Login 2 Faktor

[OnDemand]

Hi,

ich möchte in meine Vaadin App eine 2 Faktor Authentifizierung einbauen. Aber nicht mit QR und jedesmal Handy, das ist zu nervig für User. Ich dachte eher daran, dass ein Code per Mail kommt, wenn man sich von einem neuen Gerät aus anmeldet.

Bei einer Desktopanwendung könnte man die MAC Adresse irgendwie nutzen. Sobald er sich von einer anderen anmeldet > Zusatzcode nötig der per Mail kommt.

Aber wie könnte man das am elegantesten mit einer Vaadin Webapp lösen?

 

[mrBrown]

ich würde einfach auf sowas wie Google Authenticator (die genutzte App ist ja egal, dürfte aber das bekannteste sein) setzen, irgendwelche selbst gebastelten Lösungen sind nahezu immer schlechter.

(In dem Sinne: Mac-Adresse ist nicht wirklich ein geheimer Faktor und einfach manipulierbar. Und was für Nutzer hast du, dass auf neuen Geräten Zugriff auf Mails einfacher ist, als aufs Handy, vor allem da Zugriff auf Mails meistens schon einen zweiten Faktor braucht?)

 

[OnDemand]

Die Nutzer sind zu 99% im Büro und haben keine Diensttelefone, möchten oder dürfen private Geräte nicht nutzen.

Daher die Idee, dass ein Code auf die Dienstmail kommt, sobald man sich von einem anderen Gerät anmeldet. IP geht leider auch nicht, die ist nicht statisch

 

[Gelöschtes Mitglied 65838]

(In dem Sinne: Mac-Adresse ist nicht wirklich ein geheimer Faktor und einfach manipulierbar. Und was für Nutzer hast du, dass auf neuen Geräten Zugriff auf Mails einfacher ist, als aufs Handy, vor allem da Zugriff auf Mails meistens schon einen zweiten Faktor braucht?)

soweit ich das von cisco verstanden habe

verwenden die die mac adresse um einen login "sicherer" zu machen dh falls der login und das passwort von genau der mac adresse kommt die eingetragen ist nur dann darf man sich einloggen

wenn die richtige anmeldung von einem anderen gerät kommt wirds trotzdem abgelehnt

ob das jetzt hilfreich für nico ist weis ich nicht

 

[thecain]

Wenn es für das professionelle Umfeld ist wäre evtl SSO mit SAML o.ä. eine Option?

Je nachdem was halt schon für eine Infrastruktur besteht.

 

[OnDemand]

Die MAC Adresse ist da aber auch so eine Sache, die fällgt unter DSGVO (in manchen Meinungen) Ist also ein persönliches Datum, braucht wieder Zustimmung bla.

SMS mit Code senden wäre ja ähnlich wie das mit der Email senden.

@thecain SSO SAML joa klingt spannend schau ich mir auch mal an. Werd morgen mal horchen wer alles ein Tablet hat. Da kann ja die Auth App auch drauf, braucht ja keine SIM. Dann wäre es ja dann doch der einfachste Weg.

 

[thecain]

Oder auf einen Drittanbieter ausweichen, z.B. https://auth0.com/de

 

[Oneixee5]

Oder auf einen Drittanbieter ausweichen, z.B. https://auth0.com/de

Wir verwenden auch gern: https://www.okta.com/