2FA: Welches Token soll man nehmen, Soft- oder Hardware?

Moin,

ein beruflicher eMail-Account soll künftig mit einer Zwei-Faktor-Authentifizierung (2FA) gesichert werden, wobei kein Smartphone zur Verfügung steht. Der Zugriff auf die Mails erfolgt zuhause am Laptop, manchmal unterwegs auf dem Tablett oder auch mal von PCs aus die an verschiedenen Arbeitsorten zur Verfügung stehen (alles windowsbasiert). Ob dort ein eigenen „user“ zur Verfügung steht oder ob sich da jeder gleich anmeldet ist mir nicht bekannt.

Man kann sich als „Token“ entweder ein Authentifizierungprogramm aussuchen oder einen"USB-Stick". Was soll man wählen?
Das Tablett immer rumzuschleppen ist keine Option. Auf allen Geräten ein Authentifizierungprogramm zu installieren - und zwar auf demselben Gerät mit dem man sich dann mit dem eMail-Account anmeldet - erscheint mir irgendwie sehr wenig nach „Zwei-Faktor“. Außerdem weiß ich gar nicht ob man mehrere dieser Programme gleichzeitig aktivieren kann.

Wie funktioniert eigentlich so ein USB-Token? Wäre das hier nicht am besten geeignet? Das sollte doch an den ganz unterschiedlichen Geräten funktionieren und passt an den Schlüsselbund, oder?!

Ich weiß, die Informationen sind leider etwas mager, aber vielleicht hat ja doch jemand einen Tipp. Herzlichen Dank

VG
J~

Hi @j_tilde,

ich hatte mal so einen Token, den ich am Schlüsselbund herumtragen konnte (war circa 5 cm lang). Das war echt praktisch. Er hat alle 30 Sekunden einen neuen achtstelligen Tokencode angezeigt, den ich dann - zusammen mit meinem Usernamen und meinem Passwort - in dem jeweiligen Account zur Verifizierung eingetragen habe. Und schon war ich angemeldet.
Die Technik dahinter kann ich Dir leider nicht erklären.
Aber so sah er aus. Auf der Rückseite ist das Datum eingetragen, an der abläuft und keine weiteren Codes mehr produziert.

Aber ich gehe davon aus, dass Du heutzutage vermutlich eher einen Authenticator in Form eines USB-Sticks bekommst, oder?

Schöne Grüße
Stefanie

Im Grunde verschlüsselt das Hardware-Token die aktuelle Uhrzeit, zeigt dir diese verschlüsselten Daten an, und und du tippst sie ein. Der Server weiß, welches Token du hast, und wie genau dessen Daten zu entschlüsseln sind. Damit kann der Server prüfen, dass du nicht nur deinen Benutzernamen kennst, sondern auch das Token in der Hand hast. Und weil in den Daten die Uhrzeit steckt, weiß der Server auch, dass das ein frischer Code ist, und keiner, den irgendwer mal irgendwo aufgeschnappt hat und jetzt ausprobiert. Der Vorteil ist, dass das Verfahren ohne ein Passwort auskommt, das irgendwie eingegeben und übertragen werden müsste. (Dass du ein zusätzliches Passwort eingeben musst, hat damit wenig zu tun)
Das setzt natürlich voraus, dass die Uhrzeit im Token auch stimmt.

Übrigens setzt DHL sowas bei den Packstationen innerhalb der App ein. Ist aber ganz großer Mist, denn wenn das Handy entsperrt ist, kann man die App öffnen, den Code direkt von der Packstation einscannen lassen, und die Sendungen entnehmen. Ein Handy-Dieb muss also nur das Handy entsperren können…

Zur eigentlichen Frage:

Das Hardware-Token hat den Vorteil, dass keinerlei technische Anforderungen an den Rechner bestehen, an dem man sich einloggen will, man muss halt nur ne Zahl eintippen. Dafür hat man aber ein zusätzliches Gerät dabei.

Auch ne Handy-App hat keine weitere Anforderungen an den Rechner. Allerdings braucht man dazu eben ein Handy.

Ein USB-Token muss in den Rechner eingesteckt werden, kann also schonmal nicht einfach so am Handy oder Tablet genutzt werden. Dann braucht es sicherlich nen Treiber, den ein Windows ggf. schon mitbringt. Das Problem hier: Wenn man bei einem Kunden ist, und dort mit nem Gastzugang auf dessen PCs auf seine Emails zugreifen will, kann es gut sein, dass der USB-Stick dort nicht funktioniert.

So ganz verstehe ich noch nicht die Aufgabenstellung. Normalerweise wird so eine Lösung doch vom Unternehmen vorgegeben und der einzelne User hat hier keine großen Auswahlmöglichkeiten. Geht es hier nur um einen einzelnen Freiberufler? Und was hat es mit „kein Smartphone“ auf sich? Ist nur aktuell keins vorhanden/gewünscht, oder darf dieses vor Ort nicht eingesetzt werden? Denn in der Tat wären der Google Authenticator und Co. eine einfache und kostengünstige Lösung (selbst wenn man die Kosten für ein günstiges Smartphone einrechnet.

Was steht denn auf Serverseite so zur Verfügung? Reden wir hier nur von einem Konto bei einem der großen Anbieter wie GMX und Co.? Oder gibt es da bereits eine größere eigene Infrastruktur mit eigenem Mailserver und Co. wo man beliebige Dinge aufsatteln kann. Denn wenn wir von GMX und Co. sprechen, dann nützt die Freiheit sich „etwas aussuchen zu dürfen“ nichts, da man dann nehmen muss, was die andere Seite auch unterstützt.

Fido2 wäre der aktuelle Standard für kleine Hardware-Tokens, die von zunehmend vielen Webdiensten unterstützt werden. Der setzt aber immer eine entsprechende Schnittstelle auf dem anderen Gerät voraus. D.h. klassisch USB, es gibt aber auch Geräte, die per BT oder NFC arbeiten. Das Problem sind hier dann die „Kundenrechner“, die ggf. entsprechende Schnittstellen nicht zur Verfügung stellen/gesperrt haben. Und schon am Tablet wird es mit USB problematisch, weil die Sticks natürlich normalerweise USB-A haben, und man dann immer ein OTG-Kabel mit Micro-USB oder USB-C zusätzlich braucht (zumindest unterstützen die Dinger AFAIR OTG).

Vollkommen von der Hardware und einem Smartphone unabhängig wären tatsächlich nur Lösungen wie RSA SecurID und Co. die dann aber natürlich nicht ganz billig sind, und eine eigene Infrastruktur benötigen, also nicht für GMX und Co. geeignet sind, wenn nicht ein Anbieter ausdrücklich (und dann sicher auch nicht ganz billig), diese Lösung unterstützt.

Ganz ehrlich: Mich erinnert die Frage an längst vergangene Zeiten, in denen ich auch tatsächlich so ein RSA-Token hatte, bevor man mir den ersten Blackberry in die Hand drückte, der nicht nur Pushmail sondern eben auch eine OTP (One-Time-Password) App hatte, um sich sicher per Kunden-PC ins VPN und zum Outlook Web Access des firmeneigenen Exchange-Servers zu verbinden. Meine Frau hatte so ein Teil sogar noch bis vorletztes Jahr zu diesem Zweck im Einsatz. Heute hat doch eigentlich jeder Hinz und Kunz ein Smartphone und kann Google Autenticator und Co. ohne jegliche zusätzliche Kosten und zusätzliche Hardware nutzen.

Moin und danke für eure Antworten

Ehrlich gesagt weiß ich das gar nicht genau. Ich dachte an so einen USB-Stick, aber vielleicht ist auch so ein Zahlengenerator wie deiner gemeint? Mal sehen, ob ich das noch herausfinde.

Das könnte daran liegen, dass ich sie selbst noch nicht abschließend verstanden habe

Normalerweise wird so eine Lösung doch vom Unternehmen vorgegeben und der einzelne User hat hier keine großen Auswahlmöglichkeiten.

Doch es gibt eine Auswahlmöglichkeit, allerdings scheint mir, ist der zuständige Mitarbeiter etwas überfordert und weiß selbst nicht so recht

Geht es hier nur um einen einzelnen Freiberufler? Und was hat es mit „kein Smartphone“ auf sich?

Nein, kein Selbstständiger. Und es bedeutet, dass für die 2FA dem Benutzer kein Smartphone zur Verfügung steht. Das System akzeptiert das schon.

Was steht denn auf Serverseite so zur Verfügung? Reden wir hier nur von einem Konto bei einem der großen Anbieter wie GMX und Co.? Oder gibt es da bereits eine größere eigene Infrastruktur mit eigenem Mailserver und Co. wo man beliebige Dinge aufsatteln kann.

Ähm, ich bin überfragt. Nee, kein eMail-Account bei gmx, meintest du das? Ein Unternehmenszugang, aber keine Ahnung, wer den technisch umsetzt. Aber machen kann man da nix, das wird vorgegeben.

Und schon am Tablet wird es mit USB problematisch, weil die Sticks natürlich normalerweise USB-A haben, und man dann immer ein OTG-Kabel mit Micro-USB oder USB-C zusätzlich braucht (zumindest unterstützen die Dinger AFAIR OTG).

Ah, OK. Ich glaube, es sind MS Surfaces im Einsatz. Aber frag mich nicht welches Modell genau und welche Art USB-Anschluß das Ding hat. Aber danke für den Hinweis, ich prüfe das mal.

Viele Grüße!
J~