Hi an alle,
das ist eine spezielle Sicherheitsfrage und das Thema scheint auch heute noch so fremd zu sein, sodass es dafür keine eigene deutschsprachige Forum-Community zu geben scheint. Hier gibt es nicht mal eine eigene Rubrik...
Ich würde gerne im Intranet und später auch über das Internet eine Zweifaktor-Authentifizierung implementieren. Über das Wie gibt es nur wage Vorstellungen. Es sollte jedenfalls komfortabel bedienbar sein, wodurch bspw. SMS rausfällt.
Es gibt zwei Use Cases:
1. Einmal kommuniziert ein embedded Gerät mit einem Server. Das Gerät schickt Resultate an den Server.
2. Der Anwender möchte über den Browser die Resultate einsehen.
Das Konzept sieht für die Embedded-Server-Kommunikation vor, dass ein eigenes SSL-Schlüssel mit Zertifikat generiert wird. Soweit ich das verstanden habe, kriegt der Client einen privaten Key, so wie ein Zertifikat, das vom Root-Zertifikat abgeleitet ist. Der Client authentifiziert sich mit dem privaten Key und der Server verifiziert das.
Bei der Browser-Server-Kommunikation kann gleich vorgegangen werden. Hierfür musst das Client-Zertifikat über den Browser importiert werden.
Meine Frage: Ist das Konzept gut?
Muss ich das Zertifikat zwingend bei einer Authentifizierungsbehörde signieren lassen? Meine Bedenken sind, dass die ja zeitlich limitiert sind. Das wäre ein Problem, wenn die Infrastruktur eben bei verschiedenen Kunden im Intranet sitzt, wo ich mal nicht eben die Zertifikate alle 12-24 Monate aktualisieren kann (die Geräte werden über eine Firma vertrieben. Teilweise weiß ich nicht mehr wer die Kunden sind), weswegen ich gerne davon absehen würde, falls das kein Sicherheitsproblem darstellen würde.
EDIT: Mit der Webcrypto API soll ebenfalls eine Zweifaktor-Authentifizierung möglich sein. Allerdings konnte ich dazu keine praktischen Informationen finden. Weiß das jemand Bescheid?
Wie sind eure Gedanken dazu?
Danke im Voraus!
Reality
das ist eine spezielle Sicherheitsfrage und das Thema scheint auch heute noch so fremd zu sein, sodass es dafür keine eigene deutschsprachige Forum-Community zu geben scheint. Hier gibt es nicht mal eine eigene Rubrik...
Ich würde gerne im Intranet und später auch über das Internet eine Zweifaktor-Authentifizierung implementieren. Über das Wie gibt es nur wage Vorstellungen. Es sollte jedenfalls komfortabel bedienbar sein, wodurch bspw. SMS rausfällt.
Es gibt zwei Use Cases:
1. Einmal kommuniziert ein embedded Gerät mit einem Server. Das Gerät schickt Resultate an den Server.
2. Der Anwender möchte über den Browser die Resultate einsehen.
Das Konzept sieht für die Embedded-Server-Kommunikation vor, dass ein eigenes SSL-Schlüssel mit Zertifikat generiert wird. Soweit ich das verstanden habe, kriegt der Client einen privaten Key, so wie ein Zertifikat, das vom Root-Zertifikat abgeleitet ist. Der Client authentifiziert sich mit dem privaten Key und der Server verifiziert das.
Bei der Browser-Server-Kommunikation kann gleich vorgegangen werden. Hierfür musst das Client-Zertifikat über den Browser importiert werden.
Meine Frage: Ist das Konzept gut?
Muss ich das Zertifikat zwingend bei einer Authentifizierungsbehörde signieren lassen? Meine Bedenken sind, dass die ja zeitlich limitiert sind. Das wäre ein Problem, wenn die Infrastruktur eben bei verschiedenen Kunden im Intranet sitzt, wo ich mal nicht eben die Zertifikate alle 12-24 Monate aktualisieren kann (die Geräte werden über eine Firma vertrieben. Teilweise weiß ich nicht mehr wer die Kunden sind), weswegen ich gerne davon absehen würde, falls das kein Sicherheitsproblem darstellen würde.
EDIT: Mit der Webcrypto API soll ebenfalls eine Zweifaktor-Authentifizierung möglich sein. Allerdings konnte ich dazu keine praktischen Informationen finden. Weiß das jemand Bescheid?
Wie sind eure Gedanken dazu?
Danke im Voraus!
Reality