Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google

Post by Andreas Borutta
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Ich habe welche von Yubikey, mit USB-A Anschluß. Was ich an diesen
liebe: Sie sind hardwaremäßig quasi unkaputtbar. Und verschwinden am
Schlüsselbund wie ein weiterer Schlüssel.

Ob die mit USB-C auch so gut sind weiß ich nicht, aber die mit USB-A
sind für mich das Beispiel wie jede Computerhardware sein sollte, vom
phyischen her.

/ralph

Arno Welzel

2024-05-08 12:51:07 UTC

Post by Ralph Aichinger

Post by Andreas Borutta
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Ich habe welche von Yubikey, mit USB-A Anschluß. Was ich an diesen
liebe: Sie sind hardwaremäßig quasi unkaputtbar. Und verschwinden am
Schlüsselbund wie ein weiterer Schlüssel.

Dafür muss man halt immer den Schlüsselbund an den Computer stecken ;-)

--
Arno Welzel
https://arnowelzel.de

Ralph Aichinger

2024-05-08 13:16:53 UTC

Post by Arno Welzel
Dafür muss man halt immer den Schlüsselbund an den Computer stecken ;-)

It's not a bug, it's a feature. So vergißt man das Ding nicht.

/ralph

Andreas Borutta

2024-05-08 13:01:22 UTC

Post by Ralph Aichinger

Post by Andreas Borutta
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Ich habe welche von Yubikey, mit USB-A Anschluß. Was ich an diesen
liebe: Sie sind hardwaremäßig quasi unkaputtbar. Und verschwinden am
Schlüsselbund wie ein weiterer Schlüssel.
Ob die mit USB-C auch so gut sind weiß ich nicht, aber die mit USB-A
sind für mich das Beispiel wie jede Computerhardware sein sollte, vom
phyischen her.

Mir selber ist die physische Robustheit nicht besonders wichtig, da
ich nicht vorhabe, den Stick (am Schlüsselbund) dabeizuhaben. *

Ich benötige ihn ausschließlich für ein Login im Apple-iCloud-Konto.
Und das ist sehr selten nötig. Vor allem, wenn man ein neues Gerät
einrichtet.

Andere Logins werde ich, wo es möglich ist, per Passkeys absichern.
Als Schlüsselverwalter dient dann mein Smartphone bzw. mein Notebook.

Weil alle Schlüssel über den "Schlüsselbund" in iCloud synchronisiert
werden, ist auch beim gleichzeitigen Verlust/Diebstahl aller Geräte
(Smartphone und Notebook) gewährleistet, dass ich an den
"Schlüsselbund" drankomme.

Neues Gerät kaufen, per FIDO2-Stick einrichten, "Schlüsselbund"
syncen.

Einen der beiden FIDO2-Sticks würde ich, wie schon jetzt eine
Festplatte mit einem Backup, an einem anderen Ort (außerhalb der
Wohnung) lagern.

Das ist bisher mein Plan.

Andreas

Für den Stick "Titan", der eigentlich "Zink" heißen müsste, wird als
Material Polycarbonat und Zink angegeben. Ich vermute, dass er
physisch robust ist.
Und ich vermute, dass USB-C noch robust als USB-A ist ist, aber sicher
bin ich mir nicht. Allein geometrisch sollte ein ovaler Querschnitt
robuster sein als rechteckiger

--
http://fahrradzukunft.de

Ralph Aichinger

2024-05-08 13:23:57 UTC

Post by Andreas Borutta
Mir selber ist die physische Robustheit nicht besonders wichtig, da
ich nicht vorhabe, den Stick (am Schlüsselbund) dabeizuhaben. *

Klar. Nicht jeder nutzt solche Dinge auf die gleiche Weise. Für mich ist
halt das Verstauen am Schlüsselbund praktisch. Aber ich fange nächste
Woche eine neue Arbeit an, wer weiß was die mir dann für Dingens
aushändigen, ab einer gewissen Größe wird das dann vermutlich irgendwo
andershin ausgelagert.

Post by Andreas Borutta
Einen der beiden FIDO2-Sticks würde ich, wie schon jetzt eine
Festplatte mit einem Backup, an einem anderen Ort (außerhalb der
Wohnung) lagern.
Das ist bisher mein Plan.

Hört sich nach einem guten Plan an.

Post by Andreas Borutta
Und ich vermute, dass USB-C noch robust als USB-A ist ist, aber sicher
bin ich mir nicht. Allein geometrisch sollte ein ovaler Querschnitt
robuster sein als rechteckiger

Beim USB-A-Yubikey ist Gehäuse und der isolierende Teil des Steckers
eine Einheit, ich vermute glasfaserverstärkter Kunststoff. Er ist
vermutlich der einzige USB-Stecker mit dem man Kapseln öffnen könnte.

Aber klar, für "meistens in der Lade/im Safe" völlig irrelevant.

/ralph

Christian Weisgerber

2024-05-08 15:27:59 UTC

Post by Andreas Borutta
Der Sicherheitsschlüssel "Titan" von Google erlaubt die Speicherung
von 250 Passkeys und kostet 35€.
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Nicht wirklich.

Heise.de hat kürzlich darauf aufmerksam gemacht, dass es bei diesem
Modell nicht möglich ist, einzelne Passkeys zu entfernen, sondern
dass man nur alle auf einmal löschen kann.
https://www.heise.de/news/Google-Titan-Sicherheitsschluessel-Keine-Passkey-Verwaltung-9684858.html

Ein Modell mit Platz für 300 Passkeys, die einzeln verwaltet werden
können, ist der T2F2-Pin+ Release2 von Token2:
https://www.heise.de/news/Passkeys-FIDO2-Sicherheitsschluessel-mit-Platz-fuer-300-Passkeys-9701794.html

Und gerade heute gibts die Meldung, dass Yubikeys mit der jetzt
angekündigten Firmware 5.7 statt bisher 25 nunmehr 100 Passkeys
verwalten werden können:
https://www.heise.de/news/Yubikey-FIDO2-Sicherheitsschluessel-kuenftig-mit-Platz-fuer-100-Passkeys-9712346.html

--
Christian "naddy" Weisgerber ***@mips.inka.de

Andreas Borutta

2024-05-08 20:29:33 UTC

Post by Christian Weisgerber

Was ist denn eure Praxis?
Verwendet ihr einen Stick für eure diversen Konten, die sich mit
Passkey absichern lassen, oder verwendet ihr (wie ich es angedacht
habe) euer Mobilgerät stattdessen?

Post by Christian Weisgerber
Ein Modell mit Platz für 300 Passkeys, die einzeln verwaltet werden
https://www.heise.de/news/Passkeys-FIDO2-Sicherheitsschluessel-mit-Platz-fuer-300-Passkeys-9701794.html

Sehr günstig. Spricht etwas dagegen?

Post by Christian Weisgerber
Und gerade heute gibts die Meldung, dass Yubikeys mit der jetzt
angekündigten Firmware 5.7 statt bisher 25 nunmehr 100 Passkeys
https://www.heise.de/news/Yubikey-FIDO2-Sicherheitsschluessel-kuenftig-mit-Platz-fuer-100-Passkeys-9712346.html

Las ich heute auch, danke.

Andreas

--
http://fahrradzukunft.de

Andreas Borutta

2024-05-09 19:25:19 UTC

Post by Andreas Borutta
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
muss?

Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
"Hardware Security Tokens", dass es ohne jede weitere Authentifikation
funktioniert.

Beispiel Nitrokey:

<https://docs.nitrokey.com/de/fido2/windows/>

"Nun müssen Sie eine PIN für Ihren Nitrokey FIDO2 festlegen."

Andreas

--
http://fahrradzukunft.de

Peter J. Holzer

2024-05-09 19:45:30 UTC

Post by Andreas Borutta
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Das kommt darauf an, ob das Token als ein Faktor in einer
Authentifikation eingesetzt werden soll oder als zwei Faktoren.

Als single Factor ("something you have") kann er jeden anderen Faktor
(z.B. ein Passwort) ersetzen. Wenn man einen Faktor als ausreichend
erachtet, ist man damit fertig. Oder man kann ihn mit einem anderen
Faktor kombinieren und hat damit two factor authentication.

Dieser andere Faktor kann eine PIN sein ("something you know"), und
damit hat man two factor authentication in einem Gerät.

hp

Andreas Borutta

2024-05-09 21:28:43 UTC

Post by Andreas Borutta
Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Das kommt darauf an, ob das Token als ein Faktor in einer
Authentifikation eingesetzt werden soll oder als zwei Faktoren.
Als single Factor ("something you have") kann er jeden anderen Faktor
(z.B. ein Passwort) ersetzen. Wenn man einen Faktor als ausreichend
erachtet, ist man damit fertig. Oder man kann ihn mit einem anderen
Faktor kombinieren und hat damit two factor authentication.
Dieser andere Faktor kann eine PIN sein ("something you know"), und
damit hat man two factor authentication in einem Gerät.

Danke!

Andreas

--
http://fahrradzukunft.de

Christian Weisgerber

2024-05-09 21:43:42 UTC

Post by Andreas Borutta
Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
muss?

Ja... jein.

Es ist ein Zwei-Faktor-System. Ein Faktor ist der Schlüssel selbst
("Besitz"). Dazu muss jetzt noch ein zweiter Faktor kommen. Vorschläge?
Führend ist die PIN (eigentlich ein Passwort, "Wissen").

Ein alternativer zweiter Faktor ist ein biometrisches Merkmal. Es
gibt FIDO2-Authentikatoren mit eingebautem Fingerabdruckleser.
Mindestens die relativ teuren YubiKey-Bio-Modelle. Aber auch diese
verlangen nach Einrichtung einer PIN, auf die zurückgegriffen wird,
wenn's mit dem Fingerabdruck nicht klappt.

Wenn das Smartphone als FIDO2-Authentikator fungiert ("Passkeys"),
dann ist das genauso: Ein Faktor ist der geheime Schlüssel in der
Sicherheitsenklave, der zweite Faktor ist die Entsperrung des Geräts,
ob durch PIN, Fingerabdruck oder Gesichtserkennung.

Post by Andreas Borutta
Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
"Hardware Security Tokens", dass es ohne jede weitere Authentifikation
funktioniert.

Das ist schlecht, wenn man dir das Token aus der Tasche nimmt und
sich dann allein dadurch als dich ausgeben kann.

FIDO hat als das technisch schlanke Google U2F-Verfahren angefangen,
das, wie der Name schon sagt, nur ein zweiter Faktor ist: Man loggt
sich normal ein, typisch mit Username/Passwort, und zusätzlich wird
das U2F-Token abgefragt.

Als das außerhalb von Google wenig Anklang gefunden hat, wurde das
Verfahren dann so aufgeblasen, dass man sich allein mit dem
Authentifikatior einloggen können soll, wozu die Passwortprüfung
oder biometrische Alternative zum Authentifikator hin verlagert
wurde. Dieses komplexere Verfahren heißt jetzt FIDO2, und U2F hat
man rückwirkend in FIDO1 umbenannt.

Der Kniff an FIDO2/Passkeys ist, dass die eigentliche Authentisierung
lokal stattfindet und dann über eine kryptografische Ableitungskette
sicher an ferne Gegenstellen weitervermittelt wird.

--
Christian "naddy" Weisgerber ***@mips.inka.de

Andreas Borutta

2024-05-10 07:04:46 UTC

Post by Christian Weisgerber

Post by Andreas Borutta
Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
muss?

Danke für die Aufklärung. Ich dachte bisher, dass man die
Authentikatoren - auf Wunsch - auch als reine 1-Faktor-Systeme (Besitz
allein genügt) verwenden kann.

Jeder weitere Faktor des Typs "Wissen" erfordert ja zwingend Methoden
bei Vergessen des Wissens-Faktors den Faktor zurücksetzen zu können.

Wofür wiederum eine Authentifizierungsmethode nötig ist.

Post by Christian Weisgerber

Post by Andreas Borutta
Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
"Hardware Security Tokens", dass es ohne jede weitere Authentifikation
funktioniert.

Das ist schlecht, wenn man dir das Token aus der Tasche nimmt und
sich dann allein dadurch als dich ausgeben kann.

Es wäre wie beim physischen Wohnungsschlüssel.

Die Wohnadresse (Pendant: ID) muss bekannt sein. Dann kann der
Besitzer des Faktors Schlüssels rein. Es ist ein 1-Faktor-System.

Aber gut, ich habe das hinzunehmen:
Fido2-Hardware benötigt zwingend einen 2. Faktor.

Unterscheiden sich die Hersteller in den Verfahren, die sie zum
Zurücksetzen des 2. Faktors anbieten?

Andreas

--
http://fahrradzukunft.de

Christian Weisgerber

2024-05-12 15:44:38 UTC

Post by Andreas Borutta
Unterscheiden sich die Hersteller in den Verfahren, die sie zum
Zurücksetzen des 2. Faktors anbieten?

Wie ich gerade nochmal bei den Spezifikationen der FIDO Alliance
nachgeschlagen habe, ist "Credential Management" erst mit FIDO
CTAP 2.1 dazugekommen, CTAP 2.0 hatte das noch nicht, sondern nur
komplettes Zurücksetzen. Das wird erklären, warum manche Modelle
wie der Titan noch keine Verwaltung anbieten.

Denkbar, dass mancher Anbieter vor CTAP 2.1 seine eigenen
herstellerspezifischen Erweiterungen für die Verwaltung hatte
(Yubico?).

CTAP: Client to Authenticator Protocol

--
Christian "naddy" Weisgerber ***@mips.inka.de

Andreas Borutta

2024-05-10 07:44:05 UTC

Post by Andreas Borutta
Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2)

Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant
erscheinendeb Unterscheidungsmerkmalen:

1. Quelloffenheit der Hardware: ja/nein
2. Wasserdicht vergossen: ja/nein
3. USB-C: ja/nein
4. NFC: ja/nein
5. Verwaltung der Passkeys möglich: ja/nein
6. Anzahl der speicherbaren Passkeys
7. Preis
8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
10. Methoden zum Zurücksetzen der zusätzlichen Faktoren
...

Andreas

--
http://fahrradzukunft.de

Christian Weisgerber

2024-05-10 14:27:36 UTC

Post by Andreas Borutta
Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant

Ich hätte noch eine Kleinigkeit für den Fall, dass man sowas für
eine täglich zweistellige Zahl von Logins benutzt und den Authentikator
entsprechend oft zur Anwesenheitskontrolle berühren muss - das
betrifft deinen Anwendungsfall nicht, aber meinen mit U2F-gestützten
SSH-Schlüsseln:

Wie berührt man den Authentikator genau oder drückt gar einen Knopf
und auf welcher Achse wirkt dann eine Kraft im Vergleich zur
Steckrichtung bzw. Einbaurichtung der USB-Buchse?

Wer z.B. einen Yubikey an den Laptop steckt und dann von oben auf
die Berührungsfläche drückt, der übt eine Hebelkraft auf die
USB-Buchse aus, was die nach einem Jahr vielleicht mit einem
mechanischen Bruch quittiert.

Anordnungen, wo man den Authentikator von zwei Seiten "zwicken"
kann, so dass keine Nettokräfte auf die Buchse wirken, sind sehr
sinnvoll, hängen aber eben von der Geometrie der Buchsen und des
Authentikators ab. Der Solokey 2 wird, wenn ich die Abbildungen
richtig interpretiere, an den dünnen Seiten berührt, was an einem
Laptop die bessere Lösung ist. Am Desktop bietet sich ohnehin ein
USB-Verlängerungskabel an.

Entweder sind die Leute vorsichtiger als ich glaube, die USB-Buchsen
robuster als ich glaube, oder solche Authentikatoren werden wenig
benutzt...

--
Christian "naddy" Weisgerber ***@mips.inka.de

Ralph Aichinger

2024-05-10 15:44:55 UTC

Post by Christian Weisgerber
Wer z.B. einen Yubikey an den Laptop steckt und dann von oben auf
die Berührungsfläche drückt, der übt eine Hebelkraft auf die
USB-Buchse aus, was die nach einem Jahr vielleicht mit einem
mechanischen Bruch quittiert.

Das kann sicher passieren, allerdings ist die "Taste" am Yubikey ein
kapazitiver Sensor, den man ohne jede Kraft betätigen kann. Ich will
natürlich nicht ausschließen, dass der eine oder andere trotzdem
draufhaut wie auf sein IBM-Keyboard aus den 1980ern, aber notwendig ist
es nicht, es reicht leichtes Auflegen des Fingers.

Eher würde ich mir Sorgen machen um die Hebelwirkung eines dranhängenden
Schlüsselbundes, da muss man wirklich aufpassen, auch wegen Verkratzen.

/ralph

Arno Welzel

2024-05-12 19:05:43 UTC

Christian Weisgerber, 2024-05-10 16:27:

[...]

Es gibt Yubikey auch in einer Variante, wo nur ein "Knopf" aus dem
USB-Port raget:

<https://www.yubico.com/de/product/yubikey-5-fips-series/yubikey-5-nano-fips/>

<https://www.yubico.com/de/product/yubikey-5-fips-series/yubikey-5c-nano-fips/>

--
Arno Welzel
https://arnowelzel.de

Peter J. Holzer

2024-05-10 17:14:13 UTC

Post by Andreas Borutta
Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2)

Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant
1. Quelloffenheit der Hardware: ja/nein
2. Wasserdicht vergossen: ja/nein
3. USB-C: ja/nein
4. NFC: ja/nein
5. Verwaltung der Passkeys möglich: ja/nein
6. Anzahl der speicherbaren Passkeys
7. Preis
8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Für Österreicher kommt dazu:

11. Für ID Austria verwendbar?
(da sind die Kriterien relativ streng, am besten einen offiziell
empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der
die technischen Anforderungen erfüllt, funktionieren sollte)

hp

Peter J. Holzer

2024-05-10 17:28:42 UTC

Post by Andreas Borutta
Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2)

Für Österreicher kommt dazu:

11. Für ID Austria verwendbar?
(da sind die Kriterien relativ streng, am besten einen der offiziell
empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der die
technischen Anforderungen erfüllt, funktionieren sollte)

hp

Ralph Aichinger

2024-05-10 17:45:04 UTC

Post by Peter J. Holzer
11. Für ID Austria verwendbar?
(da sind die Kriterien relativ streng, am besten einen der offiziell
empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der die
technischen Anforderungen erfüllt, funktionieren sollte)

Oh ja, ich hab einen Yubikey der leider nicht funkitoniert (Firmware zu
alt) und das dumme ist, dass es sehr schwierig ist vor dem Bestellen
rauszufinden welche Sticks gehen, welche nicht.

Ich hoffe, dass das langsam besser wird mit der Aktualisierung der
Tokens.

/ralph

Andreas Borutta

2024-05-12 08:56:23 UTC

Post by Peter J. Holzer
Für ID Austria verwendbar?
(da sind die Kriterien relativ streng, am besten einen der offiziell
empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der die
technischen Anforderungen erfüllt, funktionieren sollte)

Aus Neugier:

Zum Identitätsnachweis kann in DE der "elektronische Personalausweis
(nPA)"
<https://de.wikipedia.org/wiki/Personalausweis_(Deutschland)#Der_elektronische_Personalausweis_(nPA)>
verwendet werden.

Sind euch Verfahrensketten zur /Authentifikation/ (nicht
Identifizierung) bekannt, wo ein solcher nPA als Hardware-Faktor (als
zweiter Faktor?) eingesetzt werden kann?

Lesen lässt er sich mit einem Smartphone mit Hilfe der kostenlosen App
"Ausweisapp".
<https://de.wikipedia.org/wiki/AusweisApp_(Governikus)>

Ein Vorteil dieses potentiellen Hardware-Authentikators wäre:

Auch dieser Authentikator ist mit einer PIN als zusätzlichem Faktor
gesichert. Zurückgesetzt werden kann diese PIN nur durch einen Gang zu
Behörde.

Andreas

--
http://fahrradzukunft.de

Peter J. Holzer

2024-05-12 09:26:54 UTC

Post by Andreas Borutta
Sind euch Verfahrensketten zur /Authentifikation/ (nicht
Identifizierung) bekannt,

Wo siehst Du den Unterschied zwischen Authentifikation und
Identifizierung? Meiner Meinung nach ist das im IT-Security-Kontext
synonym. Da unterscheidet man zwischen

1) Authentifikation: Ist die Person (allg. Entität) die, die sie
vorgibt, zu sein?
2) Autorisation: Darf die das, was sie tun möchte?

hp

Andreas Borutta

2024-05-12 14:34:32 UTC

Post by Andreas Borutta
Sind euch Verfahrensketten zur /Authentifikation/ (nicht
Identifizierung) bekannt,

Wo siehst Du den Unterschied zwischen Authentifikation und
Identifizierung?

Mein Verständnis war bisher:

Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
...) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
... )
= gelungene Authentifikation.

Aber ich lasse mich gerne korrigieren.

Andreas

Peter J. Holzer

2024-05-12 14:42:24 UTC

Post by Andreas Borutta
Sind euch Verfahrensketten zur /Authentifikation/ (nicht
Identifizierung) bekannt,

Wo siehst Du den Unterschied zwischen Authentifikation und
Identifizierung?

Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
...) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
... )
= gelungene Authentifikation.

Sehe ich auch so. Aber wie unterscheidet sich das von der
Identifizierung? Auch da brauchst Du einen Identifikator und
Verifikator(en).

hp

Andreas Borutta

2024-05-14 11:54:21 UTC

Post by Andreas Borutta
Sind euch Verfahrensketten zur /Authentifikation/ (nicht
Identifizierung) bekannt,

Wo siehst Du den Unterschied zwischen Authentifikation und
Identifizierung?

Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
...) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
... )
= gelungene Authentifikation.

Sehe ich auch so. Aber wie unterscheidet sich das von der
Identifizierung? Auch da brauchst Du einen Identifikator und
Verifikator(en).

Meine Formulierung oben mit "(nicht Indentifizierung)" war unscharf.
Danke für Deine Rückfrage.

Ich hatte dabei an die "amtliche Indentitätsfeststellung" gedacht.

Mich interessierte ja, ob ein nPA eine Rolle spielen könnte.

Andreas

--
http://fahrradzukunft.de

Andreas Borutta

2024-05-15 08:31:10 UTC

Post by Andreas Borutta
9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Gerade las ich von einem Yubikeynutzer, dass die PIN zwar
zurückgesetzt werden kann, dabei jedoch alle Passkeys gelöscht werden.

Nicht überraschend.

Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
die PIN vergisst.

Und man muss sich an die "sicheren Stellen" erinnern. Gegebenenfalls
nach Jahren.

Meine Neugier ist geweckt, ob es Stickanbieter gibt, die bereits
andere Verfahren zum Zurücksetzen der PIN implementiert haben.
Gesponnen:
Der Nutzer des Yubikey autorisiert einen FIDO2-Stick einer
vertrauenswürdigen Person, die PIN zurückzusetzen. Dafür muss der
Stick der vertrauenswürdigen Person per NFC mit dem Yubikey verbunden
werden.

All das gilt natürlich nicht nur für eine PIN eines Yubikeys, sondern
für jeden Faktor des Typs "Ich weiß etwas" in jedem
Autentisierungs-System.

Andreas

--
http://fahrradzukunft.de

Marc Haber

2024-05-15 11:59:13 UTC

Post by Andreas Borutta
Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
die PIN vergisst.

Kann man etwa nicht mehrere Passkeys für einen Zugang haben, also z.B.
auch eien zweiten Yubikey irgendwo in der Schublade haben?!?

Grüße
Marc

Andreas Borutta

2024-05-15 12:46:34 UTC

Kann man etwa nicht mehrere Passkeys für einen Zugang haben,

Ich vermute, dass alle Dienste das anbieten.
Geprüft habe ich es mit Nextcloud. Dort geht es.

Post by Marc Haber
also z.B.
auch eien zweiten Yubikey irgendwo in der Schublade haben?!?

Darum ging es mir in der Aussage oben nicht.

Dort ging es nur um den zweiten Faktor "PIN", der überhaupt erst die
Verwendung eines Yubikey (vermutlich gilt das für Sticks aller
Hersteller) ermöglicht.

Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
nicht. Also anders als bei einem Wohnungsschlüssel.

Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.

Andreas

--
http://fahrradzukunft.de

Marc Haber

2024-05-15 13:49:46 UTC

Post by Andreas Borutta
Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
nicht. Also anders als bei einem Wohnungsschlüssel.
Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.

Das ist ein Feature, kein Bug.

Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Grüße
Marc

Andreas Borutta

2024-05-15 16:56:12 UTC

Das ist ein Feature, kein Bug.
Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

OK, hast Recht. Populäre Domains zu erraten, wo der Eigentümer
vielleicht ein Konto hat, ist deutlich leichter als das Erraten einer
Wohnung (in einer großen Stadt).

Gut, also Leben mit der PIN und den dazugehörigen Maßnahmen für den
Fall des Vergessens der PIN.

Andreas

--
http://fahrradzukunft.de

Stephan Seitz

2024-05-15 20:46:05 UTC

Post by Andreas Borutta
Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
nicht. Also anders als bei einem Wohnungsschlüssel.

Das ist ein Feature, kein Bug.

Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
kann, ist ein Bug.

Post by Marc Haber
Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
von einer bekannten Person, wirst du auch die Wohnung kennen.

Stephan

--
| Stephan Seitz E-Mail: stse+***@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

Marc Haber

2024-05-16 13:58:33 UTC

Post by Stephan Seitz

Post by Andreas Borutta
Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
nicht. Also anders als bei einem Wohnungsschlüssel.

Das ist ein Feature, kein Bug.

Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
kann, ist ein Bug.

Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
was da spezifiziert wurde. Und wenn Dir der Standard nicht passt musst
Du dir die Frage gefallen lassen, warum Du keinen Einfluss auf die
Standardisierung genommen hast.

Post by Stephan Seitz

Post by Marc Haber
Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
von einer bekannten Person, wirst du auch die Wohnung kennen.

Ein geklauter Yubikey lässt sich _von_ überall einsetzen, der
Wohnungsschlüssel nur bei räumlicher Anwesenheit.

Grüße
Marc

Stephan Seitz

2024-05-16 15:20:15 UTC

Post by Stephan Seitz
Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
kann, ist ein Bug.

Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
was da spezifiziert wurde. Und wenn Dir der Standard nicht passt musst

Eine Umsetzung eines Standards ist für mich kein Feature.

Post by Stephan Seitz
Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
von einer bekannten Person, wirst du auch die Wohnung kennen.

Ein geklauter Yubikey lässt sich _von_ überall einsetzen, der
Wohnungsschlüssel nur bei räumlicher Anwesenheit.

Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
paßt.

Stephan

--
| Stephan Seitz E-Mail: stse+***@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

Bastian Blank

2024-05-25 11:04:15 UTC

Post by Stephan Seitz
Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
paßt.

Je nach Implementierung (persistent oder nicht), sagt der Yubikey dir
ganz genau wo er passt.

Im Prinzip kannst du das einsetzen als Passwortersatz, dann gibst du
beim Login also Nutzername und Passkey an, in dem Fall muss der Key
nicht wissen wo er funktioniert. Oder aber du speicherst auf dem Key
alles von Nutzername in Verbindung mit der Seite wo er tut.

Bastian

Andreas Borutta

2024-05-25 12:49:09 UTC

Post by Bastian Blank

Post by Stephan Seitz
Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
paßt.

Je nach Implementierung (persistent oder nicht), sagt der Yubikey dir
ganz genau wo er passt.

Ich probiere hier gerade einen Nitrokey 3C NFC aus.

Er sagt Dir bei darauf gespeicherten Passkeys nur dann /wo/ er passt,
wenn Du die PIN kennst.

Bei Nitrokey findet die Verwaltung über das Terminal-Tool "nitropy"
statt.

Um damit auf einen Nitrokey zuzugreifen, benötigst Du dessen PIN.

Andreas

--
http://fahrradzukunft.de

Christian Weisgerber

2024-05-16 17:39:03 UTC

Post by Stephan Seitz
Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
kann, ist ein Bug.

Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
was da spezifiziert wurde.

Eine Eigenschaft von FIDO ist die Annahme[1], dass der Authentikator
sich freiwillig an den Standard hält, denn erzwingen kann das die
Gegenstelle nicht. Es ist also prinzipiell möglich, einen Authentikator
zu bauen, der versichert, der Benutzer habe sich durch PIN oder
biometrisch identifiziert, auch wenn das gar nicht geschehen ist.
Oder man klinkt eine entsprechende Funktion gleich in den Webbrowser
ein.

Das ist keineswegs hypothetisch. Der Artikel "Passkeys mit Open-
Source-Tools verwenden" in c't 10/2024, S. 138, hat ein solches
Spoofing beworben: Der Passwort-Manager KeePassXC und eine passende
Browsererweiterung handhaben Passkeys selber, wobei sie den privaten
Schlüssel einfach in einer Datei ablegen. Damit wird natürlich das
Sicherheitskonzept von FIDO unterlaufen.

[1] Schon FIDO U2F hat eine kryptografische Attestation-Funktionalität
mit der ein Authentikator nachweisen kann, dass er ein bestimmtes
Modell ist und die Gegenseite kann prinzipiell darauf bestehen.
Außer in Spezialumgebungen ist es aber nicht praktikabel, Daten-
banken erlaubter Authentikatoren mitzuschleppen.

--
Christian "naddy" Weisgerber ***@mips.inka.de

Arno Welzel

2024-05-25 16:12:50 UTC

Ja - so wie einen Wohnungsschlüssel oder die PIN zur Bankkarte.

--
Arno Welzel
https://arnowelzel.de

Andreas Borutta

2024-05-10 11:21:48 UTC