Hallo zusammen,
hat von euch jemand Erfahrung mit 2FA in der betrieblichen Microsoft-Welt und speziell unter Office365? Ich muss zugeben, dass ich mich mit der ganzen Thematik bislang kaum beschäftigt habe.
Einsatzzweck ist die Absicherung von Admin- und Nutzerzugängen, sollte also DAU-kompatibel sein. Apps möchte ich vermeiden, schon weil das dann auf mäßig gepflegten Privatgeräte läuft.
Aktuell geht mein Blick Richtung OATH-Hardware-Tokens oder FIDO2. Wo liegen da jeweils die Vor- bzw. Nachteile?
Bei Hardware token hatten wir das Problem dass es Geräte gibt, die kein USB oder NFC hatten und man sich so nicht überall anmelden kann.
Zudem müsste man eigentlich zumindest jedem Admin zwei token spendieren damit man eine backup hat. Auch bleiben die Hardware token gerne mal den ganzen Tag am PC stecken (auch während der Mittagspause)
Der Hardware token ist technisch definitv die sicherste art für den 2fa aber für die breite Nutzung finde ich die App tatsächlich die beste Option. Das die auf mäßig gepflegten Smartphones installiert ist, ist doof, aber nicht super kritisch, da sie ja nur einen Teil des logins managed.
Alternativ zur App könnte man den otp auch über einen Passwortmanger erzeugen.
Dass die Hardware-Tokens in den Geräten stecken bleiben, ist in der Tat ein Problem und letzten Endes der Punkt, der mich tatsächlich von passwortloser Authentifizierung (FIDO2 als Einzelfaktor) abhalten würde. Zumal das bei uns nicht auf die Mittagspause beschränkt ist, sondern die Dinger einfach 24/7 stecken.
Abzusichernde Geräte ohne USB gibt es bei uns eigentlich nicht, mir fallen jedenfalls keine ein.
Und ob Smartphone rausholen, entsperren und Authentifikation durchführen jetzt wirklich DAU-freundlicher ist? Die problematische Zielgruppe bei uns ist eher das ältere Semester, da stehen Smartphones nicht so hoch im Kurs. Und ich vermute, dass die Einrichtung und Pflege schon aufgrund der heterogenen Softwareumgebung aufwendiger wäre.