SmartCard/SmartLogin ist MFA. Die PIN-Prüfung findet in der Smartcard statt, deshalb ist die Überprüfung, ob der PIN sicher ist so nicht möglich. Und wann ist ein PIN sicher? Wenn es nicht das Geburtsdatum des Besitzers ist oder wenn es nicht als Geburtsdatum interpretiert werden kann? SmartLogin kann zusätzlich mit Biometrie gesichert werden.

In der alten Welt hat man für einen (beliebigen) Login seine E-Mail Adresse oder einen Benutzernamen und ein zum Account passendes Kennwort verwendet. Jetzt habe ich eine Smartcard und eine Pin. 

Ja, ich muss im Besitz der physischen Smartcard sein und die Pin kennen. 

Vielleicht ist der Titel zu meiner Fragestellung nicht gerade passend gewählt.
Mich interessiert eher, ob die DATEV weitere Pläne hat und gegebenenfalls weitere Hürden zur Anmeldung implementiert.

Also hier im Haus habe ich verboten ein Passwort mit Personenbezug zu wählen - wie z.B. eigenes Geburtsdatum, Geburtsdatum der Kinder, Partner, Eltern, etc. Und da mir die Mitarbeiter das Passwort auch zur sicheren Verwahrung (im Falle des Vergessens) mitteilen kann ich das prüfen und daher sagen: es wird sich auch daran gehalten. 🙂

Ui, 

---

@steme  schrieb:

...Und da mir die Mitarbeiter das Passwort auch zur sicheren Verwahrung (im Falle des Vergessens) mitteilen kann ich das prüfen und daher sagen: es wird sich auch daran gehalten. 🙂

---

Sinn und Zweck von Passwörtern.....

Naja....kleine Kanzlei und "Lieber hast du das irgendwo sicher verwahrt, als dass ich es vergesse und nicht mehr an die Sachen komme". Muss man wahrscheinlich in größeren Kanzleien anders handhaben, hier funktioniert das aber gut. Und ganz ehrlich: ich hab noch nie außerhalb der "Sicherungsverwahrung" draufgeschaut - also gut verwahrt, ich weiß wo, aber ansonsten: keine Ahnung.

Wir setzen im Microsoft Entra verstärkt auf "Conditional Access Policies"

Dieser Thread kommt mir vor wie Realsatire: Microsoft als Beispiel für sicheren Zugang? Eine der Conditions ist wohl demnächst, daß der, der sich einloggen will, sich noch nie kritisch über Donald Trump geäußert hat.

Mich würde in dem Zusammenhang viel mehr interessieren, was DATEV tun will, um diese gefährliche Microsoft-Abhängigkeit loszuwerden.

---

@Steuererklärer  schrieb:

..

Mich würde in dem Zusammenhang viel mehr interessieren, was DATEV tun will, um diese gefährliche Microsoft-Abhängigkeit loszuwerden.

 

 

 

 

---

Warten, bis sich das mit Trump wieder erledigt hat.....

---

@bjoern  schrieb:

... Wird es zukünftig möglich sein, den Zugriff zum DATEV Cloud-Universum ein wenig strikter zu gestalten? Meiner Meinung nach wird hier zukünftig das "Haben einer Smartcard mit einer einfachen Pin" nicht mehr ausreichend sein.

---

DATEV bietet eine hohe Sicherheit bei den Anmeldeverfahren SmartCard und SmartLogin. Auf allen Geräten, unabhängig vom Standort und ob vertrauenswürdig oder nicht, müssen immer Besitz und Wissen erfüllt und nachgewiesen sein. Zudem unterstützen die aktuellen Authentifizierungsverfahren entsprechende Fehlbedienungszähler, so dass nach 8 Fehlversuchen SmartCard und SmartLogin gesperrt sind. Zudem sind Sperr-Funktionalitäten bereitgestellt, womit Anwender z. B. eine verlorene SmartCard sperren können.

Bezüglich des Angriffsvektors eine "nicht zu einfache PIN und Passwort" zu verwenden muss der Anwender in die Pflicht genommen werden. Er ist dafür verantwortlich, eine sichere PIN zu verwenden.

Mit der weiteren Einführung des DATEV-Kontos stellt DATEV eine neue, moderne technische Basis bereit in der mögliche weitere Sicherheitsfunktionen, wie z. B. Geo-Location oder benutzerspezifische Verhaltensmechanismen im Login-Prozess überprüft werden könnten. Wir beobachten die Anforderung und den Markt diesbezüglich und entscheiden ggf. weitere Sicherheitsfeatures zum Schutz des DATEV-Kontos einzuführen.

@Udo_Eisenack 

Ist es evtl. angedacht die Anmeldung an fremde Identity Provider wie bspw. Entra Id auszulagern? Oder wird evtl. der Weg andersrum ermöglicht? Oder sogar beide Wege?

Am Ende des Tages ist es meiner Meinung nach nicht zielführend, entsprechende Konfigurationen bzgl. Geo-Loaction und Co. bei mehreren IdP's zu verwalten.

---

@andreashofmeister  schrieb:

---

@Steuererklärer  schrieb:

..

Mich würde in dem Zusammenhang viel mehr interessieren, was DATEV tun will, um diese gefährliche Microsoft-Abhängigkeit loszuwerden.

 

 

 

 

---

Warten, bis sich das mit Trump wieder erledigt hat.....

---

Da vergisst Du, dass Trump seinen Wählern versprochen hat, dass diese nie mehr wählen gehen müssen. 😉

Er bereitet doch auch schon fleißig seine family for president vor.

Die derzeitigen Zugangswege mit SmartLogin oder SmartCard finde ich hinreichend. Wie die Nutzer/Kanzleien die PW konfigurieren ist letztlich deren Sache. Ich habe an vielen Stellen mittlerweile genug von den immer aufwändigeren Anmeldeverfahren. Das Sharing von Zugangsdiensten sehe ich sehr kritisch, weil damit die Kontrolle immer mehr verteilt wird. Das was uns als Komfort verkauft wird, ist doch letztlich auch nur wieder ein neuer Angriffsvektor.

Schön wäre es, wenn die SmartLogin-App mehrere SmartLogins zulässt, womit dieses leidige Teilen und Erweitern von Mitgliedschaften erledigt ist und auch für die Administration ein vernünftiger Weg der Kundensicht offen steht, ohne die App immer neu einzurichten...

Im Übrigen frage ich mich, ob Angreifer in der Masse den Zugang über die reguläre MFA-Anmeldungen suchen, oder eh Backdoors nutzen, die dann lächerlich abgesichert sein können, während die regulären Nutzer einen "Anmeldespießrutenlauf" unternehmen müssen...

Vielleicht mal ein Beispiel in Richtung Account-Sharing - auch wenn hier nur eingeschränkt übertragbar. Nutze ein Online-Zahlverfahren mit 2 FA. Beim Zahlen kann der Online-Händler aber eine "Einzugsermächtigung" erfragen bzw. quasi erzwingen, ohne dies spezifisch quittieren zu müssen. Der Händler hat aber nur ein schwaches Login ohne MFA. Im Ergebnis besteht Zugriff auf das Konto mit einem schlecht abgesicherten Zugang..... 

Also Datev @Udo_Eisenack , lasst es einfach und optimiert die für das Arbeiten notwendigen Funktionalitäten (mehrere SmartLogin pro Gerät - aber weiter jeder SmartLogin nur auf einem Gerät; Sicherheitspaket für Apple-Rechner, evtl. auch ausgewählte Linux-Distributionen und gut iss...

Viele Grüße

Ganz stark vereinfacht (in einer (fast) perfekten Welt):

Man stelle sich mal vor, man hätte einen neuen Personalausweis oder eine anderweitige, möglichst einzigartige (online) Id, einen "Identity Provider" (selbstgehostet / betrieben in Form von Keycloak o.ä., Entra Id, Okta, <whatever>) und könnte "diese Id" dann nach Herzenslust bei diversen Anwendungen/Anbietern berechtigen und dabei festlegen, wie "stark" authentifiziert werden muss.

Wenn wir Menschen perfekt bzw. ideal wären, bräuchte es dieses ganze Cyber-Safety und super starke Authentifizierung erst gar nicht 😎!

Aber was / wer ist schon perfekt bzw. ideal 😉?