Anmeldung an der DS mit Zertifikat

[berlin10]

Bei einigen Seiten wie cacaert.org kann man sich ja per Zertifikat an der Seite anmelden. Kann man die DS auch so umbiegen, dass das geht? Wenn ja wie?

 

[Frogman]

Prinzipiell ja - denn der ganze Vorgang ist das Zusammenspiel eines Serverzertifikats (hier also auf der DS) in Kombination mit einem Client-Zertifikat, welches lokal auf dem Rechner installiert wird, von dem der Zugriff erfolgen soll. Für das Serverzertifikat musst Du beim Aussteller dann angeben, ob das Client-Zertifikat mandatory ist oder optional. Genaueres zum Ablauf findest Du bspw. hier: http://www.phpgangsta.de/client-zertifikate-als-sicherer-login-ersatz

 

[nickel715]

Hallo, mich würde das auch interessieren da ich es super nervig finde jedesmal meinen login einzugeben.
Wenn ich jetzt wie beschrieben das Zertifikat erstellt habe, wie bringe ich meiner DS bzw DSM nun bei dieses als login anstelle von user und pw zu verwenden?

 

[Frogman]

Hast Du den Artikel gelesen?
Du erstellst neben dem Client-Zertifikat, welches auf dem entsprechenden Rechner installiert wird, von dem der Zugriff erfolgen soll, zusätzlich ja auch ein Server-Zertifikat, welches auf der DS installiert wird. Danach brauchst Du nichts mehr eingeben - sobald das Handshaking das Client-Zertifikat erkennt -optional oder mandatory-, erfolgt der Zugriff (optional läßt dann eben auch den Zugriff per Benutzerkennung zu, wenn kein entsprechendes Client-Zertifikat gefunden wird, mandatory deaktiviert die SSL-Anmeldung per Benutzerkennung und verlangt zwangsweise das Client-Zertifikat auf dem Rechner, von dem der Zugriff erfolgen soll).
Vorsicht mit dem Client-Zertifikat: jeder, der es in die Hände bekommt und auf seinem Rechner installiert, kann mit den gleichen Rechten zugreifen!

 

[berlin10]

hm ok, gefällt mir dann doch nicht so gut, da man ja nie alleine am pc ist
was ist mit dem yubikey? schon erfahrungen gesammelt? da verstehe ich nicht so ganz das prinzip, was macht er genau wenn ich den kleinen knopf drücke? und ich wenn man die daten dann mit keypass speichert und das kombiniert, ähm ja und dann? alle passwörter sofort auf knopfdruck wäre auch blöd wenn ich den verliere...

 

[jahlives]

Vorsicht mit dem Client-Zertifikat: jeder, der es in die Hände bekommt und auf seinem Rechner installiert, kann mit den gleichen Rechten zugreifen!

und was ist daran anders als bei einem PW? Wenn das PW bekannt ist, dann kommt auch jeder rein, der es hat. So gsehen ist PW oder Cert/Key hier genau gleich. Zudem kann man einen Key ja durch ein PW schützen, welches erst angegeben werden muss, bevor man den Key nutzen kann

 

[Frogman]

Prinzipiell ist das sicher kein grundsätzlicher Unterschied, "genau gleich" sehe ich aber nicht ganz so. Zunächst geht es ja hier um den Ersatz einer Passworteingabe eines Benutzeraccounts durch den (automatisierten) SSL-Zugriff auf einen Server - das Schützen des Client-Zertifikats konterkariert dann die Idee. Und es ist zumindest noch ein kleiner Unterschied, ob das Passwort zu einem bestimmten Benutzeraccount bekannt wird (was ja normalerweise nur durch Über-die-Schulter-gucken beim User oder Weitersagen durch den User erfolgt) oder einen Zugriff auf das Client-Zertifikat erfolgt (wenn bspw. ein unauthorisierter und unbemerkter Zugriff von außen auf den Rechner erfolgt, auf dem das Client-Zertifikat abgelegt ist, dann kann dieses kompromitiert werden, ohne dass der User davon etwas ahnt).

 

[jahlives]

"einfach so" kann man den Zertifikatsspeicher von aussen aber nicht auslesen. Für mich ein Punkt für Zert gegenüber PW: ein PW kann auf dem Weg zum Server gesnifft werden d.h. das Geheimnis an sich wird an den Server übermittelt. Bei einem Zert wird das Geheimnis (Key) eben nicht übermittelt d.h. bei einem PW-Login geht entweder ein lokaler Angriff auf den Client oder das Sniffen im Netz. Bei einem Zert geht nur der lokale Angriff gegen den Client, sniffen im Netzwerk bringt rein gar nichts. So gesehen ein ein PW mehr Angriffsfläche als ein Key/Cert Zudem kann man Passworte Brute-Forcen, was bei genügend langen Schlüsseln ein Ding der Unmöglichkeit ist (zumindest mit der zur Verfügung stehenden Rechenpower)

 

[Frogman]

Dass das nicht "einfach so" direkt aus dem Zertifikatsspeicher geht, stimmt ja (wobei genau das vor nicht allzu langer Zeit bereits demonstriert wurde, wobei ein Zugriff auf User-Certs in der Registry des angemeldeten Users notwendig war). Das Problem ist dann eher, dass sich der User seine generierten Zertifikate gerne noch als Dateibackup irgendwo hinlegt, meist mit unverändertem Namen und Dateiendung - und hier ist die Zugriffshürde dann auch für einen nur mittelmäßig begabten Hacker nicht allzu hoch. Aber prinzipiell sehe ich die Vorteile auch bei einem Zertifikat, hatte ich oben ja aber auch nicht anders gesagt.

 

[CrimsonGlory]

hat es den jmd. schon hinbekommen, dass die Anmeldung per Zertifikat funktioniert?
Weil für Zuhause wäre das wirklich super!