Fingerabdruck Domänen-Anmeldung Server 2008/W7

[guge 10]

Hallo!

 

Mir ist bekannt das es den Microsoft Fingerprint Reader gab - funktionierte allerdings nicht mit der Domäne und war wohl auch nicht so sicher und wird von MS für W7 gar nicht mehr unterstützt...

 

Inzwischen sind schon wieder ein paar Jahre in's Land gegangen und ich soll für die neue - bei uns kommende - Windows Server 2008/Windows 7 Generation das im Hause realisieren.

 

Es gibt wohl von Bromba Bromba Biometrics - UPEK EikonTouch 700 Reader eine Lösung mit dem Upek Lesegerät. Das gibt es auch einzeln bzw. mit eigener Software "Upek Eikon Digital Privacy Manager".

Cherry hat auch was von Upek... AuthenTec ist wohl nur OEM Hersteller?

 

Gibt es hinsichtlich des "Windows Biometric Framework" eine aktuelle Geräteliste mit Empfehlungen die für Windows 7 Domänen geeignet sind? Am besten in Maus oder Tastatur integriert und nicht zu teuer... :-)

 

Wer hat hier Erfahrung, Tips? Oder sollte man besser die oder den Finger davon lassen?? :D

[LukasB 10]

Smartcards sind die bessere Idee.

[guge 10]

Vielen Dank für das Argument, daß sicherlich richtig ist.

 

Aber es geht der Geschäftsführung weniger um die 100%ige Verschlüsselung bzw. Sicherheit, sondern mehr das die Mitarbeiter ihre Arbeitsplätze öfters abmelden bzw. werden.

 

Wenn jetzt jeder eine Smartcard verwenden soll wird die Handhabung eben nicht besser. Zumal wenn das Paßwort gesehen wird die Idee auch wieder dahin ist...

[phoenixcp 10]

Aber es geht der Geschäftsführung weniger um die 100%ige Verschlüsselung bzw. Sicherheit, sondern mehr das die Mitarbeiter ihre Arbeitsplätze öfters abmelden bzw. werden.

Ich versteh nur nicht wie das durch Fingerabdrücke erreicht werden soll, wenn es schon mit Passworten nicht klappt.

[guge 10]

Was heißt nicht klappt. Natürlich "klappt" es - sonst könnten wir unsere Bude wohl zu machen. Aber kennt doch jeder... Mitarbeiter melden sich nicht ab, haben zu einfache Kennwörter (Aufschrei wenn man eine Komplexität verlangt wird), etc.

 

Fingerabdruckleser wären unserer Auffassung nach eine recht sichere und bequeme Möglichkeit - die auch anwenderfreundlich wäre.

 

- Paßwort (Fingerabdruck) kann nicht weiter gegeben werden

- Fingerabdruck kann nicht vergessen werden

 

Ich denke bei den heutigen Lesern ist das Thema Fälschung nicht besonders zu berücksichtigen, da man mit einem Hardware Keylogger, bei reinen Paßwörtern, mehr erreichen kann..

 

WIE und mit WAS man das umsetzt würde mir mehr helfen.

[NorbertFe 1.805]

Fingerabdruckleser wären unserer Auffassung nach eine recht sichere und bequeme Möglichkeit - die auch anwenderfreundlich wäre.

 

Wo ist denn der Unterschied für dich zwischen Fingerprintreader und Smartcard? Abgesehen davon, dass man seinen Finger halt im Normalfall immer dabei hätte. ;)

 

Bye

Norbert

[phoenixcp 10]

Aber kennt doch jeder... Mitarbeiter melden sich nicht ab, haben zu einfache Kennwörter (Aufschrei wenn man eine Komplexität verlangt wird), etc.

Ganz ehrlich: Nein, kenn ich nicht. Zumal das Thema "abmelden" unabhängig von Kennwort oder Fingerabdruck ist, denn auch wenn ich mit nem Fingerabdruck anmelde, muss ich mich am Ende selber wieder abmelden oder sperren.

Zum einen muss man auch bei den Mitarbeitern eine entsprechende Sensibilisierung (meist in Form von Workshops oder (internen) Weiterbildungen) erreichen, dann sind auch komplexe Passwörter kein Problem.

Wenn sich Mitarbeiter nicht abmelden, dann gibts auch andere Wege den Rechner abzusichern. Stichwort "Bildschirmschoner, Kennwort beim Reaktivieren".

 

- Paßwort (Fingerabdruck) kann nicht weiter gegeben werden

Korrekt, ein zusätzliches, komplexes Passwort zu einer Smartcard auch nicht, zumal man die Smartcard an ein Zugangssystem koppeln kann, damit wird es dann noch ne Stufe sicherer.

- Fingerabdruck kann nicht vergessen werden

ich entsinn mich da an nen Fall aus Singapur, als einem Geschäftsmann seine S-Klasse entwendet wurde, nachdem man ihm zu öffnen dieser den Zeigefinger abgehackt hatte

Ich denke bei den heutigen Lesern ist das Thema Fälschung nicht besonders zu berücksichtigen

Schau dich dazu mal beim CCC um, das Thema "Fingerabdruck fälschen" ist mittlerweile ein Thema, was nicht unbedingt zu verachten ist.

 

Also wenn du nen Umsetzungsvorschlag haben möchtest, dann würde ich den von LukasB nochmal aufgreifen: Smartcards gekoppelt mit einem zusätzlichen komplexen Kennwort und der entsprechenden Anweisung, die Smartcard aus dem Rechner zu entfernen (was eine Sperrung nach sich zieht), wenn der Arbeitsplatz verlassen wird. Für Zuwiderhandlungen muss dann natürlich seitens der GF auch der Rückhalt bei entsprechenden Maßnahmen da sein.

[guge 10]

"Bildschirmschoner, Kennwort beim Reaktivieren".

Genau das ist u.a. auch geplant.

Zeigefinger abgehackt hatte

Schöne Geschichte! :-)

Aber es gibt Methoden bei denen Du auch Dein Paßwort gerne sagst...

 

Andererseits wenn jemand dann auch nicht vor Ort wäre, müßte man den Finger dann wirklich abtrennen, auf Eis legen, die Lebenderkennung am Leser austricksen, etc.

Das ist das eben Pech und "im Interesse" der Firma!

"Fingerabdruck fälschen"

Jetzt kommt aber nicht wieder die Geschichte mit dem Ponal?

Wie gesagt irgendwie fälschbar ist alles... goggel mal "keylogger USB"

Smartcard aus dem Rechner zu entfernen

Soviel Abmahnungen wird man hier gar nicht schreiben können... Ich könnte natürlich auch jedem Mitarbeiter ein Halsbändchen aushändigen mit der Smartcard dran das bis zum PC reicht.

 

Falls sich bei meiner Recherche herausstellen sollte das der reine Fingerabdruck nicht taugt könnte man das vielleicht immer noch mit einem Paßwort kombinieren...

 

Kennt jemand noch Hersteller, MS Whitepaper, etc.?

Für Hersteller gibt ja was auf jedenfall in die Richtung geht: http://www.microsoft.com/whdc/device/biometric/WBFIntro.mspx

[olc 18]

Hi,

 

es gibt diverse Methoden, das Thema rein technisch zu erschlagen. Mittlerweile gibt es neben den Fingerabruck-Scannern auch Iris-Scanner oder Venen-Scanner, die die Venen in der Hand als "Secret" nutzen.

 

Aber einmal ganz ehrlich: Ihr versucht hier ganz offensichtlich ein rein menschliches Problem ausschließlich mit Technik zu lösen. Meiner persönlichen Erfahrung nach gelingt das nie (und damit meine ich wörtlich "nie", also 100% nicht).

 

Aus den oben von den Kollegen schon angesprochenen Punkten hast Du zumindest in Bezug auf Deine konkrete Fragestellung kaum Vorteile zwischen einer Smart Card Implementierung oder der Implementierung von Biometrie. Es gibt Gründe, die Kohle für Biometrie einzusetzen, aber die würde ich bei Deinem genannten Hintergrund für das Vorhaben nicht sehen. Es sei denn, Ihr habt zu viel Geld. ;)

 

Viele Grüße

olc

[guge 10]

Die Firma verdient ganz gut-aber nicht das Personal! ;-)

 

Mein angedachtes Budget liegt bei ca. 50€ pro Arbeitsplatz... Wenn es auf der Basis funktioniert denke ich, daß die Geschäftsführung das auch haben will. Mir ist klar das die Smartcard - rein technisch gesehen besser ist (unfälschbar).

 

Mal sehen ob die Funktionalität von W7/Server 2008 dafür ausreicht - weiß da jemand mehr?

 

Werde die nächsten Tage mal ein Produkt ordern, dann werde ich mal sehen wie/ob das läuft.

 

Ich habe mir mal den Vortrag auf der WinHEC2008 von MS angesehen.. über 300 Millionen ausgelieferter Fingerabdruckleser gibt es wohl.

 

Geräte müssen mit einen passenden Treiber (empfohlen UMDF) für WBDI (Windows Biometric Driver Interface) haben. AuthenTec (OEM), UPEK sowie Validity (OEM) haben passende Treiber DigitalPersona (bekanntermaßen immer noch) nicht..

[blub 115]

Hallo Guge,

schau dir doch mal digitalPersona näher an. Die Lösung hat den Charme, dass der Fingerabdruckhash verschlüsselt direkt im AD abgespeichert wird und damit SQL-Server, Loadbalancer etc. unnötig sind.

 

Zur Diskussion zwischen Smartcard und Fingerprint ein paar unsortierte Argumente

- PIN-Eingaben (im normalfall 6-stellig numerisch) an einem Smartcardreader oder Tastatur sind relativ leicht z.b. mit einer Kamera auslesbar

- Eine Kombination von Fingerprint und Passwort erhöht die Sicherheit gegenüber einer reinen PW-Anmeldung beträchtlich.

- Das Passwort kann auf dem Fingerpringclient nach der ersten Anmeldung lokal verschlüsselt gespeichert werden, sodass bei weiteren Anmeldungen an diesem Client der User zur Anmeldung komfortabel nur noch den Finger auflegen muss

- Es gibt einen gewissen Prozentsatz der Bevölkerung, deren Finger sich nicht scannen lassen (z.B. Asiaten, Maurer, Basketballspieler)

- Gegen Fingerprintspeicherung haben viele User erstmal Bedenken. Zwingen kann man niemand, seine Finger einzuscannen. Also brauchst du Alternativen

- Jenachdem ob vorhanden oder nicht, muss für eine Smartcardlösung eine PKI aufgebaut und betrieben werden

- PKINIT-Anmeldungen gelten momentan als die sicherstes und unknackbares Anmeldeverfahren

- für Smartcardanmeldungen mit Zertifikat gibt es zahlreiche nationale und internationale Standards (ISO / PKINIT etc.). Damit hast du Flexibilität und Zukunftssicherheit

- Fingerprintsysteme sind proprietäre Herstellerlösungen

- Das Fingerprintsystem von DigitalPersona ist extrem komfortabel für User

- Für Smartcardlösungen muss man neue Prozesse in der Firma einführen (Smartcard vergessen, verloren, zerstört) etc.

- für Fingerprintlösungen solltest du keine Ziehscanner (meist auf Notebooks eingebaut) verwenden, sondern Prismenscanner

 

 

für Fingerprintlösungen wirst du mit 50€ pro Arbeitsplatz nur hinkommen, wenn du über grosse Stückzahlen verhandelst (geschätzt 10.000 + X User)

 

Vielleicht hilfts ein bischen weiter in der Entscheidungsfindung

blub

[genab.de 10]

ja und welcher Fingerprint Reader kann man empfehlen?

 

der Microsoft eigene kann ja kein 64 Bit, und auch kein Windows 7

[Dr.Melzer 191]

Bitet kapere keine Thread er schon über ein jahr alt ist!

 

Du hast zu dem Thema schon einen eigenen aufgemacht in dem es dann auch weiter geht zu deiner Frage

 

Der ist damit geschlossen.

 

Vielen Dank für dein Verständnis!