Zugängliche Lösungen für eine Zwei-Faktor-Authentifizierung

Aus besondere tipps
Wechseln zu: Navigation, Suche

Zusammenfassung[Bearbeiten]

Dieser Tipp Beschreibt Lösungen für Barrieren, die beim an einem System oder netzwerk bei der Überprüfung des Benutzers entstehen können. Falls Sie sich bei all Ihren Systemen und Anwendungen ohne Probleme anmelden können, ist dieser tipp für Sie derzeit nicht relevant. Die zentrale Aussage des Tipps ist: "Es gibt vermutlich für eine unzugängliche Authentifizierung eine Lösung, aber sie muss von Administrator des Systems umgesetzt bzw. gekauft werden."

Hintergrund[Bearbeiten]

Um die Identität eines Benutzers sicher überprüfen zu können, reicht ein Passwort alleine mittlerweile nicht mehr aus. Viele Anwendungen, Netzwerke etc. bestehen daher auf eine erhöhte Sicherheit bei der Anmeldung. Hierfür wird neben einem Passwort der Besitz einer Hardware überprüft. Die Authentifizierung besteht also aus den Faktoren Wissen (das Passwort) und haben (Die Hardware).

Unterbestimmten Bedingungen, kann hier eine Hardware erforderlich sein, die blind nicht bedient bzw. ausgelesen werden kann.

Dieser Tipp beschreibt mögliche Lösungen für solche Situationen.

Barriere RSA-Token[Bearbeiten]

Konkret geht es bei der problematischen hardware um sog. SecurityID Tokens der Firma RSA https://www.rsa.com/de-de/products-services/identity-access-management/securid 'Diese sind so konzipiert, dass auf ihrem Display etwa alle 60 Sekunden ein code angezeigt wird. dieser muss vom Anwender innerhalb dieser zeit bei der Anmeldung am System angegeben werden, um den Besitz der Hardware zu beweisen. Das Display ist ziemlich klein, und es gibt keine Sprachausgabe oder andere akustische Ausgaben. Diese Tokens haben bewusst keinerlei Anschlussmöglichkeit an den PC und können daher von blinden Menschen nicht ausgelesen werden. Das Vorlesen durch eine Hilfsperson ist eigentlich rechlich problematisch, da diese Tokens eigentlich gut verwahrt und vor dem Zugriff durch dritte geschützt werden sollen.

Leider legt der Betreiber des Systems, an dem man sich anmelden will, die Infrastruktur und damit auch die mögliche Hardware für die Authentifizierung fest. Es nützt also nichts, an einem System für SecureID-Tokens eine anmeldung via Smartcard zu versuchen.

Lösung für RSA-SecurID Tukens[Bearbeiten]

In jedem Fall kann die mögliche Lösung nur mit dem Administrator des Systems erfolgen, bei dem man sich anmelden möchte. Die gültigen tokens müssen von diesem bei RSA gekauft und für das System registriert werden. Aber es hilft sicher, hier konkrete Lösungen vorschlagen zu können.

Andere bekannte und zugängliche Lösungen[Bearbeiten]

Smartcards[Bearbeiten]

Windows Unterstützt die Verwendung von Smartcard-Lesern ohne eigene Pineingabe für die anmeldung an einer Domäne. Man steckt also lediglich eine Karte in einen Leser und meldet sich mit einer Pin über die Tastatur des PCs an. Hier gibt es keine Probleme mit der Zugänglichkeit (Abgesehen davon, dass einige Screenreader den Anmeldedialog von Windows manchmal nicht vorlesen).

Nitrokey[Bearbeiten]

Die Produkte der Firma Nitrokey http://www.nitrokey.com sind grundsätzlich zugänglich. Es handelt sich um eine Art USB-Dongle. Die QT-Software, mit der man Einmalpasswörter generiert ist allerdings etwas unzugänglich bzw. es fehlt die korrekte Beschriftung der Steuerelemente.