none
2FA (2 Faktor Authentifizierung) für SQL Server RRS feed

  • Frage

  • Hi,

    also, ich habe das soweit mal im Internet recherchiert, und bin mir da aber nicht zu 100% sicher. Laut einigen Seiten kann der SQL Server selbst keine 2FA. Es ist aber wohl möglich, die eigentlichen Daten über einen zweiten Faktor zu sichern.

    Stimmt das so in der Art? Dann würde ich ja nur über die Einführung einer 2FA den Zugriff via SSMS oder RDP sichern, aber nicht den eigentlichen SQL-Server, oder?

    Danke euch,

    Grüße

    Andreas

    Donnerstag, 24. März 2016 06:18

Antworten

  • Hier ist ja einiges Durcheinander gekommen, wenn ich das mal so sagen darf.

    Andreas ist aber schon auf dem richtigen Dampfer. Warum?:

    2-Factor Authentication (2FA, wie erstmalig 1984 im US Patent 4720860, „Method and apparatus for positively identifying an individual“ beschrieben) besteht aus 2 verschiedenen Authentifizierungsmethoden.

    Eine davon kann etwas sein, das der Nutzer weiß, eine andere etwas, das er besitzt, und die dritte kann sein etwas, was er hat.

    Was er weiß, ist sein Passwort. Was er besitzt, kann sein eine Smartcard, was er hat wäre beispielsweise ein Fingerabdruck oder eine Iris.

    Der Nutzername allein wird NICHT als „Faktor“ bewertet. Da ist der Wikipedia-Artikel nicht sehr glücklich geschrieben und ohne Vorkenntnisse tatsächlich auch falsch interpretierbar.

    Unter Windows 10 beispielsweise wird 2-Faktor Authentifizierung nativ mithilfe des Fingerabdrucks unterstützt. Unter Azure kann beispielsweise ein einmal-PIN-Code verwendet werden.

    Username + Passwort ist also noch nie 2-Faktor Authentifizierung gewesen, um das nochmal klar zu sagen.

    “2-Factor Authentication” ist gleichzeitig “Multifactor-Authentication”. Das ist einfache Mathematik. Alles was mehr als 1 ist, ist “multiple”. Das sollte nicht zur Verwirrung führen.

    Und um die Eingangsfrage damit abschließend zu beantworten:

    SQL Server unterstützt KEINE 2-Faktor Authentifizierung

    Der Einsatz von externen Encryption Stores (EKM) ist ausschließlich für Datenverschlüsselung gedacht, was ein anderes Layer ist. Das kann man prinzipiell kombinieren.

    Multifactor-Authentication wird aber durch Windows Active Directory unterstützt, wofür Olaf ein Beispiel nannte.

    Ich hoffe, ich konnte damit die Verwirrung auflösen.

    PS: Was ich noch erwähnen wollte: CAPTCHAs zählen gar nicht zu Authentifizierungsmethoden. Wenn man sich ansieht, wofür das Acronym steht, wird es sicherlich offensichtlich, das es ein "Test" ist, und nichts anderes: "Completely Automated Public Turing test to tell Computers and Humans Apart"

    ;-)


    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform
    www.SarpedonQualityLab.com | www.andreas-wolter.com

    Donnerstag, 24. März 2016 10:30

Alle Antworten

  • Hi Andreas,
    mit der integrierten Windows Authentifizierung wird die Zwei-Faktor-Authentifizierung realisiert (Nutzername und Kennwort). Was meinst Du konkret mit Deiner Frage?

    --
    Viele Grüsse
    Peter Fleischer (MVP, Partner)
    Meine Homepage mit Tipps und Tricks
    Kommas richtig setzen!
    Schüler sagen, Lehrer haben es gut.
    Schüler, sagen Lehrer, haben es gut

    Donnerstag, 24. März 2016 06:50
  • Hi,

    ich meine die Authentifizierung über Benutzer+Kennwort und zusätzlich über einen zweiten Faktor, also USB-Stick mit Key, oder so ein Tool, was einen Zahlenschlüssel erzeugt, welchen man dann zusätzlich eingeben muss.

    Grüße

    Andreas

    Donnerstag, 24. März 2016 07:28
  • Hallo Andreas,

    diese Authentifizierung gibt es doch auf Windows OS Ebene mit SmartCard oder Access Token.


    Olaf Helper

    [ Blog] [ Xing] [ MVP]

    Donnerstag, 24. März 2016 07:59
  • Hi,

    ja, das meinte ich, ich wollte es nur nochmal bestätigt wissen. Gerade, wo die neue Version vor der Tür steht.

    Gut, dann müssen die Kollegen sich um das "Mehr" an Sicherheit kümmern, und wir werden es mit den SQL-Servern nutzen.

    Grüße

    Andreas

    Donnerstag, 24. März 2016 08:07
  • Hi Andreas,
    das ist aber keine 2FA, sondern eine Multi-Faktor-Authentifizierung mit mehr als 2 Faktoren.

    --
    Viele Grüsse
    Peter Fleischer (MVP, Partner)
    Meine Homepage mit Tipps und Tricks
    Kommas richtig setzen!
    Schüler sagen, Lehrer haben es gut.
    Schüler, sagen Lehrer, haben es gut

    Donnerstag, 24. März 2016 08:50
  • Hm,

    nun bin ich gänzlich verwirrt.

    Also, ich habe eine Authentifizierung via Userkennung & Passwort. Das sehe ich als 1 Faktor Authentifizierung.

    Wenn ich noch zusätzlich zu Userkennung & Passwort einen weiteren Faktor verwende, wie auch immer, dann ist es doch 2 Faktor Authentifizierung. Oder bringe ich hier grundsätzlich etwas durcheinander?

    Hoffe das Thema schweift nicht zu sehr von SQL ab, aber wäre halt für mich wichtig, es wirklich von den Begriffen her geklärt zu sehen.

    Danke euch,

    Andreas

    Donnerstag, 24. März 2016 09:05
  • Hi Andreas,
    schau mal hier - Zwei-Faktor-Authentifizierung.

    1. Faktor: Kennung (Anmeldename)

    2. Faktor. Kennwort

    Nur wer beide Faktoren kennt, kann sich anmelden.

    Eine Ein-Faktor-Authentifizierung ist beispielsweise die Eingabe eines Captcha, um sich als Mensch zu authentifizieren.


    --
    Viele Grüsse
    Peter Fleischer (MVP, Partner)
    Meine Homepage mit Tipps und Tricks
    Kommas richtig setzen!
    Schüler sagen, Lehrer haben es gut.
    Schüler, sagen Lehrer, haben es gut


    Donnerstag, 24. März 2016 09:14
  • Hier ist ja einiges Durcheinander gekommen, wenn ich das mal so sagen darf.

    Andreas ist aber schon auf dem richtigen Dampfer. Warum?:

    2-Factor Authentication (2FA, wie erstmalig 1984 im US Patent 4720860, „Method and apparatus for positively identifying an individual“ beschrieben) besteht aus 2 verschiedenen Authentifizierungsmethoden.

    Eine davon kann etwas sein, das der Nutzer weiß, eine andere etwas, das er besitzt, und die dritte kann sein etwas, was er hat.

    Was er weiß, ist sein Passwort. Was er besitzt, kann sein eine Smartcard, was er hat wäre beispielsweise ein Fingerabdruck oder eine Iris.

    Der Nutzername allein wird NICHT als „Faktor“ bewertet. Da ist der Wikipedia-Artikel nicht sehr glücklich geschrieben und ohne Vorkenntnisse tatsächlich auch falsch interpretierbar.

    Unter Windows 10 beispielsweise wird 2-Faktor Authentifizierung nativ mithilfe des Fingerabdrucks unterstützt. Unter Azure kann beispielsweise ein einmal-PIN-Code verwendet werden.

    Username + Passwort ist also noch nie 2-Faktor Authentifizierung gewesen, um das nochmal klar zu sagen.

    “2-Factor Authentication” ist gleichzeitig “Multifactor-Authentication”. Das ist einfache Mathematik. Alles was mehr als 1 ist, ist “multiple”. Das sollte nicht zur Verwirrung führen.

    Und um die Eingangsfrage damit abschließend zu beantworten:

    SQL Server unterstützt KEINE 2-Faktor Authentifizierung

    Der Einsatz von externen Encryption Stores (EKM) ist ausschließlich für Datenverschlüsselung gedacht, was ein anderes Layer ist. Das kann man prinzipiell kombinieren.

    Multifactor-Authentication wird aber durch Windows Active Directory unterstützt, wofür Olaf ein Beispiel nannte.

    Ich hoffe, ich konnte damit die Verwirrung auflösen.

    PS: Was ich noch erwähnen wollte: CAPTCHAs zählen gar nicht zu Authentifizierungsmethoden. Wenn man sich ansieht, wofür das Acronym steht, wird es sicherlich offensichtlich, das es ein "Test" ist, und nichts anderes: "Completely Automated Public Turing test to tell Computers and Humans Apart"

    ;-)


    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform
    www.SarpedonQualityLab.com | www.andreas-wolter.com

    Donnerstag, 24. März 2016 10:30
  • Hallo Andreas,
    vielen Dank für "Erleuchtung". Da sollte wohl auch der Wiki-Beitrag überarbeitet werden, insbesondere bezüglich der Systeme, die nur mit einem Faktor auskommen - Eingabe nur eines Wertes (Schlüssel oder Kennwort), welcher den Nutzer identifiziert. Damit könnte eigentlich auch die Eingabe zweier Werte (Anmeldename und Kennwort) auf eine Eingabe reduziert werden, wenn das keine 2FA sein soll. Jedenfalls habe ich das in dieser Interpretation aus dem US Patent nicht herausgelesen.


    --
    Viele Grüsse
    Peter Fleischer (MVP, Partner)
    Meine Homepage mit Tipps und Tricks
    Kommas richtig setzen!
    Schüler sagen, Lehrer haben es gut.
    Schüler, sagen Lehrer, haben es gut

    Donnerstag, 24. März 2016 17:55
  • Hallo Peter,

    Ja, könnte man. Hast Du Zeit? ;-)

    Es geht nicht um die Anzahl der Eingaben oder so. Das verwirrt nur. Es ist gut denkbar dass man für eine PIN-Eingabe 4 verschiedene Felder erhält - und dennoch ist das nur ein Faktor - solange diese PIN eben auf dem selben Wege bereitgestellt wird. (Handy oder aus dem Kopf/Gedächtnis) Sobei da also 2 versch. Quellen ins Spiel kommen, kann man sich grob merken, ist es Multi-Faktor.

    Ich habe noch nie jemanden von 2-Factor bei Username+Passwort sprechen hören, aber sehr wohl in dem Moment, wo zusätzlich eine PIN ins Spiel kam, insofern ist mir jetzt auch keine Falsch-Quelle bekannt muss ich zugeben.

    Hier findet man eine treffende auf den Prunkt gebrachte Beschreibung: multifactor authentication (MFA)

    "Multifactor authentication combines two or more independent credentials: what the user knows (password), what the user has (security token) and what the user is (biometric verification). The goal of MFA is to create a layered defense and make it more difficult for an unauthorized person to access a target such as a physical location, computing device, network or database. If one factor is compromised or broken, the attacker still has at least one more barrier to breach before successfully breaking into the target."

    und wenn  man nach 2-Factor Authentication sucht, wird man immer etwas finden, was ZUSÄTZLICH zu Username+Passwort kommt. Beispiel: How to implement two factor authentication with Windows Server 2008 NPS


    Andreas Wolter (Blog | Twitter)
    MCSM: Microsoft Certified Solutions Master Data Platform/SQL Server 2012
    MCM SQL Server 2008
    MVP Data Platform
    www.SarpedonQualityLab.com | www.andreas-wolter.com

    Donnerstag, 24. März 2016 18:10