Token und Smartcards

SafeGuard Enterprise bietet erweiterte Sicherheit durch die Unterstützung von Token und Smartcards für die Authentisierung. Auf Token/Smartcards lassen sich Zertifikate, digitale Signaturen und biometrische Informationen speichern.
Anmerkung

Token und Smartcards können nicht für macOS Endpoints konfiguriert werden.

Die Token-Authentisierung basiert auf dem Prinzip der Zwei-Faktor-Authentisierung: Ein Benutzer verfügt über einen Token (Besitz), kann den Token aber nur nutzen, wenn er das spezifische Token-Kennwort kennt (Wissen). Bei Verwendung eines Token oder einer Smartcard benötigen die Benutzer zur Authentisierung nur noch den Token und eine PIN.

Smartcards und Token werden aus Sicht von SafeGuard Enterprise gleich behandelt. Deshalb werden im Produkt und in der Hilfe die Begriffe "Token" und "Smartcard" gleichgesetzt. Die Verwendung von Token und Smartcards muss in der Lizenz aktiviert werden, siehe Token-Lizenzen.

Bei Windows 8 und höher gibt es eine Funktion namens virtuelle Smartcard. Eine virtuelle Smartcard simuliert mit Hilfe eines TPM-Chip als Basis die Funktionalität einer physischen Smartcard, kann aber nicht mit SafeGuard Enterprise genutzt werden.

SafeGuard Enterprise unterstützt Token:

  • in der SafeGuard Power-on Authentication (gilt nicht für Windows 8 und Windows 8.1)

  • auf Betriebssystemebene

  • zur Anmeldung am SafeGuard Management Center

Wenn ein Token für einen Benutzer in SafeGuard Enterprise ausgestellt wird, werden Daten wie Hersteller, Typ, Seriennummer, Anmeldedaten und Zertifikate in der SafeGuard Enterprise-Datenbank hinterlegt. Token werden anhand der Seriennummer identifiziert und sind dann in SafeGuard Enterprise bekannt.

Es ergeben sich erhebliche Vorteile:

  • Sie wissen, welche Token im Umlauf sind und welchen Benutzern sie zugeordnet sind.

  • Sie wissen, wann sie ausgestellt wurden.

  • Wenn Token verlorengegangen sind, kann der Sicherheitsbeauftragte sie identifizieren und für die Authentisierung sperren. Damit kann Datenmissbrauch verhindert werden.

  • Trotzdem kann der Sicherheitsbeauftragte über Challenge/Response die Anmeldung ohne Token zeitweilig erlauben, z. B. wenn ein Benutzer seine PIN vergessen hat.
    Anmerkung Mit SafeGuard volume-basierender Verschlüsselung wird diese Recovery-Option für die Anmeldung mit kryptographischen Token (Kerberos) nicht unterstützt.