2FA für Webfront und App

Hallo Symcon Team,

wird es bald eine Zwei-Fakto-Authentifizierung für das Webfront und die Symcon App geben?
Das wäre echt langsam fällig und absolut zeitgemäß, bedenke man, was alles an kritischer Infrastruktur bei so manchem „von draußen“ erreichbar und „nur“ mit einem Passwort geschützt ist.

Danke und Gruß

Dem Wunsch kann ich nur zustimmen und ich schlage vor das FIDO2 Protokoll zum Einsatz zu bringen :

https://fidoalliance.org/

Dazu fällt mir nur dass ein:

bb

Naja also ich würde hier sagen man sollte die Kirche noch im Dorf lassen.

Natürlich ist Sicherheit ein wichtiges Thema aber von „Kritischer Infrastruktur“ würde ich da noch nicht sprechen :wink:

Sofern man sichere Passwörter und verschlüsselte Verbindungen verwendet ist das ganze schon mal sehr sicher. Gerade für die Konsole spricht ja auch nichts dagegen Passwörter mit jenseits der 20 Zeichen zu verwenden.

Wenn man mehr Sicherheit braucht/haben will sollte man selbst noch etwas mit Netztrennung/VPN/Firewall etc. Nachsteuern. Das ist wahrscheinlich ohnehin sehr sinnvoll, da die SPSen usw. Viel mehr Angriffsvektoren bieten. Auf der einen Seite will man 2FA und auf der anderen Seite arbeitet man mit Modbus unverschlüsselt und ohne Autentifikation.

Na ja das mag ja alles richtig sein aber ich habe meine eigenen Vorstellungen in Bezug auf Sicherheit und glaube mich in guter Gesellschaft zu befinden wenn ich gerne 2FA für meinen Symcon Zugang hätte. Das der Rest des Systems auch stimmen muss ist selbstverständlich richtig.

Ich nutze IP-Symcon an drei verschiedenen Standorten und hätte es nicht gerne wenn mir jemand die Alarmanlage abschaltet, die Heizung hochdreht oder meinen Garten unter Wasser setzt.

Natürlich habe ich VPN und natürlich gibt es eine Firewall aber genauso natürlich ist es mittlerweile 2FA einzusetzen

Oder „hintenrum“ über IPS Zugang zur Fritzbox hat und an der Firewall rumspielen kann.

Also ich finde 2FA Authentifizierung vor allem für die Konsole als sehr gute & sinnvolle Erweiterung…
Man kann ja über ein „Optional“ nachdenken - dann kann jeder selber entscheiden ob ihm der Komfort wichtiger als die Sicherheit ist.

Da Symcon mittlerweile ein ganz zentrales Element im Smarthome ist und nicht nur für Komfort-Funktionen (Heizung / Licht) verwendet wird, kann ein befugter Zugriff schon recht gravierende Folgen haben…
Vor allem wenn ich da an Alarmanlage, elektrische Türschlösser (z.B. Nuki / Homematic / Doorbird), elektrische Fenster-Öffner etc. denke… oder daran das teilweise im Code Zugangsdaten zu Geräten / APIs im Klartext hinterlegt sein könnten…

Gruß,
Markus

Man muss halt schauen wie es sich dann noch praktikabel Umsätzen lässt. Wenn ich in der App bei jedem öffnen nach dem 2. Faktor gefragt werde ist es ganz schnell wieder deaktiviert :grin:
Man muss halt auch schauen, dass die Zeit sauber synchronisiert sonst funktioniert es nicht mehr :wink:

Um keinen falschen Eindruck zu erwecken ich bin auch ein großer Freund von 2FA :wink:

Alsoooo…

Kritische Infrastruktur: Aber sowas von! Meine Haustür geht über IPS auf, mehr muss ich nicht sagen!

Sicherheit: Ja, lange Passwörter sind halt auch keine Lösung, da man sie ja i.d.r. in einem Passwortmanager speichert (oder tippt ihr ersthaft 30 Zeichen wild ein??). Dieser Manager hat dann ein Master Passwort. Tolle „Sicherheit“…

Komfort: 2FA ist das höchste Maß an Sicherheit bei trotzdem recht gutem Komfort. Synology macht das z.B. so, dass der Browser gespeichert wird und die 2FA nur bei Erstnutzung mit jedem Browser oder jeder App einmalig fällig ist. Das klappt astrein und nervt im „Tagesgeschäft“ gar nicht. Jeder Angreifer müsste also dein Smartphone oder deinen PC verwenden.

2FA ist nunmal Stand der Technik.

Ich denke nicht, dass Ihr Profis weiter erläutern müsst, was Ihr Euch unter Sicherheit vorstellt.
Worauf sich Euer Wissen auch begründet, sei mal dahingestellt aber mir würde es reichen, wenn Ihr erstmal auf ne Reaktion warten würdet.

Gesendet von iPhone XS mit Tapatalk

Boui - kann es sein das du reif fürs Wochenende bist?
Wenn ich mir die Beiträge durchlese gab es ne konstruktive Diskussion, ich erkenne weder einen Grund das du dich angegriffen fühlen könntest - noch einen Grund die Diskussion aus Moderatoren-Sicht zu unterbinden.

Auf welcher Grundlage unsere Aussagen aufbauen & welchen Background jeder einzelne mitbringt hat mit der Diskussion nix zu tun - das ist genau so individuell wie das persönliche Sicherheitsbedürfnis jedes Einzelnen oder die individuelle Einstellung zum Datenschutz. Trotzdem kann so ein Rahmen genutzt werden um die weniger erfahrenen Kollegen technisch weiter zu bilden & zu sensibilisieren. Ob das angenommen wird oder nicht ist wie immer im Leben: Vorsorge ist in vielen Bereichen empfohlen aber nicht verpflichtend - jeder muss selber entscheiden welcher Weg er geht & die Konsequenz tragen… mit dem Unterschied das wir in dem IT-Sektor je nach Wissensstand die möglichen Konsequenzen kennen - in anderen Vorsorge-Bereichen die Konsequenzen allerdings nicht mal abschätzen können.

So - zurück zum Thema: ich denke der Wunsch & die Notwendigkeit ist klar & ich freue mich über die Aufnahme des Feature-Request auf die Wunschliste Liste [emoji106]

Beste Grüße & ein erholsames Wochenende,
Markus

Gesendet von meinem SM-T719 mit Tapatalk

Gibt es eigentlich etwas neues zu dem Thema 2FA ?
Wäre es möglich das jemand von Symcon einen groben Ausblick gibt ? (z.b. Kommt nie, Kommt nächstes Jahr, etc.)

Habe gerade einen Yubikey 5Cnano als 2FA für mein Boxcryptor Tool installiert. Macht richtig Spaß