Jump to content

Microsoft Virtual Smartcard Sicherheit


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hi,

 

wie meinst Du 'nur den Laptop und die PIN'? Das ist der Sinn von 2-Faktor Authentifizierung. Nicht anders bei SmartCards o.ä.

 

Sicherheit ist im Kontext Deines angestrebten Sicherheitsniveaus zu bewerten. Grundsätzlich ist vSC mit TPM durchaus als 'sicher' zu bewerten, siehe dazu jedoch den ersten Satz dieses Absatzes.

 

Wie lauten Deine Anforderungen?

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

Anforderungen sind derzeit nicht vorhanden. Ich schaue mir das Thema erstmal nur an.

 

Bei Smartcards habe ich ja noch den Vorteil, diese vom Gerät zu entfernen. Ob nun jeder die Smartcard getrennt vom Gerät aufbewahrt, sei mal dahingestellt.

 

Bei den virtuellen habe ich das Bedenken, dass die Pin schneller abgefischt wird als eventuell ein Windows Kennwort. Jedenfalls bei einfachen Zahlenpins.

 

Vorteil von den virtuellen sehe ich derzeit bei SingleSignOn für einige Produkte

bearbeitet von StefanWe
Link zu diesem Kommentar

Hi Stefan,

 

je nach Benutzer kann die Trennung vom Gerät gut oder schlecht sein. :)

 

Im Ernst: meiner Erfahrung nach hat es Sinn, Sicherheitstechnik so einfach wie möglich zu gestalten, damit es von den Benutzern angenommen wird. Bei vSC ist das m.E. der Fall.

 

Sofern schon eine SC Infrastruktur vorhanden ist, kann auch eine Trennung der Sicherheitslevel pro Dienst sinnvoll sein. Etwa vSC für alle "normalen" Authentifizierungen (gegen Applikationen, Webinterfaces usw.) und eine normale SC für Signaturen, Server Zugriffe usw. Gerade wenn die SC nicht nur IT-technisch relevant ist, sondern auch Zutrittssysteme steuert usw., kann der business case sehr verschieden aussehen.

 

Daher meine Rückfrage zu Deinen Anforderungen. Je genauer Du weißt, wohin Du mittelfristig möchtest, umso besser lassen sich die verschiedenen Modelle eruieren, anpassen, vermischen usw.

 

Viele Grüße

olc

Link zu diesem Kommentar

Hi,

 

afaik sind die vSC und die PIN an das Gerät gebunden. Daher würde einem Angreifer die PIN ohne das Gerät nicht viel nützen.

 

Hi Necron,

 

danke für die Info. Im schlimmsten Fall hat der "Dieb" das Gerät geklaut und konnte im Vorfeld die PIN einsehen. So hätte er Zugriff auf die Daten.

 

Bei "externen" Smartcards müsste er sich zusätzlich zum Gerät noch die Smartcard beschaffen. Vorausgesetzt der Eigentümer des Geräts bewahrt diese getrennt auf.

 

Aber ich muss olc Recht geben, die Leute wollen Security so einfach wie möglich haben. Daher habe ich in der Vergangenheit immer wieder erlebt, dass die Smartcard einfach im PC stecken bleibt.

 

 

@olc: Wie gesagt, zur Zeit informiere ich mich nur über das Thema. Eine Anforderung existiert derzeit nicht.

 

Ich stelle mir aber gerade noch die Frage: Welchen Sicherheitsvorteil der Einsatz der (virtual) Smartcard gegenüber der Windows Authentifizierung hat.

 

Verwende ich bei der (virtual) Smartcard eine entsprechend starke PIN, könnte ich ja direkt bei Windows Authentifizierung mit einem starken Kennwort bleiben. 

Oder übersehe ich etwas?

Link zu diesem Kommentar

Hi,

 

hast Du zwei Accounts hier im Forum?

 

@olc: Wie gesagt, zur Zeit informiere ich mich nur über das Thema. Eine Anforderung existiert derzeit nicht.

 

Das hab ich verstanden. :) Meine Antwort bleibt jedoch: eine sinnvolle Antwort gibt es nur mit sinnvollen Anforderungen. Daher habe ich oben auch ein, zwei Varianten beschrieben, die das Szenario verändern und unterschiedliche Anforderungen spiegeln. Das hilft hoffentlich auch ein wenig weiter im Gedankenspiel?

 

 

Ich stelle mir aber gerade noch die Frage: Welchen Sicherheitsvorteil der Einsatz der (virtual) Smartcard gegenüber der Windows Authentifizierung hat.

 

Verwende ich bei der (virtual) Smartcard eine entsprechend starke PIN, könnte ich ja direkt bei Windows Authentifizierung mit einem starken Kennwort bleiben. 

Oder übersehe ich etwas?

 

Die vSC ist an das Gerät gebunden (TPM). Ein Kennwort kann überall verwendet werden, also auch bei Remote Zugriffen. 2-Faktoren eben: etwas, was Du hast (oder was Du bist) und etwas, was Du weißt.

 

Viele Grüße

olc

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...