Login - Method

Question

Sehr geehrte Damen und Herren,

wir betreiben an der Med. Uni. Innsbruck ja einen eigenen SOSCI-Server, nun hat sich die Frage gestellt ob folgendes geplant für SOSCI-Survey:

a) Login Anbindung an LDAP-Server
b) TWO-Factor Authentication

Answer 1

Ja, nachdem die SAML2/Shibboleth-Anbindung bereits möglich ist, steht LDAP als nächstes auf der Liste ... allerdings nicht mit höchster Priorität, weil der Bedarf sehr überschaubar ist (bisher liegen uns dafür zwei Anfragen vor).

Die 2FA hingegen hat höhere Priorität, ein festes Release-Datum können wir dazu aber auch noch nicht nennen.

Comments

Update: Die zwei-Faktor-Authentifizierung mit einem Hardware-Token (z.B. YubiKey) ist derzweit auf www.soscisurvey.de im Testbetrieb und wird in Kürze mit Version 3.4.00 verfügbar sein.

---

wird es denn zukünftig auch die Möglichkeit geben 2FA mit Google Authenticator oder SMS zu nutzen?

---

SMS sind bei großen Nutzerzahlen recht teuer - selbst Banken versuchen, diese Methode los zu werden. Und der Google Authenticator wird vermutlich nicht ganz trivial, was den Datenschutz angeht. Insofern gibt es für beides aktuell keine konkrete Roadmap.

---

Mir/uns würde auch schon eine 2-Faktor-Authentifzierung mit der im Account hinterlegten E-Mail-Adresse reichen, optimalerweise für einen bestimmten IP-Bereich (bzw. genau anders herum: wenn die IP nicht aus einem bestimmten Bereich kommt, soll ein Code per E-Mail verschickt werden, der als 2FA eingegeben werden muss). Anm.: das ist zZ so im redcap konfigurierbar und eine zusätzliche Absicherung.

---

Eine E-Mail-Adresse ist nicht wirklich ein zweiter Faktor - denn wer die Mailadresse hat, kann erst das Passwort ändern und sich dann einloggen. Solange das E-Mail-Postfach nicht mit zwei Faktoren gesichert ist, ist das bestenfalls eine mild annoyance für einen möglichen Angreifer. So ganz überzeugt mich das nicht.