Sicherheit des "Angemeldet bleiben..." Features

    • Offizieller Beitrag

    Mit dem Angemeldet bleiben... Feature in Vertec loggt sich ein User einmal mit Username / Passwort ein, muss das mit einem 2FA Token bestätigen - ich hoffe, alle nutzen das! - und bleibt von da an angemeldet. Dabei werden in Vertec nicht Username / Passwort gespeichert, sondern ein Token, welches nur genau für das nächste Login gültig ist und dann ersetzt wird mit einem Token für die nächste Anmeldung. Bei der Web App wird das in einem Cookie gespeichert mit Namen vertec_auth_token.


    Bei den full-featured Apps (Web App, Cloud App, Desktop App) bleibt eine Session so lange offen, wie man die App offen hat. Erst wenn man eine App neu startet, wird man neu angemeldet, sei es über Username / Passwort oder eben über ein "Angemeldet bleiben..." Token. Bei den specialized Apps ist das anders: Phone App und Outlook App behalten keine stehende Verbindung zum Vertec Cloud Server, und die Session wird bei Nichtbenutzung nach einer gewissen Zeit (standardmässig 75 Minuten) serverseitig beendet. Greift die App erneut zu, wird mittels dem "Angemeldet bleiben..." Feauture eine neue Session gestartet. Man merkt in der Benutzung nichts, ausser vielleicht einer kleinen Verzögerung.


    Das "Angemeldet bleiben..." Feature kann im Betriebsszenario On Premises auch abgeschaltet werden (Siehe Einstellung https://www.vertec.com/kb/ini/#token-lifetime). Dies führt unmittelbar dazu, dass man sich alle 75 Minuten bei Phone App und Outlook App neu anmelden muss, was die Apps fast unbrauchbar macht - insbesondere wenn man sein Vertec auch noch mit 2FA abgesichert hat!


    Aber auch die Sicherheit der Vertec Instanz wird durch das nicht erhöht: Es werden dann nämlich bei jedem Login die langlebigen Credentials Username / Passwort übermittelt, anstatt das kurzlebige "Angemeldet bleiben..." Token. Die Sicherheit des Tokens ist auch insofern höher, als dass Vertec eine Doppelbenutzung feststellen kann und dann gleich alle Tokens des Users invalidiert (das ist bei Username / Passwort nicht möglich). Auch können alle Tokens eines Users durch den Admin entfernt werden (https://www.vertec.com/kb/vert…det-bleiben-zuruecksetzen).


    Zusammengefasst sollte das "Angemeldet bleiben..." Feature nicht ohne triftigen Grund ausgeschaltet werden, insbesondere erhöht das die Sicherheit der Vertec Installation nicht automatisch!


    Sind folgende Bedingungen erfüllt, dann kann ein Abschalten Sinn ergeben: