Hallo Tweakers,
Graag zou ik middels een security token een webapplicatie beveiligen, en dit voor twee heel belangrijke redenen:
Echter, punt 2 is een ander paar mouwen. Er vanuitgaande dat een gebruiker maar op één enkel endpoint tegelijk kan aangemeld zijn, zijn er nog deze vraagstukken:
De smartphone gebruiken als security token zou kunnen, maar hier mag het ook geen out-of-band oplossing betreffen. (Logt gebruiker A in, moet gebruiker B enkel op "Allow" drukken wanneer die bv. op vakantie is.)
Of moet ik me gewoon neerleggen bij het feit dat dongles worden doorgegeven? Een OTP token kan wel worden doorgegeven, maar er kan toch maar één sessie per gebruiker tegelijk worden opgezet.
Of zijn er andere manieren?
Groeten
Graag zou ik middels een security token een webapplicatie beveiligen, en dit voor twee heel belangrijke redenen:
- De applicatie bevat gevoelige informatie.
- De applicatie wordt aangerekend per gebruiker.
Echter, punt 2 is een ander paar mouwen. Er vanuitgaande dat een gebruiker maar op één enkel endpoint tegelijk kan aangemeld zijn, zijn er nog deze vraagstukken:
- Een OTP kan makkelijk worden doorgegeven (per sms, aan de telefoon, ...), wanneer er bv. een personeelswissel plaatsvindt.
- Gebruik van een USB dongle verhindert tablet gebruikers + er bestaan genoeg usb-over-tcp/ip omwegjes.
De smartphone gebruiken als security token zou kunnen, maar hier mag het ook geen out-of-band oplossing betreffen. (Logt gebruiker A in, moet gebruiker B enkel op "Allow" drukken wanneer die bv. op vakantie is.)
Of moet ik me gewoon neerleggen bij het feit dat dongles worden doorgegeven? Een OTP token kan wel worden doorgegeven, maar er kan toch maar één sessie per gebruiker tegelijk worden opgezet.
Of zijn er andere manieren?
Groeten
:strip_icc():strip_exif()/u/46486/RayBan.jpg?f=community)
/u/57387/claimedavatar-70.png?f=community){kind=avatar}
:strip_icc():strip_exif()/u/17313/_IGP1526kl2.jpg?f=community)
