Vista®, 7®, 8® or better. And so I installed Linux.
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Authentifizierung mit Clientzertifikat

Post by Jolinar »

nikko wrote: Fri 30. Aug 2019, 10:01 Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave.
Meine erste Berührung mit der Thematik hatte ich vor einigen Jahren mit der Firma Startcom (israelische CA), wo man vor Zeiten von Let's Encrypt kostenfreie Zertifikate beziehen konnte. Bei denen kam man nur auf die Seite, wenn man das nach der Registrierung zur Verfügung gestellte Cert im Browser importiert hatte...Und obwohl das für mich zu dem Zeitpunkt noch völliges Neuland war, fand ich das Vorgehen eigentlich sehr simpel.
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Authentifizierung mit Clientzertifikat

Post by Tobi »

Also "Zertifikat importieren" halte ich bei meiner Kundenstruktur für, sagen wir Mal, "problematisch bis schwierig bis hin zu unmöglich".

Wenn dann würde ich lieber auf FIDO Key setzen wollen. Das wird in naher Zukunft ohnehin Standard sein und ist keine Insellösung wie dieses Zertifikat-Import-Dingengs.

Geld für den Key geben meine Kunden wiederum sicherlich gerne aus, da dies unmittelbar die Sicherheit erhöht, leicht zu bedienen ist und darüber hinaus auch für weitere Webseiten und Programme verwendet werden kann.

Beim Zertifikat Import geht das Problem schon los wenn mehr als einer oder einer mit mehreren Computern auf das Panel zugreifen will. Fido hat man am Schlüsselbund oder man verwendet gleich sein Android-Gerät welches man ohnehin immer "am Mann" (m/w/d) hat.

Sobald das Zert ausläuft muss man das nächste importieren. Dann ist der Import schon so lange her, dass doch wieder alle anrufen.

Zert-Import ist aus meiner Sicht ne super "Nerd-Sache" aber nix für "Es-soll-einfach-nur-funktionieren-Anwender".

Da ich aber grundsätzlich nix gegen neue Vorschläge habe kann Alex das gerne umsetzten solange es nicht verpflichtend und alternativlos ist.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Authentifizierung mit Clientzertifikat

Post by OlliTheDarkness »

Jolinar wrote: Fri 30. Aug 2019, 09:49 Hallo Community,

inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.

Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.

Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte

Achja...Das Ganze natürlich als Option zum normalen Login... ;)

Was haltet ihr von dieser Idee?
Also ich find die Idee echt klasse.
Allerdings frage ich mich ob die Idee nicht für das Panel komplett OverTuned ist wenn wir mal richtig drüber nachdenken.
Davon ab, das es für den "Endkunden" letztlich nen Aufwand ist der wieder im Support landet weil er nicht weiß wie wo warum weshalb er tun muss.
Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Davon ab das Alex, wenn er das ließt dich ans Ende der welt jagen wird :lol:
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig. :lol: :lol:

Gruß Olli
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Jolinar
Community Moderator
Posts: 3560
Joined: Sat 30. Jan 2016, 07:11
Location: Weimar (Thüringen)
Contact:

Re: Authentifizierung mit Clientzertifikat

Post by Jolinar »

OlliTheDarkness wrote: Fri 30. Aug 2019, 11:12 Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?

OlliTheDarkness wrote: Fri 30. Aug 2019, 11:12 Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig. :lol: :lol:
Wenn nötig, komme ich auf dein Angebot zurück. :lol: 8-)
Wenn jemand inkompetent ist, dann kann er nicht wissen, daß er inkompetent ist. (David Dunning)

Data Collector für Community Support
___
Ich verwende zwei verschiedene Schriftfarben in meinen Beiträgen /
I use two different font colors in my posts:
  • In dieser Farbe schreibe ich als Moderator und gebe moderative Hinweise oder begründe moderative Eingriffe /
    In this color, I write as a moderator and provide moderative guidance or justify moderative interventions
  • In dieser Farbe schreibe ich als Community Mitglied und teile meine private Meinung und persönlichen Ansichten mit /
    In this color, I write as a community member and share my personal opinions and views
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Authentifizierung mit Clientzertifikat

Post by OlliTheDarkness »

Jolinar wrote: Fri 30. Aug 2019, 11:27
OlliTheDarkness wrote: Fri 30. Aug 2019, 11:12 Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?

OlliTheDarkness wrote: Fri 30. Aug 2019, 11:12 Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig. :lol: :lol:
Wenn nötig, komme ich auf dein Angebot zurück. :lol: 8-)
Ich hab fast damit gerechnet das du mit dem Argument kommst ^^

Allerdings kann ich dich da direkt bremsen, den es ist unwichtig was ich, du oder sonst wer einfacher finden.

Letztlich muss es Kundenfreundlich sein und mein Intresse Hannelore K. (85 Jahre) aus E (Name der Redaktion bekannt) zu erklären wie sie ein Cert in ihrem Browser berechtigt zu erklären (etwa 3 mal am Tag) liegt bei etwa 1%.

Davon ab, sehen wir es mal realistisch... wer gibt 3-4 mal täglich seine Daten ein ?
98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.

Ich verstehe absolut den Hintergrund deines vorschlages aber du kannst die Menschheit nicht umerziehen.
OlliTheDarkness wrote: Fri 30. Aug 2019, 11:12 Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig. :lol: :lol:
Wenn nötig, komme ich auf dein Angebot zurück. :lol: 8-)


Alles kla :lol:
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Authentifizierung mit Clientzertifikat

Post by Tobi »

OlliTheDarkness wrote: Fri 30. Aug 2019, 11:38

98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.
Das ist die Wahrheit!
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
User avatar
MLan
Posts: 466
Joined: Wed 20. Sep 2017, 23:05
Location: @home

Re: Authentifizierung mit Clientzertifikat

Post by MLan »

Jolinar wrote: Fri 30. Aug 2019, 09:49 Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
...
Was haltet ihr von dieser Idee?
Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.

Gruß Mlan
User avatar
stfn116
Posts: 306
Joined: Wed 9. Jan 2019, 11:43
Location: Bavaria

Re: Authentifizierung mit Clientzertifikat

Post by stfn116 »

MLan wrote: Fri 30. Aug 2019, 14:24
Jolinar wrote: Fri 30. Aug 2019, 09:49 Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
...
Was haltet ihr von dieser Idee?
Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.

Gruß Mlan
Wenn wir gerade bei Einwürfen sind.. ich wäre ja stark für eine Wireguard-Integration, sofern der Code schon valide genug ist.
:D Wer meint, Kompetenz sei teuer, möge es einmal mit Inkompetenz versuchen. Zitat: Bernd W. Klöckner. :lol:
User avatar
OlliTheDarkness
Posts: 1854
Joined: Tue 14. Aug 2018, 16:41
Location: Essen (NRW)

Re: Authentifizierung mit Clientzertifikat

Post by OlliTheDarkness »

Dann hätte ich gern noch eine Verifikation mit Fingerabdruck, Iris- und Spracherkennung.
Ein Brain Detect wäre auch noch ganz nice.

Spass bei Seite , ich find es für´s Panel einfach zu OverTuned :)
Mit freundlichen Grüßen
OlliTheDarkness

**************************************************************
Helden leben lange, Legenden sterben nie

:!: World Hack Organization :!:
**************************************************************
select name from me;
Posts: 579
Joined: Tue 9. Feb 2016, 16:44

Re: Authentifizierung mit Clientzertifikat

Post by select name from me; »

Jolinar wrote: Fri 30. Aug 2019, 11:27 Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?
Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken. ;)
Viele Grüße, Christian
User avatar
Tobi
Community Moderator
Posts: 2812
Joined: Thu 5. Jan 2017, 13:24

Re: Authentifizierung mit Clientzertifikat

Post by Tobi »

select name from me; wrote: Fri 30. Aug 2019, 16:02
Jolinar wrote: Fri 30. Aug 2019, 11:27 Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?
Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken. ;)
Genau. Nach dem neuen FIDO Standard können dafür auch Fingerabdruck Scanner von Android Phones verwendet werden. So ein Ding haben eh 4 von 5 schon in der Tasche.

Ich habe auf meiner Tastatur einen Fingerabdruck Scanner für Windows Login (Windows Hello) und Keepass. Sehr feine Sache.
Gruß,
Tobi


-----------------------------
wewoco.de
Das Forum für Reseller, Digital-Agenturen, Bildschirmarbeiter und Mäuseschubser
Post Reply