Jahre später… ich nutze den Thread gerne mal, weil es hier:
Digitales Klassenbuch <-> Verwaltungsnetz ja eigentlich mir nur um die Netzwerkeinbindung ging, dort wurde aber auch fleißig über Tokens etc. diskutiert.
Ich habe eine Frage zu den recht deutlichen Datenschutzhinweisen des Landes BW:
Unter Abschnitt 5 werden 2FA abgehandelt.
Da steht, dass Möglichkeiten wären: „Software-Token, Hardware-Token, One-Time-Password (OTP), Time-based One-time Password (TOTP) usw. bewerkstelligt werden.“
Wisst ihr, was mit Software-Token gemeint ist?
Weiter unten ist von „Client-Zertifikaten“ die Rede, ich vermute, dass damit solche Software-Token gemeint sind.
Was ich aus dem Dokument nicht herauslesen kann ist, wo diese Softwaretoken gespeichert werden dürfen. Aus der Logik heraus, welche Maßstäbe man an die Hardwaretoken oder TOTP-Generierung anlegt (immer: zweites Gerät), kann es ja nicht sein, dass ein Clientzertifikat auf demselben Gerät liegt, mit dem man sich anmeldet. Andererseits: wie soll das sonst funktionieren? Liegt das auf einem USB-Stick, den ich anstecke und dann das Zertifikat davon (mit Passphrase vermutlich) nutze?
Das würde zwar Sinn ergeben, wenn man als Angriffsvektor nur „Diebstahl des Primärgeräts“ und/oder des ersten Faktors in Betracht zieht. Dann hat der Angreifer immer noch keinen zweiten Faktor.
Wenn ich aber als Angriffsvektor „Übernahme des primären Geräts“ in Betracht ziehe, kann ich dann nicht als Angreifer zumindest beim ersten Nutzen des Softwarezertifikats selbiges abgreifen (inkl. Passphrase, ich habe das Gerät ja unter Kontrolle)?
Also irgendwo habe ich (oder die Ersteller des Dokuments) doch einen Denkfehler, oder?
VG, Tobias