logo

planet 33 Login & Support Center

Hier haben Sie direkten Zugriff auf die wichtigsten planet 33 Login & Support Bereiche:
TeamViewer planet 33 Remote Support
planet 33 phonetotal Portal
planet 33 Kundenportal & Support
Busylight Registrierung
support@planet33.com
01805 33 51 33
EMPOWER YOUR WORKPLACE - Q&A

Die häufigsten Fragen aus dem Webinar haben wir hier für Sie zusammengefasst und beantwortet

Wo sind weitere Informationen zur Integration des YubiKeys zu finden?

Die planet 33 AG steht Ihnen gerne und jederzeit zur Verfügung um Ihre Fragen im persönlichen Gespräch zu beantworten. Yubico stellt einen Katalog von bereits geprüften Integrationen auf dieser Website zur Verfügung.

Kann ein Backup vom YubiKey erstellt werden?

Nein, dies ist aus Sicherheitsgründen nicht möglich. Jedoch können z.B. bei FIDO unabhängig mehrere Keys zu einem Konto hinzugefügt werden und auch unabhängig gesperrt werden.

Ist ein Rollout mit YubiKeys aufwendig?

Nein, denn bei z.B. Microsoft 365 und vielen anderen Lösungen auf FIDO Basis ist das Onboarding als Self-Service gestaltet. D.h. ein Mitarbeiter erhält einen OVP YubiKey und kann diesen selbst seinem Account hinzufügen (oder dazu per Richtlinie gezwungen werden)

Worin liegen der Unterschied zwischen einer SmartCard/PIV und der FIDO2-Funktion eines YubiKeys?

Zunächst haben die beiden Standards technisch einiges gemeinsam (Zertifikate, public-/ private-Keys). Sie sind aber unterschiedliche Generationen eines Token-Systems, die beide vom YubiKey unterstützt werden.

SmartCard/PIV ist immer noch ein valider Anmelde-Standard im Corporate LAN / on Premise AD /CA Umfeld. FIDO2 löst mit dem WebAuthn Teil seines Standards viele Kommunikationsprobleme über unsichere Verbindung (das Web), die bei SmartCard/PIV gar nicht adressiert werden. Für das Funktionieren einer Smartcard ist der Zugriff auf eine CA (per VPN oder LAN) beim erstmaligen Anmelden erforderlich – ein gespeicherte AD Anmeldung steht dann auch offline / am Laptop zur Verfügung.

Der SmartCard oder PIV (Personal Identity Verification) Standard basiert auf dem amerikanischen Standard FIPS 201 von 2005 und von Microsoft vor allem für Behörden ausgerollt worden. Wenn man also in den einschlägigen Staffeln und Filmen (“z.B. Homeland”) die Feds mit diesen coolen Badges rumlaufen sieht, dann können diese unter anderem für die Anmeldung an Windows-Rechnern verwendet werden. Der Standard ist 2013 aktualisiert worden auf FIPS 201-2 und kann problemlos mit aktuellen Windows-Systemen verwendet werden.

Er setzt aber voraus, dass die IT sich mit der Funktion Ihrer Windows-CA auseinandersetzt, Zertifikate für die Benutzerkonten generiert und diese Zertifikate auf den Yubikeys ausrollt. Die dafür erforderlichen Prozesse können delegiert werden (“enrollment on behalf of”) oder aber in einer Art Self-Service benutzerindividuell durchgeführt werden. Unsere Erfahrung hat gezeigt, dass nicht-technische Mitarbeiter sich mit dem Wizard der Windows CA nie wohlfühlen werden, so dass fast immer die IT einen Regelprozess aufsetzen muss, um neue Token bereitzustellen. Das kann man als Sicherheitsfeature oder als Hindernis für einen erfolgreichen Betrieb sehen. Sicherheitstechnisch problematisch ist natürlich das manuelle Handling der Zertifikate in der CA – hier werden die Zertifikate außerhalb des Keys generiert und dann importiert, während bei FIDO2 das Zertifikat auf dem Yubikey entsteht und den Key nie verlässt.

Der FIDO2 Standard ist komplett auf Self-Service ausgelegt und die User-Schnittstellen sind einfach und webbasiert ausgelegt, wie man in unserer Live-Demo sehen konnte. Eine Vertrauensstellung kann auch zu Diensten außerhalb der eigenen Organisation sehr unproblematisch aufgebaut werden. Durch die Selbstverwaltung kann FIDO2 auch tatsächlich den Aufwand für die IT reduzieren und gleichzeitig die Sicherheit des Gesamt-Systems erhöhen.

Je nach aktueller Situation und Anforderung implementiert planet 33 auch heute noch SmartCard/PIV basierte Lösungen für Kunden. Dabei implementieren wir alle erforderlichen Prozesse für den Betrieb. Bei hohen Sicherheitsanforderungen kann die CA dann auch noch mit einem Hardware-Security Modul (YubiHSM) abgesichert werden. Der typische Aufwand für eine solches Rollout beträgt 2 Manntage.

Kann der YubiKey mehrere M365 Azure Identitäten verwenden bzw. schützen?

Ein eindeutiges JA – FIDO2 kann genau wie der Vorgänger FIDO-U2F mit beliebig vielen M365-Konten verknüpft werden. Wir haben hier noch keine praktische Obergrenze ermitteln können.

Wir sind für Sie da, wenn es bei Ihnen ums Ganze geht. Sprechen Sie mit uns.