fork 0 Geschrieben 27. Oktober 2023 Melden Teilen Geschrieben 27. Oktober 2023 (bearbeitet) Hallo zusammen, ich habe hier den Fall, dass ein Kunde über einen RADIUS-Server (Microsoft NPS) den Microsoft Authenticator (MSA) auf Smartphones der Nutzer als zweiten Faktor integriert habe. Jetzt ist die Frage, ob es einfache Wege gibt, den Microsoft Authenticator auch als Anwendung auf Desktop-Systemen benutzen zu können. Mein Part ist der des Firewall-Admins, der den RADIUS-Server angebunden hat. Ein Nicht-einfacher Weg wäre jetzt z. B. einen Smartphone-Emulator zu installieren. In der Google-Recherche habe ich da Hinweise auf die Unified Windows Platform gelesen. Das liest sich für mich so, als ob es Anwendungen gäbe - der MS Authenticator wird da in dem Zusammenhang auch erwähnt - die sowohl auf Smartphones als auch auf Desktops läuft. Allerdings bin ich damit auch nicht zu einer funktionierenden Windows Desktop App für den MSA gekommen. Gibt es eine einfache Möglichkeit, den MSA auf dem Windows Desktop laufen zu lassen? Viele Grüße, fork P. S.: Ich bin beruflich Linux-Admin. D. h. meine Windows-Zeiten sind lange vorbei. Ich bitte deswegen darum, nur Lösungen anzubieten, die kein tiefergehendes Windows-Know-How erfordern und um Verständnis für diese Haltung. Falls Ihr mir unter diesen Bedingungen nicht helfen möchtet - was ich natürlich absolut respektiere - bitte ich Euch von einer Antwort auf meine Anliegen abzusehen. Vielen Dank! bearbeitet 27. Oktober 2023 von fork Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 27. Oktober 2023 Melden Teilen Geschrieben 27. Oktober 2023 Hi, warum willst du das machen? Was ist denn das eigentliche Ziel? Sollte es um User ohne Firmen Smartphone gehen, die die Authenticator App nicht auf dem privaten Smartphone installieren sollen/wollen, dann wären FIDO2 Token (oder OATH Token (derzeit in Preview)) vermutlich ein besserer Weg. Gruß Jan 1 Zitieren Link zu diesem Kommentar
zahni 554 Geschrieben 27. Oktober 2023 Melden Teilen Geschrieben 27. Oktober 2023 Bitte die eigentlich Anforderung aufschreiben. Es gibt für 2FA viele Möglichkeiten. Von RSA gibt es z.B. auch Hardwaretoken, die ihr begrenzten Leben lang ständig neue Nummern auf dem Display anzeigen.. Zitieren Link zu diesem Kommentar
fork 0 Geschrieben 27. Oktober 2023 Autor Melden Teilen Geschrieben 27. Oktober 2023 vor 7 Minuten schrieb testperson: Sollte es um User ohne Firmen Smartphone gehen, die die Authenticator App nicht auf dem privaten Smartphone installieren sollen/wollen... Ja. Genau darum geht es. Zitat ... dann wären FIDO2 Token (oder OATH Token (derzeit in Preview)) vermutlich ein besserer Weg. Das ist in jedem Fall eine mögliche Lösung. Ich gebe das mal so weiter. Die Idee mit dem MS Authenticator auf dem Desktop finde ich trotzdem sinnvoll, sollte die Möglichkeit denn überhaupt bestehen. Zitieren Link zu diesem Kommentar
testperson 1.707 Geschrieben 27. Oktober 2023 Melden Teilen Geschrieben 27. Oktober 2023 vor 2 Minuten schrieb fork: Die Idee mit dem MS Authenticator auf dem Desktop finde ich trotzdem sinnvoll, sollte die Möglichkeit denn überhaupt bestehen. Wenn ich mich am PC ohne zweiten Faktor anmelden kann und dort dann "den zweiten Faktor" ausgehändigt bekomme, ist das für mich irgendwie nicht sinnvoll. :) Zitieren Link zu diesem Kommentar
fork 0 Geschrieben 27. Oktober 2023 Autor Melden Teilen Geschrieben 27. Oktober 2023 (bearbeitet) Der 1. Faktor ist Benutzername und Passwort. Der 2. Faktor ist der PC - Als alternatives Gerät zum Smartphone. D. h. bei einem Betrugsversuch benötigt der Angreifer erst einmal physischen Zugang zum Gerät. Insofern ergibt das für mich schon Sinn, weil es genau das gleiche Konzept wie beim Smartphone ist, nur dass der Klotz halt etwas größer ist. Die Frage ist, ob so ein Token auf der Festplatte des PC auch wirklich nicht übertragbar ist. (Stichwort: Festplatte kopieren). Wäre das der Fall, dann würde der 2. Faktor degradiert zu einer Art Passwort, was man kopieren kann. Es ergibt natürlich auch keinen Sinn, wenn das ein öffentlicher PC ist. Bei MSA wurde weiterhin eine mögliche, zusätzliche Schutzmassnahme implementiert: Beim Smartphone kann man das so einstellen, dass bei Nutzung von MSA jeweils das Handykennwort eingegeben werden muss. Das kann ja beim PC genauso das Passwort des aktuellen Benutzers sein. P. S.: Den Google-Authenticator gibt's auch für den Desktop vor 49 Minuten schrieb zahni: Bitte die eigentlich Anforderung aufschreiben. Es gibt für 2FA viele Möglichkeiten. Von RSA gibt es z.B. auch Hardwaretoken, die ihr begrenzten Leben lang ständig neue Nummern auf dem Display anzeigen.. Das große Fass möchte ich selbst nicht aufmachen. Das überlasse ich den Windows-Spezialisten, die sich mit dem NPS Server auskennen. (Also dem Kunden bzw. den von Ihm zu suchenden Dienstleistern). bearbeitet 27. Oktober 2023 von fork Zitieren Link zu diesem Kommentar
NilsK 2.957 Geschrieben 27. Oktober 2023 Melden Teilen Geschrieben 27. Oktober 2023 Moin, das Konzept gibt es durchaus, das ist dann "Windows Hello". In dem Fall besteht der Witz aber darin, dass man sich eben nicht mit Username + Kennwort an dem Rechner anmeldet, sondern mit einem separaten Login, der nur auf diesem Rechner existiert. Idealerweise Biometrie (also typischerweise Hello-Kamera oder Fingerabdruck), zur Not eine PIN. Auf dem Weg kann man sich durchaus auch bei Webseiten oder Applikationen anmelden, aber nicht an "irgendwelchen" und auch nicht als Ersatz für ein herkömmliches MFA. Die Anwendungen müssen das ausdrücklich können. Es führt also kein Weg drumrum, dass wir uns entweder über den konkreten Anwendungsfall unterhalten oder so schwammig bleiben. "Den MS Authenticator auf dem Desktop", der sich so verhält wie ein Smartphone, gibt es so jedenfalls nicht. Gruß, Nils 2 2 Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.