mikrocontroller.net

Forum: PC Hard- und Software erklärt mir das FIDO2-Passwortsystem


Announcement: there is an English version of this forum on EmbDev.net. Posts you create there will be displayed on Mikrocontroller.net and EmbDev.net.
Autor: alter falter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
https://de.wikipedia.org/wiki/FIDO2


Hallo,
also wie gesagt, ich verstehs nicht, wo da eine besondere Sicherheit 
sein soll.

Ich habe in der einen Variante also einen Hardwaredongle. Damit kann ich 
mich überall einloggen.
Worin besteht jetzt der Vorteil zu einer auf Papier geschriebenen 
Passwortliste? Also ich sehe da nur Nachteile.


Bei der anderen Variante brauche ich keinen Hardwaredongle, sondern ich 
muss meinem Betriebssystem Windows oder Android vertrauen. Wieso sollte 
ich das tun? Da gibts doch sicher eine Menge Sicherheitslücken von denen 
wir heute noch nichts wissen.

Autor: Ergo70 (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Es wird außer dem Public Key nichts gespeichert. Der ist für jeden 
Tenant anders. Du musst mindestens im physischen Besitz des Devices sein 
(User present) oder dich gegenüber dem device authentifizieren (User 
verified). Das ist schon besser als Passworte...

Autor: alter falter (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ergo70 schrieb:
> Es wird außer dem Public Key nichts gespeichert. Der ist für jeden
> Tenant anders. Du musst mindestens im physischen Besitz des Devices sein
> (User present) oder dich gegenüber dem device authentifizieren (User
> verified). Das ist schon besser als Passworte...

Ich habe auch für jeden Dienst ein anderes Passwort und ich bin im 
physischen Besitz meiner Passwortliste aus Papier. Die kann keine 
Maleware kopieren, weil nirgendwo elektronisch gespeichert.

Autor: Jan L. (ranzcopter)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
alter falter schrieb:
> Ergo70 schrieb:
>> Es wird außer dem Public Key nichts gespeichert. Der ist für jeden
>> Tenant anders. Du musst mindestens im physischen Besitz des Devices sein
>> (User present) oder dich gegenüber dem device authentifizieren (User
>> verified). Das ist schon besser als Passworte...
>
> Ich habe auch für jeden Dienst ein anderes Passwort und ich bin im
> physischen Besitz meiner Passwortliste aus Papier. Die kann keine
> Maleware kopieren, weil nirgendwo elektronisch gespeichert.

Aber irgendwann gibst du das Passwort irgendwo ein. Wenn das dann z.B. 
abgefisht wird (Browser Malware etc.) oder aber die Gegenseite dein 
Passwort „weitergibt“, dann ist es im Umlauf und „funktioniert“ erst 
mal. Kann mit einem Fido2-Token nicht passieren...

Anderer Aspekt: Nicht jeder ist so sorgfältig wie du mit seinen 
Passwörtern. Vermutlich ist das die grosse Mehrheit, wegen 
Bequemlichkeit. Fido2 bietet ähnliche Bequemlichkeit bei doch erheblich 
besserer Sicherheit als für alle Dienste „123456“ zu nehmen...

Autor: Skyper (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
alter falter schrieb:
> Ich habe auch für jeden Dienst ein anderes Passwort und ich bin im
> physischen Besitz meiner Passwortliste aus Papier. Die kann keine
> Maleware kopieren, weil nirgendwo elektronisch gespeichert.

Aber die Malware / falsche Webseite kann Dich zur Passworteingabe 
auffordern... und du trittst in die Falle....

Autor: Gerd (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Es gibt mehrere Vorteile:
Zum einen Einfachheit, du hast deine Passwortliste sicher nicht immer 
dabei, das ist der Hauptgrund einfache Passwörter zu benutzen, die man 
sich leicht merken kann.
Zudem gibt es einen vom Endgerät unabhängigen zweiter Faktor. Deine 
Passwörter musst du in das Endgerät eingeben, das ist ein potentieller 
Angriffspunkt (Keylogger, Übertragung, Passwortliste die beim Endgerät 
liegt).

Passwörter sind so unsicher, weil sie nur auf Wissen basieren. Jeder der 
das Passwort kennt hat Zugriff.

Stand der Technik sind:
1. Wissen (Zugangsdaten , PIN, Passwort)
2. Besitz (Smartphone, Chipkarte, Dongle)
3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)

Wie es in der neuen Richtlinie für Banken gerade umgesetzt wird.

Autor: mh (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Gerd schrieb:
> Wie es in der neuen Richtlinie für Banken gerade umgesetzt wird.

Vorher musste man Zugang zu meinen PC und meinem Smartphone erlangen, 
jetzt reicht das Smartphone alleine. Ich hab bis jetzt nicht so ganz 
verstanden, warum das jetzt sicherer ist.

Gerd schrieb:
> Stand der Technik sind:
> 1. Wissen (Zugangsdaten , PIN, Passwort)
> 2. Besitz (Smartphone, Chipkarte, Dongle)
> 3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)

In vielen Rechtsstaaten kann man die Herausgabe von Passwörtern und 
ähnlichem noch legal verweigern. Besitz und Inhärenz schützen einen da 
nicht.

Autor: Gerd (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Wenn kein zweites Gerät erforderlich ist, dann ist das natürlich nicht 
im Sinne des Erfinders.
Prinzipiell geht es um technische Sicherheit.
Nur mit Passwort reicht es das eine Gerät auszuspähen. Mit zweitem 
Faktor wird es schon deutlich schwieriger.
Wenn beide Geräte im gleichen Netzwerk hängen ist das wiederum eine 
potentielle Schwachstelle.
Daher noch die Biometrie, die Chips können vom System nicht ausgelesen 
oder emuliert werden, ist also schon sehr sicher.
Jeder Faktor erhöht die Sicherheit, zu sagen die anderen Merkmale 
schützen nicht ist Ansichtssache.
Wie beim abschließen der Haustür, macht man auch wenn man weiß, dass der 
Bösewicht in 5 Sekunden mit einem Steinchen durchs Fenster ist.

Was das ganze hilft, wenn der Verbrecher mit der Pistole vor einem 
steht, sei mal dahingestellt.
Cyberkriminelle haben es dadurch jedenfalls nicht leichter. :D

Autor: g457 (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Stand der Technik sind:
> 1. Wissen (Zugangsdaten , PIN, Passwort)
> 2. Besitz (Smartphone, Chipkarte, Dongle)
> 3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)

..wobei 3 und 1 (in dieser Reihenfolge) die mit Abstand schlechtesten 
Varianten sind.

Autor: mh (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
g457 schrieb:
>> Stand der Technik sind:
>> 1. Wissen (Zugangsdaten , PIN, Passwort)
>> 2. Besitz (Smartphone, Chipkarte, Dongle)
>> 3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)
>
> ..wobei 3 und 1 (in dieser Reihenfolge) die mit Abstand schlechtesten
> Varianten sind.

Was ist das Kriterium für diese Bewertung? Sicherheit, Nutzbarkeit oder 
Farbe?

Autor: Paul (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Und wo ist die Sicherheit wenn ich mir keinen teuren Yubico kaufe, 
sondern auf Windows10 vertraue (lach).

Autor: Dipl Ing ( FH ) (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Das Thema wird derzeit von Heise extrem gepuscht. Keine Ahnung was 
dahinter steckt. Und vor allem: Warum kommen die erst jetzt damit?
Es gab in kurzer Zeit mehrere Berichte und Videos zum Thema auf 
Heise.de. Leider ist die Berichterstattung zu einseitig, d.h. wenig 
kritisch und sehr oberflächlich. Nachteile und prinzipielle Risiken des 
Systems werden nicht beleuchtet, auch nicht mögliche Sicherheitslücken. 
Der beste Artikel von heise ist da 
https://www.heise.de/security/meldung/FAQ-FIDO2-und-der-Abschied-vom-Passwort-4508519.html
Sicherheitslücken gabs auch schon: 
https://www.heise.de/security/meldung/Sicherheitsluecke-im-Yubikey-Neo-2621122.html

Wer etwas tiefer einsteigen möchte, dem sei 
https://www.linux-magazin.de/ausgaben/2018/08/webauthn/ empfohlen.

Autor: Rolf M. (rmagnus)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Vielleicht fehlt mir ein entscheidender Teil des Wissens über die 
Funktionsweise, aber für mich ergeben sich da ein paar Fragen.

Gerd schrieb:
> Passwörter sind so unsicher, weil sie nur auf Wissen basieren. Jeder der
> das Passwort kennt hat Zugriff.

Und FIDO2 basiert auf dem Token. Wenn ich den verliere, hat der Finder 
dann auf meine sämtlichen Online-Konten freien Zugriff? Kann man den 
dann irgendwo zentral sperren lassen? Wieviel Aufwand ist es dann, 
wieder alle Zugänge mit einem neuen Token ans Laufen zu kriegen? Falls 
das geht, wie wird verhindert, dass jemand anders aus Boshaftigkeit 
meinen Token sperrt und mich damit quasi offline schaltet?

: Bearbeitet durch User
Autor: MaWin (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
alter falter schrieb:
> also wie gesagt, ich verstehs nicht, wo da eine besondere Sicherheit
> sein soll.

Ich halte mich zwar auch immer für den Schlausten, aber da komme ich 
nicht mit. Ergo: uninteressant

Autor: Dipl Ing ( FH ) (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Und FIDO2 basiert auf dem Token. Wenn ich den verliere, hat der Finder
> dann auf meine sämtlichen Online-Konten freien Zugriff?

Im Prinzip ja.
Der Finder muss aber auch dein Usernamen für jeden Dienst kennen. 
Alleine mit dem Token kommt er nicht rein. Dasweiteren gibts auch Keys, 
die nur mit PIN funktionieren.

Rolf M. schrieb:
> Kann man den
> dann irgendwo zentral sperren lassen? Wieviel Aufwand ist es dann,
> wieder alle Zugänge mit einem neuen Token ans Laufen zu kriegen?

Es gibt keine zentrale Instanz. Du musst den gekauten Token bei jedem 
Dienst einzeln sperren. Dazu brauchst du eine weitere Zugangsmöglichkeit 
mit einem Ersatztoken oder einer anderen Möglichkeit. Es hängt vom 
einzelnen Anbieter ab, welche Möglichkeiten dir bleiben.

Rolf M. schrieb:
> Falls
> das geht, wie wird verhindert, dass jemand anders aus Boshaftigkeit
> meinen Token sperrt und mich damit quasi offline schaltet?

Das ist wohl möglich. Das Problem hast du auch, wenn dein Passwort 
geklaut wird.


Ich sehe das FIDO2-System als komfortablen und sichereren Ersatz für 
einen Passwortcontainer/Passwortmanager.

Autor: Georg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Dipl Ing ( FH ) schrieb:
> Nachteile und prinzipielle Risiken des
> Systems werden nicht beleuchtet

Soweit ich das bisher verstanden habe, ist FIDO2 nur vernünftig nutzbar, 
wenn man nur einen PC hat. Ich arbeite auf derzeit 4 PCs (Gründe tun 
nichts zur Sache), also müsste ich für jede Website usw. den 
FIDO2-Zugang 4mal einrichten - unzumutbar, mit Passwort kann ich auf 
allen Rechnern und auch auf allen weiteren auf gleiche Weise zugreifen.

Auf einer Australienreise hat ein Bankautomat behauptet, dass eine 
Mitreisende kein Geld mehr auf dem Konto hätte, was einen fern von 
zuhause schon beunruhigen kann. Ich habe mich mit meinem Tablett ins 
Internet begeben und es ihr in die Hand gedrückt, so dass sie ihre Bank 
mit ihrem User und Pin kontaktieren konnte und erfahren hat, dass der 
Automat gelogen hat (was auf der Reise mehrfach vorkam). So etwas wäre 
mit FIDO2 unmöglich.

Georg

Autor: Dipl Ing ( FH ) (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Georg schrieb:
> Soweit ich das bisher verstanden habe, ist FIDO2 nur vernünftig nutzbar,
> wenn man nur einen PC hat. Ich arbeite auf derzeit 4 PCs

Das ist doch kein Problem. Du musst deinen Zugang mit nur einem Stick 
einrichten und kannst diesen dann an jedem PC verwenden.

Georg schrieb:
> Ich habe mich mit meinem Tablett ins
> Internet begeben und es ihr in die Hand gedrückt, so dass sie ihre Bank
> mit ihrem User und Pin kontaktieren konnte und erfahren hat, dass der
> Automat gelogen hat (was auf der Reise mehrfach vorkam). So etwas wäre
> mit FIDO2 unmöglich.

Klar wäre das mit FIDO möglich. Da verstehe ich dein Problem nicht. Dein 
Tablet hat sicher einen USB-Anschluss oder NFC.

Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
g457 schrieb:
> Stand der Technik sind:
> 1. Wissen (Zugangsdaten , PIN, Passwort)
> 2. Besitz (Smartphone, Chipkarte, Dongle)
> 3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)
>
> ..wobei 3 und 1 (in dieser Reihenfolge) die mit Abstand schlechtesten
> Varianten sind.

Fingerabdruck und Co. (also Biometrie allgemein) sind doch eigentlich 
auch nur Passwörter (die man jedem zeigt und die nicht geändert werden 
können).

Also behaupte ich das Biometrie als Passwort generell nicht sinnvoll 
nutzbar ist.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
> Stand der Technik sind:
> 1. Wissen (Zugangsdaten , PIN, Passwort)
> 2. Besitz (Smartphone, Chipkarte, Dongle)
> 3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)

Fingerabdruck und andere biometrische Merkmal sind ganz gewiss nicht 
Stand der Technik, sondern Schwachsinn.
Den Fingerabdruck gibt es nämlich nur einmal, wenn die Information die 
er hergibt trotzdem abhanden kommt, dann kann man ihn nie wieder 
benutzen.


> Wie es in der neuen Richtlinie für Banken gerade umgesetzt wird.

Ja und diese sch*** Banken, zumindest viele davon, lassen sich das auch 
noch teuer bezahlen und kümmern sich nicht einmal darum, dass das Gerät 
irgendwie standardisiert wird und somit bei jeder Bank funktioniert.
Man darf also dutzende solcher Geräte mit sich rumschleppen, wenn man 
dutzende Banken hat und jedes muss man bezahlen.

Und die Alibifunktion mit dem Smartphone ist auch unsicher.

Autor: Georg (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Den Fingerabdruck gibt es nämlich nur einmal, wenn die Information die
> er hergibt trotzdem abhanden kommt, dann kann man ihn nie wieder
> benutzen.

Kein Problem, die Transplantationstechnik ist weit genug um einen neuen 
Finger anzunähen. Bei Gesichtserkennung oder Irisscan würde das schon 
schwieriger.

Georg

Autor: Rolf M. (rmagnus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Den Fingerabdruck gibt es nämlich nur einmal, wenn die Information die
> er hergibt trotzdem abhanden kommt, dann kann man ihn nie wieder
> benutzen.

"abhanden" ist ein Wort, das dort besonders gut passt. ;-)
Aber Scherz beiseite: Mein Handy kann mehr als einen Fingerabdruck 
speichern. Abgesehen davon kommt es in der Regel häufiger vor, dass ein 
Handy oder ein Schlüsselbund, an dem so ein Token hängt, verloren geht 
als dass ein Finger verloren geht.
Von daher ist mir nicht klar, warum 2 besser sein soll als 3, und das 
sogar mit Abstand:

g457 schrieb:
>> Stand der Technik sind:
>> 1. Wissen (Zugangsdaten , PIN, Passwort)
>> 2. Besitz (Smartphone, Chipkarte, Dongle)
>> 3. Inhärenz (Fingerabdruck oder andere biometrische Merkmale)
>
> ..wobei 3 und 1 (in dieser Reihenfolge) die mit Abstand schlechtesten
> Varianten sind.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Georg schrieb:
> Nano schrieb:
>> Den Fingerabdruck gibt es nämlich nur einmal, wenn die Information die
>> er hergibt trotzdem abhanden kommt, dann kann man ihn nie wieder
>> benutzen.
>
> Kein Problem, die Transplantationstechnik ist weit genug um einen neuen
> Finger anzunähen. Bei Gesichtserkennung oder Irisscan würde das schon
> schwieriger.
>
> Georg

Es geht nicht darum, dass dir jemand den Finger abschneidet, sondern 
dass er die Information über deinen Fingerabdruck stiehlt.
Da reicht schon ein Glas, das du in der Hand hattest.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Aber Scherz beiseite: Mein Handy kann mehr als einen Fingerabdruck
> speichern.

Klar, du hast aber nur zwei Daumen und deren Abdrücke sind, wenn ich 
mich nicht irre, symmetrisch. Also ist es nur ein Fingerabdruck.


> Abgesehen davon kommt es in der Regel häufiger vor, dass ein
> Handy oder ein Schlüsselbund, an dem so ein Token hängt, verloren geht
> als dass ein Finger verloren geht.

Es kommt aber sehr oft vor, das du mit deinen Fingern überall hinfaßt.

Deine Iris hat auch nur einen "Fingerprint", wenn der gestohlen wird, 
dann kannst du deine Iris nicht einfach gegen eine andere austauschen um 
einen anderen "Fingerprint" zu erhalten.

Im Prinzip sind biometrische Merkmale also so, als würde man nur immer 
ein einziges Passwort für alles verwenden.
Im Gegensatz zu den biometrischen Merkmalen kann man aber n-belieb viele 
neue Passwörter generieren.

Es genügt also, wenn der Fingerabdruck einmal in irgendeiner 
Hackerdatenbank landet, dann ist er unbrauchbar.

Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> . Abgesehen davon kommt es in der Regel häufiger vor, dass ein Handy
> oder ein Schlüsselbund, an dem so ein Token hängt, verloren geht als
> dass ein Finger verloren geht.

Es geht nicht ums verlieren, es geht darum das Biometrie letztendlich 
Passwörter sind die du jedem zeigst. Und die du nicht ändern kannst. Und 
das ist ne blöde Idee.

Autor: Gerd (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
test schrieb:
> Rolf M. schrieb:
>> . Abgesehen davon kommt es in der Regel häufiger vor, dass ein Handy
>> oder ein Schlüsselbund, an dem so ein Token hängt, verloren geht als
>> dass ein Finger verloren geht.
>
> Es geht nicht ums verlieren, es geht darum das Biometrie letztendlich
> Passwörter sind die du jedem zeigst. Und die du nicht ändern kannst. Und
> das ist ne blöde Idee.
Es geht nicht darum das eine durch das andere zu ersetzen, sondern alle 
drei Punkte zu nutzen. Heißt, du brauchst ein Passwort, zusätzlich ein 
weiteres Gerät und zusätzlich dazu noch ein biometrisches Merkmal. Der 
Fingerabdruck ersetzt also nicht das Passwort, sondern verifiziert dich 
als jemand der das Passwort nutzen darf.

Autor: alter falter (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
test schrieb im Beitrag #59651inen92:
> Es geht nicht ums verlieren, es geht darum das Biometrie letztendlich
> Passwörter sind die du jedem zeigst. Und die du nicht ändern kannst. Und
> das ist ne blöde Idee.

Nach FIDO2 verlassen die biometrischen Daten nicht dein persönliches 
Gerät. Dein Fingerabdruck wird also nicht irgendwohin geschickt, sondern 
lokal bei dir dazu  benutzt einen Schlüssel zu generieren bzw zu 
benutzen.



P.S. an all den Fragen hier muss ich feststellen dass viele noch weniger 
Ahnung vom Thema haben als ich. Und das in einem Technikforum. Traurig, 
traurig. Es stimmt wohl doch, dass dies ein Forum der 
Internetanalphabeten ist ;)

Autor: test (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Gerd schrieb:
> Der Fingerabdruck ersetzt also nicht das Passwort, sondern verifiziert
> dich als jemand der das Passwort nutzen darf.

Ein Fingerabdruck IST ein Passwort. Warum also zwei Passwörter und ein 
2. Faktor? Wegen viel hilft viel?

Im besten Fall kann man Biometrie als Ersatz für den Nutzernamen 
verwenden.

Autor: ergo70 (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Weia, das geht ja bunt durcheinander. Also nochmal:

Der entscheidende Unterschied zum Passwort ist, dass auf dem Client 
nichts an einem leicht zugänglichen Ort gespeichert wird und beim 
Dienst nur ein Public-Key der alleine nutzlos ist, und der auch noch für 
jeden Dienst anders ist.

Wenn eine Passwortdatei geklaut wird und der Dienst beim Verschlüsseln 
geschlampt hat, kann das Passwort ggf. erraten werden. Dann kann es 
zusammen mit dem Benutzernamen benutzt werden, um eine fremde Identität 
anzunehmen. Und dann kann man gleich massenhaft Passworte knacken. 
Massenweise FIDO2 Hardware zu klauen ist dagegen deutlich aufwendiger.

Wenn der Passwortmanager eine Schwachstelle hat, kann das Passwort ggf. 
entwendet oder erraten werden. Dann kann es zusammen mit dem 
Benutzernamen benutzt werden, um eine fremde Identität anzunehmen.

Wenn die Transportverschlüsselung eine Schwachstelle hat, kann das 
Passwort ggf. abgehört werden. Dann kann es zusammen mit dem 
Benutzernamen benutzt werden, um eine fremde Identität anzunehmen.

Bei FIDO2 wird der Masterkey in Spezialhardware erzeugt und 
unveränderlich gespeichert. Der private und public Key für jeden Dienst 
wird jedesmal_ neu berechnet und _nirgendwo gespeichert. Damit der 
Chip das macht, muss man physischen Zugriff auf diese Hardware haben 
(user present). Gerne auch mit zusätzlichem Schutz (user verified) wie 
einer PIN, Fingerabdruck, whatever...

Natürlich kann man das vielleicht mit genügend Aufwand auch knacken. Und 
natürlich ist es blöd, wenn man diese Spezialhardware verliert. Aber das 
ist bei einem Haustürschlüssel auch so. Und deswegen passen die meisten 
Leute auf den auch besser auf als auf ihre Passworte. Und es schützt vor 
den Dämlacken, die Passwortdatenbanken unzureichen schützen und denen, 
die gerade mal Hashcat bedienen können.

Und daher dürfte FIDO2 sicherer zu sein als das, was bisher so üblich 
ist.

Absolut sicher ist es natürlich auch nicht. Sicherheit bedeutet nämlich 
nicht, dass nichts Unerwünschtes passieren kann, sondern das die 
Wahrscheinlichkeit sinkt, dass etwas Unerwünschtes passiert.

Es gibt sicher Leute, die auch einen ATECC608a oder sowas knacken 
können, aber das sind ebenso sicher weniger, als es Gelegenheitshacker 
gibt.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
alter falter schrieb:
> test schrieb im Beitrag #59651inen92:
>> Es geht nicht ums verlieren, es geht darum das Biometrie letztendlich
>> Passwörter sind die du jedem zeigst. Und die du nicht ändern kannst. Und
>> das ist ne blöde Idee.
>
> Nach FIDO2 verlassen die biometrischen Daten nicht dein persönliches
> Gerät. Dein Fingerabdruck wird also nicht irgendwohin geschickt, sondern
> lokal bei dir dazu  benutzt einen Schlüssel zu generieren bzw zu
> benutzen.

Und dann verlierst du dein Gerät und dein Fingerabdruck gehört jemand 
anderem.
Das Gerät kannst du ersetzen, einen neuen Fingerabdruck bekommst du 
nicht.
Somit bleibt das Problem bestehen.


> P.S. an all den Fragen hier muss ich feststellen dass viele noch weniger
> Ahnung vom Thema haben als ich. Und das in einem Technikforum. Traurig,
> traurig. Es stimmt wohl doch, dass dies ein Forum der
> Internetanalphabeten ist ;)

So etwas finde ich dreist.
Du verstehst es nicht, willst andere Belehren und erkennst deinen 
Denkfehler nicht und wirfst den andernen dann vor, das sie sich nicht 
auskennen würden.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ergo70 schrieb:
> Und daher dürfte FIDO2 sicherer zu sein als das, was bisher so üblich
> ist.

Die meisten Passwörter werden gestohlen, weil manche Serverbetreiber zu 
doof sind und diese speichern, anstatt einen Hash zu bilden und nur den 
zu speichern.

Die Zahl der Passwortdiebstähle, die durch Schadsoftware auf den 
Rechnern der Nutzer stattfinden, ist deutlich kleiner.

Und auch ist das Problem dann wieder meist Doofheit, wenn man sich so 
etwas einfängt.

Jemand der mit Passwörtern umgehen kann, hat durch FIDO2 mehr Nachteile 
als Vorteile.
Das bezieht sich vor allem auf die genannten Probleme, dass man das 
Gerät immer da haben muss, wenn man es auf mehreren Rechnern einsetzen 
will und natürlich erst recht, wenn noch Biometrie im Spiel ist.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Und dann verlierst du dein Gerät und dein Fingerabdruck gehört jemand
> anderem.

Bzw. wurde schon vom Glas genommen.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
FIDO2 hilft vor allem dem Staat.

Den biometrischen Fingerabdruck holt er sich vom Glas, dass man dir bei 
der Befragung durch die Polizei reicht.
Und das Gerät wird bei der Hausdurchsuchung mitgenommen.
Mit diesen beiden Dingen liegen dann alle Accounts offen.

Bei einem guten Passwort, das du im Kopf hast, müssten sie anders 
vorgehen.
Sie müssten deinen Rechner kompromittieren oder deine Geräte 
manipulieren.
Das ist weitaus schwieriger, letzteres erfordert sogar eine Eindringen 
in deine Wohnung und zwar so, dass du das nicht merkst.

Autor: Nano (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Ach und dann gibt es noch ein Problem.
Es heißt zwar, wenn man mehrere Dienste mit FIDO2 benutzt, dass die 
nicht verknüpft werden, was bei verschiedenen Public Keys ja auch Sinn 
macht, aber dennoch könnte es sein, dass jemand durch einen Fehler in 
der Implementierung des Verfahrens findet, der eine Verknüpfung 
aufzeigt.

Wenn du also Dienst XY mit Tor aufrufen möchtest, der Dienst aber auf 
FIDO2 umgestellt hat und das verlangt, dann hast du ein Problem.

FIDO2 ist also eine Gefahr für die Anonymität.
Normale PW sind da weitaus sicherer.

Autor: Ergo70 (Gast)
Datum:

Bewertung
1 lesenswert
nicht lesenswert
Die meisten Passwörter werden gestohlen, weil manche Serverbetreiber zu 
doof sind und diese speichern, anstatt einen Hash zu bilden und nur den 
zu speichern.

Eben, bei den Public keys ist das egal...

Autor: Nano (Gast)
Datum:

Bewertung
-1 lesenswert
nicht lesenswert
Ergo70 schrieb:
> Eben, bei den Public keys ist das egal...

Die könnte man allerdings auch ohne FIDO2 und Zwangsgerät einführen.
Es bräuchte nur eine Einigung bei den Browser- und Webserverherstellern, 
damit die sich auf einen Standard einigen wie das Client- und 
Serverseitig abgewickelt werden soll.

Insofern ist das kein Argument das alleinstehend für FIDO2 und dem 
Zwangsgerät spricht.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Die privaten Keys kann man dann clientseitig mit einem Passwort 
absichern.
Das geht ohne Gerät und ohne Biometrie.


Geräte sind okay, für wichtige Sachen wie Onlinebanking und dem 
Internetshopping, aber in irgendwelchen Foren oder Socialplattformen 
will ich das nicht nutzen müssen.
Da überwiegen dann nämlich die obigen anderen Nachteile.

Das Problem ist nur, die Socialplattformen werden das einführen, wenn 
sie ihren Socialaccount mit den Shopsystemen der Händler irgendwie 
Verknüpfen und damit Geld verdienen können.

Autor: Rolf M. (rmagnus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
ergo70 schrieb:
> Natürlich kann man das vielleicht mit genügend Aufwand auch knacken. Und
> natürlich ist es blöd, wenn man diese Spezialhardware verliert. Aber das
> ist bei einem Haustürschlüssel auch so.

Da muss ich aber erstmal die Tür zum Schlüssel finden. Bei dem Token ist 
jeder beliebige Internetzugang eine passende Tür.

Nano schrieb:
> Die Zahl der Passwortdiebstähle, die durch Schadsoftware auf den
> Rechnern der Nutzer stattfinden, ist deutlich kleiner.
>
> Und auch ist das Problem dann wieder meist Doofheit, wenn man sich so
> etwas einfängt.
>
> Jemand der mit Passwörtern umgehen kann, hat durch FIDO2 mehr Nachteile
> als Vorteile.

Naja, wenn man mit Passwörtern richtig umgeht, sind sie grauenvoll. 
Heute braucht man für jeden Mist einen Account, man hat also schnell mal 
das eine oder andere Dutzend davon. Richtiger Umgang mit den Passwörtern 
heißt, dass jeder Account ein eigenes Passwort bekommt, das eine wilde 
möglichst nicht nachvollziehbare Kombination von Buchstaben, Ziffern und 
Sonderzeichen ist. Und dann sollte man die alle noch regelmäßig ändern 
und am besten nirgends aufschreiben. Wer hat denn Lust, jeden Monat 
überall die Passwörter zu ädern und sich dann 20 solche 
Hieroglyphen-Passwörter neu einzuprägen und kriegt das auch zuverlässig 
hin?
Soweit ich verstanden habe, ist der größte "selling point" von FIDO2, 
dass man sich das alles sparen kann, ohne auf die entsprechende 
Sicherheit zu verzichten.

> Das bezieht sich vor allem auf die genannten Probleme, dass man das
> Gerät immer da haben muss, wenn man es auf mehreren Rechnern einsetzen
> will und natürlich erst recht, wenn noch Biometrie im Spiel ist.

Das war eben mein größter Kritikpunkt. Wenn ich das Gerät verliere (oder 
vielleicht auch einfach auf einer Reise mal zuhause vergesse), komm ich 
an gar nix mehr ran.

Autor: oiuz (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
>> Das bezieht sich vor allem auf die genannten Probleme, dass man das
>> Gerät immer da haben muss, wenn man es auf mehreren Rechnern einsetzen
>> will und natürlich erst recht, wenn noch Biometrie im Spiel ist.
>
> Das war eben mein größter Kritikpunkt. Wenn ich das Gerät verliere (oder
> vielleicht auch einfach auf einer Reise mal zuhause vergesse), komm ich
> an gar nix mehr ran.
Gar nicht mehr rankommen kann verhindert werden, man legt zwei (oder 
mehr) Schlüssel an.
Wenn du deinen Haustürschlüssel verlierst musst du ja auch irgendwo 
einen zweiten haben. Einen Schlüsseldienst gibt es aber nicht, 
vermutlich wird man aber bei vielen Diensten etwas in der Art anlegen.

Was man da zu alternativen Fallback-Freischaltung anbieten wird (Achtung 
Zukunft) ist auch stark abhängig vom Dienst. Einen Shop-Login kann man 
sperren lassen und einen neuen anlegen. Gibt es das mal von staatlicher 
Seite (Behörden + Digitalisierung [dauert wohl noch /etwas/]) wird es 
wohl irgendwas mit offziellerer Identifikation (vielleicht PostIdent 
oder WebIdent).

Hier noch mehr von heise:
Youtube-Video "FIDO2 – Das Ende des Passworts | c't uplink 28.9"
Youtube-Video "FIDO2 – Sind die Tage der Passwörter wirklich gezählt? | #heiseshow"

Weiß eigentlich irgendwer warum die Nitrokeys komplett ignoriert und nie 
genannt werden? Diese proprietären yubikeys kann man sich ja jetzt zum 
Glück sparen.
Die basieren meines Wissens auf den Solo-Key und die haben den auch 
mitfinanziert (stand irgendwo bei denen im Forum oder auf einer 
Mailing-Liste).

Autor: Boris O. (bohnsorg) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Ich benutze schon mehrere Jahre Yubikeys. Die können nicht nur FIDO, 
sondern auch U2F, Smartcard, Challenge-Response und mittlerweile auch 
Authenticator. Damit sichere ich auch meinen Password-Safe ab, die 
öffentlichen Entwicklerzugänge, reichere meine SSH-Sitzungen an und 
signiere/ verschlüssele damit.

Ich kann mir gar keine andere Arbeitsweise mehr vorstellen. Besonders 
keine, private und berufliche Zugänge auseinanderzuhalten. Die 
Passwortliste des TO reicht vielleicht für die regulären Zugänge, aber 
einer mit 2nd factor oder Zertifikaten (mutual SSL) ist damit nicht mehr 
zu bewerkstelligen.

: Bearbeitet durch User
Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Naja, wenn man mit Passwörtern richtig umgeht, sind sie grauenvoll.
> Heute braucht man für jeden Mist einen Account, man hat also schnell mal
> das eine oder andere Dutzend davon. Richtiger Umgang mit den Passwörtern
> heißt, dass jeder Account ein eigenes Passwort bekommt, das eine wilde
> möglichst nicht nachvollziehbare Kombination von Buchstaben, Ziffern und
> Sonderzeichen ist. Und dann sollte man die alle noch regelmäßig ändern
> und am besten nirgends aufschreiben.

Das regelmäßige ändern ist Unsinn und basiert darauf, dass man die 
Annahme vertritt, dass die Serverbetreiber die PW speichern, anstatt 
hashs daraus zu bilden und dann dem Nutzer nicht mitteilen, dass der 
Server kompromitiert wurde.

Wenn die Serverbetreiber aber ihre Arbeit machen, dann kann man viele 
Jahre das gleiche Passwort für einen Account verwenden.

Dass die PW für jeden Account verschieden sein sollen ist richtig.

Das nirgends aufschreiben ist auch nicht richtig, denn es kommt ganz 
darauf an, wogegen man sich absichern will.
Will man sich gegen PW Diebstähle über das Computernetz absichern, dann 
ist Stift und Papier zum Aufschreiben der Passwörter überhaupt kein 
Fehler und kein Problem. Das kann man machen und ist im Fall von 
Keyloggern sogar besser als Passwortverwaltungsprogramme, denn wenn bei 
denen der Masterkey geloggt wird, dann befindet sich der Angreifer im 
Besitz aller PW.
Bei PW auf dem Papier gilt das nur für die PW, die der Nutzer in der 
Zeit, seit der Kompromittierung des Rechners einsetzt.


> Wer hat denn Lust, jeden Monat
> überall die Passwörter zu ädern und sich dann 20 solche
> Hieroglyphen-Passwörter neu einzuprägen und kriegt das auch zuverlässig
> hin?

Das musst du überhaupt nicht wenn die Diensteanbieter ihre Arbeit 
richtig machen. Siehe oben.


> Soweit ich verstanden habe, ist der größte "selling point" von FIDO2,
> dass man sich das alles sparen kann, ohne auf die entsprechende
> Sicherheit zu verzichten.

Nein. Der Selling point ist eigentlich die Verwendung von Public und 
Private Keys die man in das Protokoll von FIDO2 eingebaut hat.
All das könnte man aber auch ohne FIDO2 als Softwarelösung auf seinem 
eigenen Rechner haben.
Dann wäre der Schutz des Accounts auf Serverseite höher als mit 
Passwortlisten und Passwortverwaltungsprogrammen und auf Clientseite 
genauso hoch wie Passwortverwaltungsprogramme.

Was FIDO2 hier noch zusätzlich macht ist das externe Gerät, auf dem die 
privaten Keys dann verwaltet werden sollen.
Damit ist dann auch die Schutzstufe auf der Clientseite höher.

Für Banking und Internetshopping ist das, wie ich bereits sagte, 
durchaus sinnvoll, aber wenn es um Anonymität geht, die man vielleicht 
in sozialen Netzen, Foren usw, haben möchte, ist die Gerätebindung keine 
gute Idee.

Gegenüber Geheimdiensten ist FIDO2 schlechter als Passwörter, weil die 
derzeit, für das Public Key Verfahren gängigen 
Verschlüsselungsalgorithmen anfällig für Quantencomputer sind.


>> Das bezieht sich vor allem auf die genannten Probleme, dass man das
>> Gerät immer da haben muss, wenn man es auf mehreren Rechnern einsetzen
>> will und natürlich erst recht, wenn noch Biometrie im Spiel ist.
>
> Das war eben mein größter Kritikpunkt. Wenn ich das Gerät verliere (oder
> vielleicht auch einfach auf einer Reise mal zuhause vergesse), komm ich
> an gar nix mehr ran.

Exakt.

Autor: Boris O. (bohnsorg) Benutzerseite
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Das regelmäßige ändern ist Unsinn und basiert darauf, dass man die
> Annahme vertritt, dass die Serverbetreiber die PW speichern, anstatt
> hashs daraus zu bilden

Und immer wieder gibt es die ein oder andere Form von Datenreichtum und 
ein Hash allein ist auch nicht das Wahre. Wenn jemand nur den primitiven 
HA-1-Hash der HTTP.Digest-Authentication speichert, kann man es auch 
gleich an die Pinnwand im Hausflur schreiben.

Gegen regelmäßige Änderung spricht rein gar nichts, schon gar nicht die 
subjektive Meinung Einzelner. Man kann es abgestuft sehr sinnvoll 
einsetzen. Die wichtigen Zugänge sollten regelmäßig (6 Monate) ein neues 
Passwort erhalten. Bei Mikrocontroller.net wäre ich nicht ganz so 
scharf. Aber ich habe auf meinen Lieblings-Erwachsenen-Seiten andere 
Passwörter als hier – ich will ja niemanden in Versuchung führen sfg.

Nano schrieb:
> Gegenüber Geheimdiensten ist FIDO2 schlechter als Passwörter, weil die
> derzeit, für das Public Key Verfahren gängigen
> Verschlüsselungsalgorithmen anfällig für Quantencomputer sind.

Und es ist auch gängige Praxis beim Bundesnachrichtendienst, dem MAD und 
dem Mossad sich solche theoretischen Maschinen anzuschaffen, um HTTPS 
für eine Veröffentlichung eines Beitrages zu knacken und 
Beschwichtigungen und Relativierungen zu streuen.

Die Padding-Attacke von RSA[1] braucht gar keinen Quantencomputer und 
mit Elliptic Curve ist man sogar in der Theorie einen Schritt weiter als 
der BND. Bzgl. TLS leidet immer mal wieder an der sog. Downgrade Attack, 
die ebenfalls keinen Quantencomputer braucht und einzig und allein in 
Kooperation von Entwicklern und Server-Betreibern entsteht. Über 
Verschlüsselung muss man nämlich etwas wissen.

Und da wären wir bei FIDO2 – mit der Bitte sich mal die Spezifikation 
von WebAuthn wirklich durchzulesen – mit der Verbindung der Geräte. Da 
werden verschiedene Szenarien genannt, eines der umwerfendsten: bei 
Mikrocontroller.net mit dem Tablet/ PC-Brwoser registrieren, eine 
Weiterleitung zum Smartphone zu erhalten, um dort mit einer 
vertrauenswürdigen Hardware wie einem Fingerabdruckscanner den Prozess 
abzuschließen. Es läuft im Wesentlichen darauf hinaus, Möglichkeiten der 
Verfolgbarkeit zu schaffen. Aber so ist das nun einmal, wenn man 
Benutzername und Passwort angeben muss. Besser als 
Browser-Fingerprinting wird es ohnehin nur, wenn Google, RSA und Apple 
die Köpfe zusammenstecken.


[1] https://blog.trailofbits.com/2019/07/08/fuck-rsa/
[2] https://en.wikipedia.org/wiki/Downgrade_attack
[3] 
https://blog.torproject.org/browser-fingerprinting-introduction-and-challenges-ahead

Autor: Rolf M. (rmagnus)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Nano schrieb:
> Das regelmäßige ändern ist Unsinn und basiert darauf, dass man die
> Annahme vertritt, dass die Serverbetreiber die PW speichern, anstatt
> hashs daraus zu bilden und dann dem Nutzer nicht mitteilen, dass der
> Server kompromitiert wurde.

Was ja regelmäßig vorkommt. Daher wohl nicht Unsinn.
Und dann gibt's noch so Dinge wie Phishing. Wie jemand an das Passwort 
kommt, ist letztlich egal. Sobald er es hat, kann er auf meinen Account 
zugreifen, ohne dass ich es merke. Deshalb wird geraten, es regelmäßig 
zu ändern.

> Wenn die Serverbetreiber aber ihre Arbeit machen, dann kann man viele
> Jahre das gleiche Passwort für einen Account verwenden.

Woher weiß ich, ob sie das tun?

> Bei PW auf dem Papier gilt das nur für die PW, die der Nutzer in der
> Zeit, seit der Kompromittierung des Rechners einsetzt.

Oder wenn mir der Zettel auf der Reise aus der Hosentasche rutscht, auch 
für alle Passwörter. Wenn man davon ausgeht, nie etwas zu verlieren, 
kann man auch einfach die PIN der EC-Karte auf selbige draufschreiben.

>> Soweit ich verstanden habe, ist der größte "selling point" von FIDO2,
>> dass man sich das alles sparen kann, ohne auf die entsprechende
>> Sicherheit zu verzichten.
>
> Nein.

Nun gut, so wurde es zumindest in der c't geschrieben. Da steht schon 
auf der Titelseite ganz groß: "Abschied vom Passwort".

> Der Selling point ist eigentlich die Verwendung von Public und
> Private Keys die man in das Protokoll von FIDO2 eingebaut hat.
> All das könnte man aber auch ohne FIDO2 als Softwarelösung auf seinem
> eigenen Rechner haben.

Dann ist das ganze aber wieder nur noch so sicher wie der Rechner eben 
ist. Wenn jemand den kompromittiert hat, kommt man an die Private Keys 
ran. Es sei denn, man nutzt das TPM, was FIDO2 wohl auch tun kann.

Autor: Nano (Gast)
Datum:

Bewertung
0 lesenswert
nicht lesenswert
Rolf M. schrieb:
> Oder wenn mir der Zettel auf der Reise aus der Hosentasche rutscht, auch
> für alle Passwörter. Wenn man davon ausgeht, nie etwas zu verlieren,
> kann man auch einfach die PIN der EC-Karte auf selbige draufschreiben.

Der Trick besteht darin, einfach zwei Zettel zu verwenden. Auf einem die 
PW, auf dem anderen die Accountzuweisung dazu.
Dann nützen dem Finder die PW Liste nichts, er kann sie gerade mal zu 
seiner PW Liste für Brute Force Attacken hinzufügen. Aber man wird 
sicherlich noch Zeit haben, die eigenen PW rechtzeitig zu ändern.

Antwort schreiben

Die Angabe einer E-Mail-Adresse ist freiwillig. Wenn Sie automatisch per E-Mail über Antworten auf Ihren Beitrag informiert werden möchten, melden Sie sich bitte an.

Wichtige Regeln - erst lesen, dann posten!

  • Groß- und Kleinschreibung verwenden
  • Längeren Sourcecode nicht im Text einfügen, sondern als Dateianhang

Formatierung (mehr Informationen...)

  • [c]C-Code[/c]
  • [avrasm]AVR-Assembler-Code[/avrasm]
  • [code]Code in anderen Sprachen, ASCII-Zeichnungen[/code]
  • [math]Formel in LaTeX-Syntax[/math]
  • [[Titel]] - Link zu Artikel
  • Verweis auf anderen Beitrag einfügen: Rechtsklick auf Beitragstitel,
    "Adresse kopieren", und in den Text einfügen




Bild automatisch verkleinern, falls nötig
Bitte das JPG-Format nur für Fotos und Scans verwenden!
Zeichnungen und Screenshots im PNG- oder
GIF-Format hochladen. Siehe Bildformate.

Mit dem Abschicken bestätigst du, die Nutzungsbedingungen anzuerkennen.