Page 1 of 2
Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 09:49
by Jolinar
Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.
Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.
Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte
Achja...Das Ganze natürlich als Option zum normalen Login...
Was haltet ihr von dieser Idee?
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 09:53
by select name from me;
Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
OTP ist schon gut. U2F oder WebAuthn per Hardware finde ich noch besser.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 10:00
by Jolinar
select name from me; wrote: ↑Fri 30. Aug 2019, 09:53
Ich persönlich finde ja 2FA wesentlich einfacher in der Anwendung.
Genau das sehe ich eben anders.
Bei der 2FA muß man zuerst die Logindaten eingeben (oder mit einem Paßwortmanager einfügen lassen) und dann noch den zweiten Code vom Handy ablesen und eintippen.
Beim Cert-Auth rufst du die Seite auf und bist drin.
select name from me; wrote: ↑Fri 30. Aug 2019, 09:53
U2F oder WebAuthn per Hardware finde ich noch besser.
Hardware-Auth finde ich auch genial...Aber die wenigsten haben einen Hardwaretoken rumliegen oder sind bereit, dafür Geld auszugeben.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 10:01
by nikko
Jolinar wrote: ↑Fri 30. Aug 2019, 09:49
Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
In dieser Hinsicht könnten wir Brüder sein
Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave. Und wenn beide Wege offen gehalten werden (z.B. mobile Nutzer) sehe ich den gewonnenen Vorteil nahezu Null.
2FA erachte ich für nicht weniger sicher.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 10:10
by Jolinar
nikko wrote: ↑Fri 30. Aug 2019, 10:01
Die Idee an sich ist gut, die Umsetzung für den DAU halte ich für bedenklich = never-ending ticket wave.
Meine erste Berührung mit der Thematik hatte ich vor einigen Jahren mit der Firma Startcom (israelische CA), wo man vor Zeiten von Let's Encrypt kostenfreie Zertifikate beziehen konnte. Bei denen kam man nur auf die Seite, wenn man das nach der Registrierung zur Verfügung gestellte Cert im Browser importiert hatte...Und obwohl das für mich zu dem Zeitpunkt noch völliges Neuland war, fand ich das Vorgehen eigentlich sehr simpel.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 11:07
by Tobi
Also "Zertifikat importieren" halte ich bei meiner Kundenstruktur für, sagen wir Mal, "problematisch bis schwierig bis hin zu unmöglich".
Wenn dann würde ich lieber auf FIDO Key setzen wollen. Das wird in naher Zukunft ohnehin Standard sein und ist keine Insellösung wie dieses Zertifikat-Import-Dingengs.
Geld für den Key geben meine Kunden wiederum sicherlich gerne aus, da dies unmittelbar die Sicherheit erhöht, leicht zu bedienen ist und darüber hinaus auch für weitere Webseiten und Programme verwendet werden kann.
Beim Zertifikat Import geht das Problem schon los wenn mehr als einer oder einer mit mehreren Computern auf das Panel zugreifen will. Fido hat man am Schlüsselbund oder man verwendet gleich sein Android-Gerät welches man ohnehin immer "am Mann" (m/w/d) hat.
Sobald das Zert ausläuft muss man das nächste importieren. Dann ist der Import schon so lange her, dass doch wieder alle anrufen.
Zert-Import ist aus meiner Sicht ne super "Nerd-Sache" aber nix für "Es-soll-einfach-nur-funktionieren-Anwender".
Da ich aber grundsätzlich nix gegen neue Vorschläge habe kann Alex das gerne umsetzten solange es nicht verpflichtend und alternativlos ist.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 11:12
by OlliTheDarkness
Jolinar wrote: ↑Fri 30. Aug 2019, 09:49
Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
Deshalb möchte ich heute mal die Möglichkeit zur Diskussion stellen, sich mittels Clientzertifikat gegenüber dem Panel zu authentifizieren.
Der Alex wird mir jetzt wahrscheinlich am liebsten den Kopf von den Schultern reißen wollen, weil die technische Umsetzung doch mit einigem Aufwand verbunden wäre (Keyhelp müßte seine eigene CA mitbringen und im Panel müßte eine Zertifikatsverwaltung etabliert werden), aber ich persönlich halte diese Option durchaus für sinnvoll, um die Serversicherheit weiter zu verbessern.
Vorteile dieser Art der Authentifizierung:
- Wegfall eines Angriffvektors...Logindaten können nicht mehr verloren/gestohlen oder anderweitig kompromittiert werden
- Verbesserung der Usability für Admins und User/Kunden, denn es sind keine Logindaten mehr nötig, um das Panel aufzurufen
- Die Gültigkeit der Zertifikate kann genau festgelegt werden
Einziger Nachteil, den ich sehe:
Der Admin bzw. User/Kunde muß das Clientzertifikat in seinen Browser importieren, was für viele ein noch ungewohnter Vorgang sein dürfte
Achja...Das Ganze natürlich als Option zum normalen Login...
Was haltet ihr von dieser Idee?
Also ich find die Idee echt klasse.
Allerdings frage ich mich ob die Idee nicht für das Panel komplett OverTuned ist wenn wir mal richtig drüber nachdenken.
Davon ab, das es für den "Endkunden" letztlich nen Aufwand ist der wieder im Support landet weil er nicht weiß wie wo warum weshalb er tun muss.
Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Davon ab das Alex, wenn er das ließt dich ans Ende der welt jagen wird
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Gruß Olli
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 11:27
by Jolinar
OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12
Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?
OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Wenn nötig, komme ich auf dein Angebot zurück.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 11:38
by OlliTheDarkness
Jolinar wrote: ↑Fri 30. Aug 2019, 11:27
OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12
Das die Idee grade von dir kommt wundert mich doch stark.
Du bist doch die Kategorie , "so einfach wie möglich / Dautauglich".
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?
OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Wenn nötig, komme ich auf dein Angebot zurück.
Ich hab fast damit gerechnet das du mit dem Argument kommst ^^
Allerdings kann ich dich da direkt bremsen, den es ist unwichtig was ich, du oder sonst wer einfacher finden.
Letztlich muss es Kundenfreundlich sein und mein Intresse Hannelore K. (85 Jahre) aus E (Name der Redaktion bekannt) zu erklären wie sie ein Cert in ihrem Browser berechtigt zu erklären (etwa 3 mal am Tag) liegt bei etwa 1%.
Davon ab, sehen wir es mal realistisch... wer gibt 3-4 mal täglich seine Daten ein ?
98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.
Ich verstehe absolut den Hintergrund deines vorschlages aber du kannst die Menschheit nicht umerziehen.
OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:12
Ich kenn da jemanden der dir günstig ne neue Identität besorgt, falls nötig.
Wenn nötig, komme ich auf dein Angebot zurück.
Alles kla
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 14:07
by Tobi
OlliTheDarkness wrote: ↑Fri 30. Aug 2019, 11:38
98% der User speichern Ihre Zugangsdaten im Browser (Traurig aber leider wahr) wodurch ein einfacher Klick reicht um die Eingabemaske gefüllt zu haben.
Das ist die Wahrheit!
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 14:24
by MLan
Jolinar wrote: ↑Fri 30. Aug 2019, 09:49
Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
...
Was haltet ihr von dieser Idee?
Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.
Gruß Mlan
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 14:41
by stfn116
MLan wrote: ↑Fri 30. Aug 2019, 14:24
Jolinar wrote: ↑Fri 30. Aug 2019, 09:49
Hallo Community,
inzwischen dürften ja einige von euch schon mitbekommen haben, daß ich etwas paranoid bin, was das Thema Sicherheit angeht.
...
Was haltet ihr von dieser Idee?
Ich würde an deiner Stelle sofort KH mit Openvpn Integration ins Feld werfen.
Gruß Mlan
Wenn wir gerade bei Einwürfen sind.. ich wäre ja stark für eine Wireguard-Integration, sofern der Code schon valide genug ist.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 14:46
by OlliTheDarkness
Dann hätte ich gern noch eine Verifikation mit Fingerabdruck, Iris- und Spracherkennung.
Ein Brain Detect wäre auch noch ganz nice.
Spass bei Seite , ich find es für´s Panel einfach zu OverTuned
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 16:02
by select name from me;
Jolinar wrote: ↑Fri 30. Aug 2019, 11:27
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?
Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken.
Re: Authentifizierung mit Clientzertifikat
Posted: Fri 30. Aug 2019, 16:23
by Tobi
select name from me; wrote: ↑Fri 30. Aug 2019, 16:02
Jolinar wrote: ↑Fri 30. Aug 2019, 11:27
Was findest du einfacher, 3-4 mal täglich Logindaten und 2FA-Code in die Loginmaske einfügen oder alle 2-3 Monate ein neues Cert in den Browser importieren...?
Die blinkende Taste an meinem U2F Stick (für ca. 6 - 20 Euro) drücken.
Genau. Nach dem neuen FIDO Standard können dafür auch Fingerabdruck Scanner von Android Phones verwendet werden. So ein Ding haben eh 4 von 5 schon in der Tasche.
Ich habe auf meiner Tastatur einen Fingerabdruck Scanner für Windows Login (Windows Hello) und Keepass. Sehr feine Sache.