Ich nutze den Rockey4ND. Da hat man mehrere Möglichkeiten zur Verifizierung:
- Eine fixe Seriennummer
- Eine programmierbare ID
- Die Möglichkeit, einfache Rechnungen zu programmieren und dann mit verschiedenen Werten durchzuführen
- Einen 1k RAM
- Enen Zufallsgenerator

Es gibt einige Fragen, die man vorher klären sollte:
- Wie soll sich die Anwendung verhalten, wenn der Key abgezogen wird?
- Gibt es verschiedene Level der Rechte, also z.B. Start des Programms erfordert Passwort, Programmierung erfordert zusätzlich Dongle, oder gibt's 'nur' Dongle + PW?
- Soll es nur einen Dongle, eine fest Anzahl von Dongles oder eine beliebige Anzahl von Dongles geben können?

Ansonsten ist das eigentliche Programmieren, wie so oft, wenn klar ist, was man genau will, (zumindest mit dem Rockey) kein wirkliches Problem.

Tomy

Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".


Ist der Ähnlich wie Wibu? Die haben wir bei einigen im Einsatz. Aufwendig ist aber, dass bei jeder Änderung die Programmdatei, etc. neu verpackt werden muss und man den Masterkey dabei haben muss. Das macht Änderungen beim Kunden vor Ort aufwendig und teuer wegen den Masterkeys.


- Konfiguration/Logbuch wird dann geschlossen
- Programm startet auch ohne Anmeldung. Anmeldung ist nur für Konfigurationsanpassung oder Aufruf vom Logbuch notwendig.
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.

Wenn der USB-Stick keine physische Aktion bedingt, was bei YubiKey aber nötig sein kann,
könnte man auch eine USB-Weiterleitung verwenden. Virtueller USB-Port und dann lokal via LAN, VPN oder Dergleichen den echten USB-Stick irgendwo anders.

Ähnlich wie mit den neuen USB-Keys für Signierungen.

Ohwei.
Fan sein wollen, aber keine Ahnung haben, wie sowas in der Praxis ausschaut.

Der YubiKey selber hat zwar eine Touch-Fläche, die ist aber KEIN Fingerprint-Sensor. Die ist ausschließlich dafür da, dass der Key eine Benutzerinteraktion bestätigen kann. (Okay, es gibt YubiKey Bio Series mit Fingerprint-Sensor, da kostet ein einzelner aber > 90 € und die sind offenbar nicht so sicher wie die ohne, weil die ohne haben eine Zertifizierung für Behörden bekommen, die mit dem Sensor nicht, das spricht meines Erachtens Bände...).

Die Idee ist, dass der Key stecken bleiben kann, aber eine Authentifizierung am Bildschirm sagt: "Wenn Du wirklich willst, dann berühre jetzt den Stick..." - und technisch steht eigentlich dahinter ("... Damit Du Dein Passwort nicht eingeben musst.") - und wenn der User das nicht macht, passiert auch nix. Wenn der aber seinen Stick vergisst, ist es dem Yubikey an sich vollkommen wurscht, WER da die Touchfläche berührt. Deswegen sind die meisten OS-Integrationen von FIDO auch so implementiert, dass der User zu dem Stick auch nochmal eine PIN eingeben muss.

Kurzum: Yubikeys SIND cool. Keine Frage. Aber auch teuer (die alten fangen bei 25€ das Stück an, die aktuellen bei 50).
Der Kollege aus der QS beim Kunden darf gerne mal bei uns in eines unserer Webinare zu FIDO reinschauen: https://www.youtube.com/watch?v=_2i9ucyeveM, von einem Ex-Kollegen, was die Keys eigentlich machen sollen.

Wenn er es sicher will, dann ist es relativ egal, ob der zweite Faktor ein physikalisch beim Benutzer verorteter Yubikey oder eine RFID-Karte ist.
Benutzer kennt sein Passwort (Faktor 1) und hat sein Hardware-Stück dabei (Key oder Karte, Faktor 2) -> Drin.
Die Frage ist dann letzten Endes nur eine des Preises. Das würde ich beim Kunden auch bewusst eine Stufe über der QS aufhängen, weil wenn dem sein Chef raus bekommt das es statt für 50+ Euro pro Benutzer auch genauso sicher mit ein paar Cent für ne RFID-Karte gegangen wäre, die die Benutzer ggf. eh schon haben... , dann ist die Sache Betriebswirtschaftlich sehr schnell geregelt.

Wir haben das bei uns heute morgen in unserer Besprechung auch so gesehen, das der aus der Qualitätssicherung keine Ahnung hat, aber sich wichtig macht.

Für eine rein lokale Desktopanwendung macht das mit dem Jubikey so keinen Sinn, da der Kunde von Wunschdenken ausgeht. Ohne einem Fingerprint Sensor sehen wir bei uns derzeit keinen Vorteil gebenüber einer RFID Karte. Beides kann von unberechtigten verwendet werden. Da ist es egal, ob USB Stick oder Karte. Fidu2 hört sich zwar interessant an, aber auch hier ist keine "Diebstahlsicherung" vorhanden, wenn kein Fingerprint oder anderes biometische Kennzeichen mit verwendet wird.

Der bekommt jetzt eine Kombinationslösung angeboten. Fingerprint und Gesichtserkennung. Wenn der Mitarbeiter vom Terminal weggeht oder sich wegdreht und das Gesicht nicht mehr erkannt wird, wird das Terminal der Steuerung gesperrt. Ist ein Zukaufteil, wo wir nur den API Aufurf anstelle der Kennwortabfrage einbinden.

Interessehalber:
- Habt Ihr schon so ein konkretes Teil getestet, das zuverlässig funktioniert, könntest Du da etwas empfehlen?
- Was macht man damit, wenn die Biometrik mal aus irgend einem Grund versagt, gibt es einen zweiten Zugangsweg?
Wäre so ein 2ter Zugangsweg nicht automatisch wieder genauso unsicher wie vorher?

Wenn die Biometrik ausfällt gibt es einen Ersatzzugang. Hierfür braucht man aber einen entsprechend registrierten PC/Notebook, da ansonsten die Verschlüsselung nicht funktioniert.

Das System was wir verwenden dürfen arbeitet mit einer normalen Kamera und Wärmebildkamera um Lebendobjekte zu prüfen. Lt. Vertriebsvereinbarung können wir das nur unter eigenem Namen und für eigene Systeme verwenden, daher keine Empfehlung.

Ok, verstehe.

Du arbeitest also entweder für Fort Knox oder Area 51
Beneidenswert

Bei den Karten kommt es dann auch nochmal drauf an.

Nur die Serial als Authentifizierung kann prinzipiell kopiert werden, wenn jemand kurz in die Nähe der Karte kommt.
Es lassen sich karten Simulieren, aber man kann auch aus China "inoffiziell" Karten bekommen, wo noch keine Serial eingebrannt ist, was man dann selbst nachholen kann, mit der kopierten Nummer.

Es gibt auch noch Karten mit einer Sicherheitsfunktion, wie z.B. Mifare DESFire, wo im Chip "versteckt" ein Schlüssel abgelegt werden kann, welcher bei der Authentifizierung für eine Berechnung genutzt werden kann, innerhalb der Karte.
Die Karte bekommt einen beliebigen Wert, verrechnet ihn mit dem Schlüssel, gibt das Ergebnis raus, das Programm macht das ebenfalls und vergleicht die Ergebnisse. (ja, für genug Geld und wenn dabei die Karte kaputtgehen darf, lässt sich auch dieser Schlüssel auslesen)

Und man kann es auch übertreiben und noch besserere Karten besorgen.


Es gibt auch nette USB-Fingerabdruckdinger, oder man könnte versuchen das Windows Hallo (Fingerabduck, Gesicht, RFIDkarte, oder ...) zu nutzen.
Ich hab hier auch einen, den man via Serial (oder USB ähhh Arduino) einbinden kann. Mit dem Fingerabdruck wird ein "Wert" verbunden, oder man kann die Fingerabdruckdaten selbst (also die kodierten "Merkmale") nutzen (jedes Mal wenn "neu" registriert wird, sind die anders) oder auch wirklich ein Image des Fingerabdrucks (bieten nicht alle Fingerprint-Reader und ich würde es auch nicht empfehlen).
Ja, da man die "kodierten Merkmale" auslesen und kopieren könnte oder sich auch in die Kommunikation mit dem PC einschleusen kann (wenn man physisch ans USB-Kabel ran kommt, bzw. ein Fake-USB-Gerät ansteckt),
aber auch beim YubiKey käme man eventuell ans USB-Kabel, z.B. eines Verlängerungskabels oder im PC bei den Frontusb ans Kabel und könnte eine Fake bzw. Reader zwischenschalten.
usw.

Fazit: Wenn man es genau nimmt, ist eigentlich NICHTS 100% sicher.

Wir haben leider auch genug Kunden in der Branche.

Das eigentliche Problem ist nämlich, dass an dem Rechner immer, 24/7, ein technischer User angemeldet ist und dort immer eine Instanz der Software läuft.

Das ist der einzige Grund, warum sich der Benutzer überhaupt in der eigentlichen Anwendung anmelden muss, denn ansonsten könnte man sich dort "einfach" auf die Windows-Authentifizierung verlassen und den Windows-User verwenden.

Aber dann müsste sich der User ja wieder von Windows abmelden, der neue Anmelden, warten bis die Software unter seinem Account neu gestartet wurde und kann dann erst loslegen.
Das ist aus irgendwelchen Gründen meist nicht gewollt.