Authentifizierung mit Clientzertifikat

[Jolinar]

Hallo Community,

inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.

Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.

Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte

Achja...Das Ganze natürlich als Option zum normalen Login...

Was haltet ihr von dieser Idee?

[select name from me;]

Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
OTP ist schon gut. U2F oder WebAuthn per Hardware finde ich noch besser.

[Jolinar]

Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.

Genau das sehe ich eben anders.
Bei der 2FA muß man zuerst die Logindaten eingeben (oder mit einem Paßwortmanager einfügen lassen) und dann noch den zweiten Code vom Handy ablesen und eintippen.
Beim Cert-Auth rufst du die Seite auf und bist drin.

U2F oder WebAuthn per Hardware finde ich noch besser.

Hardware-Auth finde ich auch genial...Aber die wenigsten haben einen Hardwaretoken rumliegen oder sind bereit, dafür Geld auszugeben.

[nikko]

Hallo Community,

inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.

In dieser Hinsicht könnten wir Brüder sein

Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave. Und wenn beide Wege offen gehalten werden (z.B. mobile Nutzer) sehe ich den gewonnenen Vorteil nahezu Null.
2FA erachte ich für nicht weniger sicher.

[Jolinar]

Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave.

Meine erste Berührung mit der Thematik hatte ich vor einigen Jahren mit der Firma Startcom (israelische CA), wo man vor Zeiten von Let's Encrypt kostenfreie Zertifikate beziehen konnte. Bei denen kam man nur auf die Seite, wenn man das nach der Registrierung zur Verfügung gestellte Cert im Browser importiert hatte...Und obwohl das für mich zu dem Zeitpunkt noch völliges Neuland war, fand ich das Vorgehen eigentlich sehr simpel.

[Tobi]

Also "Zertifikat importieren" halte ich bei meiner Kundenstruktur für, sagen wir Mal, "problematisch bis schwierig bis hin zu unmöglich".

Wenn dann würde ich lieber auf FIDO Key setzen wollen. Das wird in naher Zukunft ohnehin Standard sein und ist keine Insellösung wie dieses Zertifikat-Import-Dingengs.

Geld für den Key geben meine Kunden wiederum sicherlich gerne aus, da dies unmittelbar die Sicherheit erhöht, leicht zu bedienen ist und darüber hinaus auch für weitere Webseiten und Programme verwendet werden kann.

Beim Zertifikat Import geht das Problem schon los wenn mehr als einer oder einer mit mehreren Computern auf das Panel zugreifen will. Fido hat man am Schlüsselbund oder man verwendet gleich sein Android-Gerät welches man ohnehin immer "am Mann" (m/w/d) hat.

Sobald das Zert ausläuft muss man das nächste importieren. Dann ist der Import schon so lange her, dass doch wieder alle anrufen.

Zert-Import ist aus meiner Sicht ne super "Nerd-Sache" aber nix für "Es-soll-einfach-nur-funktionieren-Anwender".

Da ich aber grundsätzlich nix gegen neue Vorschläge habe kann Alex das gerne umsetzten solange es nicht verpflichtend und alternativlos ist.

[OlliTheDarkness]

Hallo Community,

inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.

Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.

Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte

Achja...Das Ganze natürlich als Option zum normalen Login...

Was haltet ihr von dieser Idee?

Also ich find die Idee echt klasse.
Allerdings frage ich mich ob die Idee nicht für das Panel komplett OverTuned ist wenn wir mal richtig drüber nachdenken.
Davon ab, das es für den "Endkunden" letztlich nen Aufwand ist der wieder im Support landet weil er nicht weiß wie wo warum weshalb er tun muss.
Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Davon ab das Alex, wenn er das ließt dich ans Ende der welt jagen wird
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.

Gruß Olli

[Jolinar]

Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".

Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?

Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.

Wenn nötig, komme ich auf dein Angebot zurück.

[OlliTheDarkness]

Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".

Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?

Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.

Wenn nötig, komme ich auf dein Angebot zurück.

Ich hab fast damit gerechnet das du mit dem Argument kommst ^^

Allerdings kann ich dich da direkt bremsen, den es ist unwichtig was ich, du oder sonst wer einfacher finden.

Letztlich muss es Kundenfreundlich sein und mein Intresse Hannelore K. (85 Jahre) aus E (Name der Redaktion bekannt) zu erklären wie sie ein Cert in ihrem Browser berechtigt zu erklären (etwa 3 mal am Tag) liegt bei etwa 1%.

Davon ab, sehen wir es mal realistisch... wer gibt 3-4 mal täglich seine Daten ein ?
98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.

Ich verstehe absolut den Hintergrund deines vorschlages aber du kannst die Menschheit nicht umerziehen.

Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.

Wenn nötig, komme ich auf dein Angebot zurück.


Alles kla

[Tobi]

98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.

Das ist die Wahrheit!

[MLan]

Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
...
Was haltet ihr von dieser Idee?

Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.

Gruß Mlan

[stfn116]

Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
...
Was haltet ihr von dieser Idee?

Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.

Gruß Mlan

Wenn wir gerade bei Einwürfen sind.. ich wäre ja stark für eine Wireguard-Integration, sofern der Code schon valide genug ist.

[OlliTheDarkness]

Dann hätte ich gern noch eine Verifikation mit Fingerabdruck, Iris- und Spracherkennung.
Ein Brain Detect wäre auch noch ganz nice.

Spass bei Seite , ich find es für´s Panel einfach zu OverTuned

[select name from me;]

Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?

Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken.

[Tobi]

Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?

Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken.

Genau. Nach dem neuen FIDO Standard können dafür auch Fingerabdruck Scanner von Android Phones verwendet werden. So ein Ding haben eh 4 von 5 schon in der Tasche.

Ich habe auf meiner Tastatur einen Fingerabdruck Scanner für Windows Login (Windows Hello) und Keepass. Sehr feine Sache.