Erfahrungen mit FIDO2-Anmeldung am Windows Domain?

Azdak

Lt. Junior Grade
Registriert
Okt. 2009
Beiträge
442
Hi,

ich suche nach Optionen um die "gute" alte Passwortanmeldung an eine Windows-Domain abzulösen.

Die Optionen, die ich kenne sind:
  • Biometrie (scheidet aus, weil Art. 9 Daten -> Einwilligung -> Freiwilligkeit -> keine allg. Lösung).
  • Microsoft Authenticator APP und TOTP (Smartphone-Verweigerer... wobei TOTP auch als HW-Token ausgegeben werden könnte)
  • Smartcard
  • FIDO2
Die Nutzung einer Smartcard kenne ich nur aus längst vergangenen (NT) Tagen. Da funktionierte es eher so mittel. Ist das immer noch so? Zusätzlich werden auch überalle dann natürlich Lesegeräte benötigt, was die Lösung nicht gerade attraktiv macht für die Geschäftsführung.

Bleibt FIDO2. Dort wo ich es bisher im Privaten kennengelernt habe ist es recht brauchbar. So ein Stick kann auch an anderen Stellen nützlich sein und die Technologie sieht für mich recht Zukunftsträchtig aus.
Aber wie sieht es in der Praxis im Firmenumfeld für die Domain aus? Ich kenne leider keinen einzigen, der das jemals ausgerollt oder auch nur getestet hat. Von daher würde mich interessieren, ob eine*r von euch vielleicht damit Erfahrungen sammeln konnte/musste. Ist es brauchbar? Sollte man die Finger davon lassen? Was sind die Stolpersteine?

vielen Dank schon mal im Voraus :)
 
Also ich hab damit schon ein wenig rumgespielt auf der Arbeit. Eingesetzt wird ein YubiKey 5 NFC, mit dem ich mich statt Passwort mit eben YubiKey + Pin am Rechner anmelde. Funktioniert soweit auch alles, aber die Einrichtung war schon echt ein wenig umfangreicher. Diverses an Gruppenrichtlinien, Zertifikatsinfrastruktur muss stehen etc.
Sehe aktuell leider noch nicht, dass wir das für alle bei uns ausrollen 😅
 
Ja, YubiKey + PIN/PW habe ich auch bei einem Kunden in einer Domäne gehabt.
Aber richtig geschmeidig hatte sich das damals nicht in die Anmeldung integriert - war aber 2019, evtl sieht das heute besser aus.
 
Wir haben bei uns im Unternehmen ein Admin Tier Konzept für die IT Admins. Es gibt reine Admin Notebooks, an denen man sich nur mit seinem T-Konto anmeldet via YubiKey 5 + PIN/PW. Alternativ steht zur Auswahl, dass der 2. Faktor mittels RSA App bestätigt werden muss.
Funktioniert soweit echt gut bei uns. Aber wie @kamanu schon schrieb, da hängt sehr viel dahinter. Ich war nicht in dem Projekt involviert, bin quasi nur Nutzer was das angeht. Aber ist nicht ohne, was ich so in den Gruppenrichtlinien gesehen habe.
 
  • Gefällt mir
Reaktionen: kamanu
Ich danke euch. Klingt nach Bedarf für externe Unterstützung...
 
Zurück
Oben