ForenGreiner schrieb am 12.02.2020 13:52:
[quote]
DaKarli schrieb am 07.02.2020 03:05:
[quote]
Ihr kommt wohl beide nicht aus der IT? :-)
Daher mal vom Profi:
SSO bedeutet vereinfacht und im einfachsten Fall, dass ihr Euch z.B. am Computer genau 1x beim Start anmeldet, der Computer diese Anmeldung (genauer gesagt die Genehmigung der Anmeldung vom Server = ein Zertifikat) zwischenspeichert und diese "Genehmigung" beim Zugriff auf z.B. das SSO-fähige Warenwirtschaftsprogramm vorzeigt, statt Euch erneut nach User und Passwort zu fragen.
Dieses Zertifikat hat meist eine Ablaufzeitpunkt (z.B. 2h, ein Tag, oder nach jedem automatischen Abmelden, etc.)
Danach müsst ihr Euch erneut 1x anmelden, um auf alles, das SSO kann, zuzugreifen.
2FA bzw. MFA haben damit erstmal überhaupt nix zu tun!
2/MFA schützt Euch und das System bei der o g. ersten Anmeldung (oder nach deren Ablauf bei der nächsten) davor, dass jemand, der User / PW kennt, sich irgendwo hinsetzt, User/PW eintippt und einfach so Zugriff auf alles (SSO!) erhält.
Das wird durch den 2. Faktor (aha, daher 2FA!) erreicht, der über ein anderes Medium/ Kanal, getrennt von User/PW eingetippt, aktivert oder ausgelesen (je nach System) werden muss. Z.B. ein Dongle, dass ich kurz in den USB stecke, einen Knopf drücke und fertig, oder die PIN per SMS aufs Handy, die ich zusätzlich neben User und PW eingeben muss.
Das Handy oder Dongle (auch "etwas das ich besitze" genannt) hat der Hacker nicht und kann sich deshalb auch nicht mehr sooo einfach wie beschrieben am System anmelden, wie es der Fall wäre, wenn er nur User/PW bräuchte ("etwas, dass ich weiß" genannt).
...so, und jetzt darf wieder weiter philosophiert werden...
[/quote]
[quote]
Verstehe ich nicht. Wenn die SSO abgelaufen ist, muß ich durch die 2FA. Wenn die täglich durchlaufen werden muß, läuft es in Praxi darauf hinaus, daß man sich ständig mit der 2FA anmeldet, denn die SSO kommt dann nicht mehr vor. Es sei denn, man macht eine Pause.
[/quote]
Quatsch!
User + PW + 2FA kommt 1x am Morgen.
Dann sorgt SSO dafür, dass die Anmeldung a) eine Zeit lang bestehen bleibt und b) an andere Software, an der man sich sonst nochmal zusätzlich anmelden müsste, weitergeleitet wird.
Läuft die Zeit des SSO Tickets ab, erfolgt eine (1x!) erneute Anmeldung wie beschrieben. Setzt der Admin diese Zeit zu niedrig an, dann würde dein genanntes Problem der "ständigen" Anmeldungsarie entstehen. Das wäre dann aber auch falsch umgesetzt...
[quote]
Und natürlich macht die 2FA Probleme. Denn die allermeisten WebSites sollen nicht meine Handy-Nummer kennen. Auch sollen sie nicht alternative E-Mail-Adressen kennen. Eigentlich sollen sie überhaupt nicht eine E-Mail-Adresse kennen. Es ist üblich geworden, die zu fordern. Notwendig ist es nicht.
[/quote]
Nein!
Deine Handynummer benötigt 2FA doch NUR, wenn der 2. Faktor per SMS oder Anruf gesendet/erfolgen soll.
Und abdoluter Quatsch ist, dass _keine_ E-Mail Adresse bzw. eine _alternative_ E-Mail Adresse benötigt wird.
Wie soll denn bitte eine Webseite Dein Passwort zurücksetzen, wenn _keine_ E-Mail Adresse bekannt ist? Zahlst Du dem Menschen Gehalt, der diese Aufgabe erledigen soll?
Und _alternative_ Adressen dienen dazu, Accounts noch zurücksetzen zu können, wenn der Zeitgenosse gedankenverloren z.B. seine @t-online Adresse "versehentlich" kündigt.
[quote]
Das sind die Probleme von 2FA: 1.) Es stört gewaltig den Arbeits-Ablauf. 2.) Es erschwert die Wahrung der Privacy.
[/quote]
2x definitiv Nein!
[quote]
Im betrieblichen Umfeld sieht die Sache anders aus. Und da sind wir bei der eigentlichen Crux: Wieso sind, seit Amerika Europa entdeckte, Unternehmen darauf aus, einen Kunden behandeln zu wollen wie einen Mitarbeiter / Mitglied ihrer eigen Community? Man merkt das auch an sich wiederholenden Sichtweisen von Foristen zu ganz unterschiedlichen Themen. Immer werden in den Argumentationen die Bedürfnisse eines zahlungskräftigen Betriebes als selbstverständlich zugrunde gelegt; die eines privaten Users gilt nichts bis wenig.
Es geht um Macht durch Abhängigkeit.
[/quote]
Das übersteigt wahrscheinlich meinen Horizont und da bin ich nicht kompetent genug, wenn es um die Frage geht, ob 2FA die Privatsphäre und womöglich auch den Weltfrieden zerstört...
Was genau IST denn dein privates Bedürfnis?
Du möchtest z.B. Bankgeschäfte bequem und möglichst kostengünstig von Zuhause aus machen?
Da kommt es doch ganz gelegen, wenn das von den o.g. zahlungskräftigen Unternehmen erfundene 2FA dafür sorgt, dass kein 5-jähriger dein Konto einfach so leerräumen kann.
...und bestimmt gefällt es dir, wenn du eine Bestellung bequem im 1-Klick Verfahren in 5 Minuten abwickeln kannst und nicht erst auf die schriftliche Bestellbestätigung per Post
warten musst, geschweige denn, das Geld dafür noch am Bankschalter anweisen musst.
Da ist E-Mail schon praktisch...
Und last not least, melde dich doch einfach ab, nachdem du irgendwo Daten lassen musstest. Die DSGVO hilft dir hier sogar ein Stück weit...