Zitat:
Das sind doch schon 2 Faktoren.
Wenn ich jetzt einem Benutzer das Passwort abluchse ist es mir vollkommen egal ob ich ihm noch eine RFID-Karte, einen Yubikey oder im Zweifel einfach beides aus der Tasche klauen muss um an das System zu kommen.
Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".
Zitat:
Ich nutze den Rockey4ND. Da hat man mehrere Möglichkeiten zur Verifizierung:
Ist der Ähnlich wie Wibu? Die haben wir bei einigen im Einsatz. Aufwendig ist aber, dass bei jeder Änderung die Programmdatei, etc. neu verpackt werden muss und man den Masterkey dabei haben muss. Das macht Änderungen beim Kunden vor Ort aufwendig und teuer wegen den Masterkeys.
Zitat:
Es gibt einige Fragen, die man vorher klären sollte:
- Wie soll sich die Anwendung verhalten, wenn der Key abgezogen wird?
- Gibt es verschiedene Level der Rechte, also z.B. Start des Programms erfordert Passwort, Programmierung erfordert zusätzlich Dongle, oder gibt's 'nur' Dongle + PW?
- Soll es nur einen Dongle, eine fest Anzahl von Dongles oder eine beliebige Anzahl von Dongles geben können?
- Konfiguration/Logbuch wird dann geschlossen
- Programm startet auch ohne Anmeldung. Anmeldung ist nur für Konfigurationsanpassung oder Aufruf vom Logbuch notwendig.
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.