Im c't Magazin 18-2019 wird der Abschied vom Passwort angekündigt. Wie's aussieht, scheint sich in diesem Bereich endlich mal wirklich was Wegweisendes zu tun. Eine spannende Artikelserie, die sicher noch einige Diskussionen auslösen wird.

Ich hab's mit zwei Konten (Microsoft und Dropbox) mal ausprobiert. Wär schön, wenn sich das System breit durchsetzen würde.

Passwörter sind eine Pest. Jeder hasst sie und das zu Recht. Sie sind lästiger, unsicherer Ballast aus dem letzten Jahrtausend. Trotzdem konnte sich keiner der vorherigen Versuche, Passwörter zu ersetzen, wirklich durchsetzen. Am nächsten kamen dem noch Googles und Facebooks Bemühungen, das „Anmelden mit …“ einzuführen.

Besser löst das die FIDO-Allianz. Das Kürzel steht für Fast IDentity Online. Unter diesem Dach arbeiten unter anderem Google, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard zusammen am Passwort-Nachfolger. Seit März 2019 ist es beschlossene Sache: Gemeinsam mit dem World Wide Web Consortium (W3C) verkündete man „einen Web-Standard für sichere, passwortlose Logins“. Gemeint war FIDO2 mit seiner Internet-Komponente WebAuthn.

Der Eingangsartikel kann frei gelesen werden, die Detailartikel dann leider nur in der aktuellen c't. Aber sehr lesenswert.

Abschied vom Passwort (https://www.heise.de/select/ct/2019/18/1566917336782380)

Praktisch wäre eine solche Lösung schon, aber ohne lesen des Artikels im Heft sehe ich noch nicht, wie das sicher funktioniert. Wenn so eine eine für alles Lösunng geknackt oder gestohlen wird, dann ist auch wirklich alles hin. Wie ist es, wenn man für bestimmte Dinge auch ausgewählten, anderen Personen zugang geben möchte?

Wie identifiziert man sich als die berechtigte Person, die die Authentifizierungsfunktion des Gerätes benutzen darf? Biometrische Daten sind riskant (besonders Fingerabdrücke), denn wenn diese einmal gestohlen und misbraucht worden, steht man möglicherwese plötzlich in allen möglichen Dateien von Strafverfolgungsbehörden, obwohl man nichts getan hat. Zur Sicherheit biometrischer Daten siehe z.B.:
https://www.tagesschau.de/wirtschaft/biometrische-daten-105.html
https://www.globalsign.com/de-de/blog/biometrische-authentifizierung/
https://www.deutschlandfunknova.de/beitrag/k%C3%B6rperdaten-als-risiko
https://www.heise.de/newsticker/meldung/Indien-Wohl-mehr-als-eine-Milliarde-Personendaten-aus-staatlicher-Datenbank-abgegriffen-3934463.html
https://www.heise.de/security/meldung/Biometriedatenbank-mit-27-8-Millionen-Eintraegen-ungesichert-im-Netz-4496575.html

Traue dem keinen Milimeter über dem Weg.
Wenn die FANG Monopolisten was zusammen basteln dann sollten bei einem selbst die Sirenen heulen...
Am besten gleich noch mit Libra gekoppelt, damit wenn man mal einen nicht konformen Kommentar postet gleich mit einer 10tägigen Transaktionssperre (nix mehr kaufen) belegt wird.

https://youtu.be/g1VeElBAeas
https://youtu.be/ricI5t66cj8

Das System ist sicherer und komfortabler, als ein Passwort.

Es basiert eben nicht auf biometrische Daten sondern auf die Kombination eines mittels Hardware generierten Schlüssels mit einer Benutzer Verifizierung.

Ich hab's bei mir mit dem PC und dem Handy probiert. Beim PC handelt es sich um einen Microsoft Surface PC, der über ein Trusted Platform Module (TPM) verfügt. Das ist ein Chip nach der TCG-Spezifikation, der einen Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert.

Wenn ich nun zum Beispiel bei Microsoft einlogge, braucht es einen Schlüssel und meine Authentisierung. Bei mir läuft die über die Gesichtserkennung mit Windows Hello. Wenn also jemand meinen Microsoft Account hacken will, braucht er meinen PC und mich davor, anders geht's nicht. Also es gibt kein Passwort mehr, das geklaut werden oder mir abgeluchst werden kann. Der Nachteil: Wenn der PC geklaut wird, muss ich entweder mit einem anderen Gerät oder einem Backup des Schlüssels zugreifen können. Ich mache das mit dem Handy, da habe ich die IRIS Erkennung drauf, und hier gilt dasselbe: Wenn mir jemand das Handy klaut, kann er sich nicht bei MS einloggen, sondern braucht zusätzlich meine biometrischen Daten.

Also die biometrischen Daten alleine genügen nicht, es ist die Kombination von Verschlüsselung und biometrischen Daten.

Die Verschlüsselung kann auch über ein Token, das man z.B. am Schlüsselbund mit sich trägt, gemacht werden (auch als Backup).

Also das System ist definitiv einfacher und sicherer, als die Authentisierung über ein einfaches Passwort.

Traue dem keinen Milimeter über dem Weg.
Wenn die FANG Monopolisten was zusammen basteln dann sollten bei einem selbst die Sirenen heulen...
Du scheinst da was zu verwechseln. Hier geht es um eine Erweiterung, die das W3C unterstützt und nicht um irgendeine proprietäre Lösung.

FIDO im Überblick

In der Allianz für Fast Identity Online (FIDO) arbeiten unter anderem Google, Microsoft und Mozilla gemeinsam an neuen Standards für die Anmeldung an Online-Diensten. Das FIDO2-Verfahren hat mittlerweile auch den Segen des World Wide Web Consortiums (W3C) erhalten. Eigentlich fehlt nur Apple im Reigen der Grossen, was sich auch in fehlender FIDO-Unterstützung in Safari und vor allem iOS niederschlägt. Apple hat offenbar andere Prioritäten.

Die FIDO-Architektur besteht aus insgesamt vier aktiven Parteien. Das sind einmal die Server, die einen Dienst bereitstellen. Sie bezeichnet die Spezifikation als Relying Party. Der Server muss das vom W3C als Web-Standard spezifizierte WebAuthn-API implementieren. Über das spricht nämlich der Client, also im Allgemeinen der Browser des Anwenders, mit dem Dienst.

Der Browser muss FIDO2 ebenfalls kennen und unterstützen. Er vermittelt nämlich zwischen der Relying Party und dem zentralen Element der Online-Anmeldung – dem Authenticator. Jener beherbergt das identitätsstiftende Geheimnis, das nicht an Dritte weitergegeben werden muss und darf. Auf Geräten mit speziell gesicherter Hardware (TPM oder Secure Element) kann das System den Authenticator bereitstellen, wie das Windows 10 und Android bereits vormachen; macOS und iOS könnten das ebenfalls.

Alternativ kann der Browser über das Client to Authenticator Protocol (CTAP) mit einem externen Authenticator sprechen (Roaming Authenticator). Das sind dann zumeist sogenannte Tokens für den Schlüsselbund; sie lassen sich an mehreren Geräten nutzen. Die Kommunikation erfolgt dann wahlweise via USB, NFC oder Bluetooth.

Die Hoheit über den Anmeldevorgang hat immer und ausschliesslich der Anwender. Er muss zumindest seine Anwesenheit durch ein Antippen des Tokens kundtun (User Present, UP). Für höhere Sicherheitsansprüche erfordert der Anmeldevorgang eine Überprüfung des Anwenders (User Verification, UV) etwa durch PIN-Eingabe oder biometrische Merkmale (Fingerabdruck, Gesicht).

Für Anmeldung und Registrierung bei einem Dienst erzeugt der Authenticator ein asymmetrisches Schlüsselpaar (Public + Secret Key). Den geheimen Schlüssel errechnet er als Keyed-Hash Message Authentication Code (HMAC-SHA256) mit seinem internen Geheimnis aus der Domain des Dienstes. Daraus lässt sich der zugehörige öffentliche Schlüssel dann trivial errechnen. Als Signatur-Verfahren kommt in der Regel das auf elliptischen Kurven der NIST beruhende ECDSA P-256 zum Einsatz. Die FIDO-Standards fordern, dass auch noch das veraltete RSA unterstützt wird. Das modernere EdDSA auf Basis der DJB-Kurven ist nur optional vorgesehen, was ein kleines Haar in der Krypto-Suppe ist.

Quelle: c't 18-2019

An welcher Stelle haben die 16 amerikanischen Geheimdienste ihren Zutritt, um mitlesen zu können? Sie lassen sich doch eine weltweit einheitliche Useranmeldung nicht entgehen. ???

Ich werde mir das mal durchlesen und die Entwicklung beobachten.

Klingt auf jeden Fall besser als Biometrie. Biometrie-Daten werde ich auf jeden Fall maximal zur Handy-Entsperrung nutzen. Ein Passwort ist schnell geändert, sofern man noch nicht ausgesperrt wurde. Bei einem Finger oder eine Iris sieht das anders aus: Klick! (https://www.heise.de/security/meldung/Biometriedatenbank-mit-27-8-Millionen-Eintraegen-ungesichert-im-Netz-4496575.html)

P.S.: Eine absolute Sicherheit wird es nie geben.

An welcher Stelle haben die 16 amerikanischen Geheimdienste ihren Zutritt, um mitlesen zu können? Sie lassen sich doch eine weltweit einheitliche Useranmeldung nicht entgehen. ???
Die melden sich direkt bei MS und Co, wenn sie an meine Daten wollen, weil sie meine Identität nicht mehr klauen können ...

Wie BeHo geschrieben hat: Absolute Sicherheit gibt es nicht. Aber das neue Verfahren ist allemal einfacher und sicherer als die Sicherung mit einem Passwort.

man lese dazu auch noch
https://www.heise.de/security/meldung/Biometriedatenbank-mit-27-8-Millionen-Eintraegen-ungesichert-im-Netz-4496575.html

Wo bekommt man dann im Zweifelsfall noch ein neues Gesicht und neue Fingerabdrücke her:crazy:

Beitrag #7 hast Du wohl nicht gelesen?

Edit: Und Beitrag #2 wie ich auch zumindest nicht komplett. :oops:

Ich habe in dem Video nicht eine einzige Erklärung gefunden was Fido2 sein soll, zu benutzen ist, nur blablabla. Ich bleib beim Passwort. :flop:

Welches Video? :shock:

Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ...

Okay, es ist nicht ganz einfach, FIDO2 zu erklären. Ich versuche Mal, die Schritte aufzuzeigen, die es braucht, damit das funktioniert. Angenommen, die Seite sonyuserforum.de (SUF) unterstützt optional auch die Anmeldung ohne Passwort mit FIDO2. Dann würde das wie folgt ablaufen:

Registrierung:

SUF fragt mich nach dem Usernamen und der Art der Authentifizerung (Passwort oder FIDO).

Ich wähle HaPeKa als Usernamen und FIDO als Authentifizierungsmethode.

Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich.

Ich kann nun über einen OK Button (in meinem Fall ein PopUp von Windows Hello) die Bestätigung geben, dass der Browser mit SUF Schlüssel austauschen darf.

Mein PC generiert das Schlüsselpaar (einen öffentlichen und einen geheimen Schlüssel), das für die Kommunikation mit SUF genutzt werden muss und der Browser schickt SUF den öffentlichen Schlüssel, der dem User HaPeKa zugeordnet und gespeichert werden kann.

Login:

Ich rufe über den Browser die SUF Seite auf und gebe HaPeKa als Login ein.

Da ich kein Passwort eingegeben habe, fragt SUF nach dem öffentlichen Schlüssel (Protokoll läuft für mich nicht sichtbar im Hintergrund zwischen SUF und meinem Browser ab).

Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich.

Ich gebe über den OK Button mein Einverständnis, dass der Browser mit SUF Schlüssel austauschen darf.

Mein PC generiert das Schlüsselpaar und der Browser schickt SUF den öffentlichen Schlüssel zu.

SUF gleicht den öffentlichen Schlüssel mit dem bei SUF gespeicherten ab. Stimmt er überein, kommt die Kommunikation zustande und ich habe mich ohne Passwort einloggen können.

Was ist anders bei FIDO2 im Vergleich zum Passwort Login?

In der SUF Datenbank ist kein Passwort gespeichert, das geklaut oder missbraucht werden kann, nur ein öffentlicher Key, der ausschliesslich für die Kommunikation von meinem PC mit SUF genutzt werden kann.

Auf meinem PC ist kein Passwort oder Schlüssel gespeichert. Der Schlüssel wird erst erstellt, wenn der PC mich erkannt hat und ich die Einwilligung zur Kommunikation gegeben habe.

Es werden zu keinem Zeitpunkt Geheimnisse ausgetauscht oder biometrische Daten gesendet, die belauscht oder abgegriffen werden können, es wird lediglich ein öffentlicher Schlüssel gesendet, der exklusiv für die Kommunikation zwischen SUF und meinem PC genutzt werden kann.

Wenn ich ausser dem PC auch auf meinem Handy mit SUF kommunizieren will, muss ich auch mit dem Handy ein Schlüsselpaar erstellen und SUF den öffentlichen Schlüssel zukommen lassen. SUF muss also für jedes Endgerät, das HaPeKa nutzt, einen öffentlichen Schlüssel speichern.

Noch kurz zum asymetrsichen Schlüsselverfahren: Mit einem öffentlichen Schlüssel (public key) wird Klartext so unlesbar gemacht, dass er nur mit den dazugehörigen geheimen Schlüssel (private key) wieder lesbar gemacht werden kann.

Ich hoffe, das ist nun auch für nicht IT Fachleute etwas verständlicher erklärt.

Weitere Infos zum FIDO Verfahren gibt es hier auf englisch (https://webauthn.guide/)

Wenn ihr wissen möchtet, ob euer PC oder euer Handy FIDO2 tauglich ist, könnt ihr auf der webauthn.io Seite einen Test machen. Das sollte bei einem aktuellen Windows 10 (1903) oder mit Android problemlos funktionieren. Mit älteren Windows 10 Versionen funktioniert das nur mit dem Edge Browser, erst ab der aktuellsten Version 1903 auch mit Chrome, Firefox u.s.w.

webauthn.io (https://webauthn.io/)

Wie oben am Beispiel SUF erklärt, gebt ihr für die Regsitrierung erst einen Usernamen an und drückt auf Register. Das sollte dann eine User Verification auslösen. War das erfolgreich, kann dann in einem zweiten Schritt das Login getestet werden.

Die FIDO2 Technologie ist neu, aber ich bin überzeugt, dass sie in nächster Zeit einiges bewegen wird und bin gespannt, wann die ersten Webseiten FIDO2 als Option anbieten werden.

Gut Ding will bekanntlich Weile haben :D

Vielen Dank für die ausführliche und verständliche Erklärung!

Ich verstehe noch nicht, wo da der Vorteil sein soll. Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden. Und zahlen, wenn ich das möchte. Bequemer wird es mit dieser Allianz sicher nicht.

Es geht um das Prinzip, Zugriff mit Passwörtern oder ohne.

Deine Implementation ist zugegebenermassen ähnlich einfach in der Handhabung, ausser, dass du dir für jeden Dienst erstmal ein Passwort ausdenken musst. Die Verwaltung entlastet dich dann vor dem Erinnern. Das können alle anderen Passwortmanager auch.

Der Nachteil von Passwörtern, unabhängig davon, wie sie verwaltet werden, liegt in der Tatsache, dass es sie gibt und braucht. Sie können bei dir oder beim Dienstanbieter (z.B. SUF) gestohlen werden. Sie können durch einen Man-In-The-Middle Angriff abgegriffen werden.

Und in deinem Fall: sie werden zusätzlich auch bei Apple gespeichert. Apple mag das, darum scheinen sie an einem FIDO2 Erfolg nicht sonderlich interessiert zu sein.

Beim FIDO2 entfällt das eben, weil bei jedem Zugriff auf ein System, das eine hohe Sicherheit erfordert, nur noch Schlüssel ausgetauscht werden. Das erhöht die Sicherheit massiv.

Ich gehe mal davon aus, dass Telebanking- und Online-Shop Systeme die ersten sein werden, die umstellen werden. We'll see ...

Thema finde ich interessant.
Mir ist die Bindung an die HW nicht recht.
Ich muss zur Sicherheit immer zwei Geräte verbinden und kann nicht einfach andere HW nutzen. Bei uns Haushalt gibt es recht viel alte HW 5/7 (inkompatibilität nicht sicher).
Für finanzielle Themen ggf interessant, aber einschränkend.
Ich habe ja eine "clevere" Passwortregel, die ich meiner Familie beizubringen versuche. Für die wäre FIDO dann eher was. Zumal meine Tochter alles am Smartphone macht.
Wie sichere ich meinen Zugang mit nur einer HW ab?

Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden. Und zahlen, wenn ich das möchte. Bequemer wird es mit dieser Allianz sicher nicht.
da hast du recht, bequemer nicht, wenn's mal eingerichtet ist.

Es wird jedoch nicht lange dauern, da wird dir die Apple Marketing Maschinerie vorschwärmen, wie viel einfacher es ist, statt mit dem Apple Schlüsselbund die Funktion "Login mit Apple" zu nutzen, die Tim Cook im Juni diesen Jahres als Lösung für das Passwort Problem vorgestellt hat. Solltest du diese Umstellung vornehmen, weiss Apple dann sehr genau, wann, wo und wie oft du auf welche Webseite einloggst.

Hier noch die berechtigten Bedenken des Heise Redaktors zu diesem "Login mit xxx" Teufelszeug :D

Bei Smartphone-Apps, aber auch bei Diensten im Social-Media-Umfeld sieht man immer öfter die Option „Anmelden mit Google“ oder „Anmelden mit Facebook“. Und jüngst hat auch Apple das ganz groß als tolle, neue und angeblich sogar Privacy-freundliche Funktion angekündigt. Diese Lüge könnte kaum dreister sein.

Die Idee dieser Single-Sign-On-Konzepte ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu quasi beliebigen weiteren Diensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem: ohne weiteres Passwort. Das ist komfortabel und dank der Technik im Hintergrund (bei Google etwa OAuth 2.0) auf den ersten Blick recht sicher – also zumindest wenn Sie Ihr Google-, Facebook- oder Apple-Konto sicher halten.

Natürlich bekommt dabei dann etwa Google auch ganz genau mit, welche Dienste Sie wie oft nutzen. Man kann einwenden, dass die das ohnehin sehen, über die eingebettete Werbung, Analysedienste oder die Anmeldebestätigung ans Google-Mail-Konto. Das eigentlich neue an diesem Konzept ist jedoch, dass im Internet nicht mehr ich nachweise, wer ich bin, sondern ein Dritter mir das bestätigt – mein „Identity Provider“.

Schon der Name macht klar, dass es sich dabei um eine neue Dimension von Macht handelt. Es geht hier nicht nur um irgendeinen weiteren kostenlosen Dienst; Sie lassen sich dabei von Google oder Facebook Ihre Identität im Internet bestätigen. Für ein bisschen Bequemlichkeit verkaufen Sie hier nicht nur Ihre Seele, sondern Ihre komplette virtuelle Existenz an einen internationalen Mega-Konzern.

Nahezu jedes Unternehmen mit wertvollen Daten – so auch Google – hatte bereits Elite-Hacker im eigenen Netz. Dann sind da noch die National Security Letter und Begehrlichkeiten von FBI, BKA & Co. Die Erfahrungen der jüngeren Vergangenheit lassen nur einen Schluss zu: Es ist praktisch unmöglich, einen so eminent wichtigen Datenbestand auf Dauer vor allen Zugriffen Dritter abzuschotten.

Doch auch ganz ohne Missbrauch durch Dritte stinkt das Konzept: Für einen solchen Konzern ist nicht Ihr persönliches Wohlergehen das Maß aller Dinge, sondern das Geldverdienen. Facebook, Google und natürlich auch Apple wollen bei möglichst vielen Geschäften im Internet Provision kassieren. Und das geht viel besser, wenn man die Identität der Anwender kontrolliert. Und wenn der Konzern Sie aus irgendwelchen Gründen nicht (mehr?) mag, dann sind Sie plötzlich nichts, nada, ein Niemand.

So viel Macht will man nicht an einen Konzern abgeben – nicht als Individuum und schon gar nicht als Gesellschaft. Zentrale Identity Provider im Internet sind Teufelszeug und man sollte davon die Finger lassen. Dann doch lieber Passwörter – oder eben FIDO2.

Wie sichere ich meinen Zugang mit nur einer HW ab?
Das ist die Herausforderung, die FIDO2 mit sich bringt und an der wohl auch noch gefeilt wird.

Die einfachste Möglichkeit ist der Einsatz eines Hardware-Tokens am Schlüsselbund oder an einem sicheren Ort hinterlegt (siehe PDF Link im ersten Post). Aber das ist ja die zweite Hardware, die du ausschliessen möchtest.

Ich hab das FIDO2 Prinzip als zweiten Faktor bei Dropbox eingestellt, und Dropbox handhabt das so, dass mir am Ende des Registrierungsvorgangs ein Backupschlüssel angezeigt wird, den ich ausdrucken und sicher verwahren kann. Sollte ich dann mal die Hardware wechseln, sollte ich ähnlich wie beim "Passwort vergessen" Vorgang einen "Schlüssel ersetzen" Vorgang starten können, bei dem ich mit dem Backup Schlüssel meine Identität bestätigen kann. Das habe ich aber noch nicht durchgespielt ...

Klar darf dieser Backup Schlüssel nicht als ScreenShot auf dem PC im Bilderordner landen, damit wäre die Sicherheit ja ausgehebelt und jemand, der meinen PC gehackt hat, hätte dann auch Zugriff auf meine Dropbox ...

Also Backup Key schön ausdrucken und sicher verwahren oder in einen VeraCrypt Container versorgen :D

Ich bin sicher, es wird noch verschiedene Ansätze geben, um beim Wechsel des Handys einen neuen Schlüssel mit dem Account zu verknüpfen.

Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden.

Der Sinn ist ja, von Passwörtern und Passwortdiebstahl wegzukommen. Wie sicher und komfortabel das neue System tatsächlich ist, bleibt zu beobachten. Mit vielen verschiedenen Geräten und wenn man öfters unterwegs ist, mag es komplizierter werden. Allerdings habe ich an meinen Geräten i.d.R. keine Kamera, oder sie ist abgeklebt. Kann die Gesichtserkennung nicht durch ein Foto ausgehebelt werden?
Auf meinem Smartphone mache ich außer dem Playstore nichts, wo ich mich einloggen müsste.

Bzgl. Apple nehme mal Bezug auf den von HaPeKa verlinkten Artikel:

Apple hat offenbar andere Prioritäten: Erst im Juni stellte Apples CEO Tim Cook noch mit großen Worten „Login mit Apple“ als Lösung des Passwort-Problems vor; die Web-Standards FIDO2 oder WebAuthn hingegen erwähnte er nicht einmal (siehe auch den Kommentar Teufelszeug) Doch auch Apple wird hoffentlich diesen FIDO-Boykott nicht lange durchhalten. In den aktuellen Entwickler-Previews finden sich jedenfalls bereits erste Hinweise auf FIDO2-Unterstützung.
...
Bei Smartphone-Apps, aber auch bei Diensten im Social-Media-Umfeld sieht man immer öfter die Option „Anmelden mit Google“ oder „Anmelden mit Facebook“. Und jüngst hat auch Apple das ganz groß als tolle, neue und angeblich sogar Privacy-freundliche Funktion angekündigt. Diese Lüge könnte kaum dreister sein.

Die Idee dieser Single-Sign-On-Konzepte ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu quasi beliebigen weiteren Diensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem: ohne weiteres Passwort. Das ist komfortabel und dank der Technik im Hintergrund (bei Google etwa OAuth 2.0) auf den ersten Blick recht sicher – also zumindest wenn Sie Ihr Google-, Facebook- oder Apple-Konto sicher halten.

Natürlich bekommt dabei dann etwa Google auch ganz genau mit, welche Dienste Sie wie oft nutzen. Man kann einwenden, dass die das ohnehin sehen, über die eingebettete Werbung, Analysedienste oder die Anmeldebestätigung ans Google-Mail-Konto. Das eigentlich neue an diesem Konzept ist jedoch, dass im Internet nicht mehr ich nachweise, wer ich bin, sondern ein Dritter mir das bestätigt – mein „Identity Provider“.

Schon der Name macht klar, dass es sich dabei um eine neue Dimension von Macht handelt. Es geht hier nicht nur um irgendeinen weiteren kostenlosen Dienst; Sie lassen sich dabei von Google oder Facebook Ihre Identität im Internet bestätigen. Für ein bisschen Bequemlichkeit verkaufen Sie hier nicht nur Ihre Seele, sondern Ihre komplette virtuelle Existenz an einen internationalen Mega-Konzern. ...
Der Artikel (grauer Kasten) geht noch weiter.
https://www.heise.de/select/ct/2019/18/1566917336782380

@hapeka
2. HW schließe ich nicht aus. Token wäre für mich ok.
Wenn ich für jeden Online Schlüssel noch ein Backup sichern müsste, fänd ich das zu aufwendig. Da geht der Vorteil durch Komfortverlust verloren.

@reisefoto
Betrug durch Foto lässt sich sicher leicht absichern. Videoauschnitt anstatt Foto und das das Video von einem Kopf und nicht von einem Bild ist, sollte leicht feststellbar sein.

Allerdings habe ich an meinen Geräten i.d.R. keine Kamera, oder sie ist abgeklebt.
Die Gesichtserkennung nutze ich für die sogenannte "User Verification" (UV), also zum Sicherstellen, dass ich es bin, der den Austausch der Schlüssel erlaubt. Die UV muss nicht zwingend mit der Gesichtserkennung erfolgen, ich habe bei mir am PC den Anmeldeprozess damit verbunden, weil das für mich die einfachste Art ist.

Die User Verification kann auch durch Fingerabdruck, Iriserkennung oder PIN erfolgen, also mittels eines Geheimnisses, das nur ich kenne. PIN wäre für mich jedoch zu unsicher, weil jeder, der mir mal über die Schulter schaut, den PIN erkennen und sich merken kann.

Versteht mich nicht falsch, ich wollte euch mit diesem Thread nicht animieren, euer Passwortsystem umzustellen. Dafür ist es noch zu früh. Ich wollte eigentlich nur darauf aufmerksam machen, dass sich da was tut, das unsere Art, wie wir in Zukunft mit Passwörtern umgehen, wesentlich verändern könnte.

Zur Zeit ist das von Martin beschriebene System eines Passwortmanagers immer noch das einfachste und, wenn individuelle starke Passwörter genutzt werden, auch ein sehr sicheres. Das von Dey betrachte ich als das Flexibelste, weil es überall auf verschiedenen Systemen verschiedener Hersteller eingesetzt werden kann.

Ich verwende wie Dey auch ein Passwortsystem, bei dem ich für jeden Dienst ein Passwort herleiten muss und ich betrachte das als Gehirnjogging :D

Erinnert ihr euch noch an die Zeit, wo man ein Dutzend oder mehr Telefonnummern auswendig kannte? Die Adressverwaltung auf den Telefonen ist zwar praktisch, aber hat auch dazu geführt, dass wir uns Telefonnummern kaum mehr merken wollen (und können).

Bei den Passwörtern zeichnet sich mit FIDO2 etwas ähnliches ab. An was werden wir uns in Zukunft noch erinnern müssen? Womit werden wir unsere Synapsen fit halten?

Wenn ich für jeden Online Schlüssel noch ein Backup sichern müsste, fänd ich das zu aufwendig. Da geht der Vorteil durch Komfortverlust verloren.
Es wird bestimmt eine Lösung für dieses Problem geben, habe an anderer Stelle was von temporären Schlüsseln für den Wechsel von Hardware A auf Hardware B gelesen, weiss aber (noch) nicht, wie dieser Ablauf vor sich gehen könnte.

Bei einem Telebankingsystem habe ich beim Wechsel des Handys bei der Bank einen neuen Freischaltcode anfordern müssen, der mir dann per Post zugestellt wurde. Das war aber noch keine FIDO2 Authentisierung sondern eine mittels CrontoSign.

Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ...
Kein PDF, auf der verlinkten heise-Seite das Video.
Danke für deine ausführliche Erklärung. :top:

Auf die Post möchte ich nicht warten müssen.

@HaPeKa: Danke für die Erklärung, ich bin gerade dabei die c't Artikel zu lesen, aber deine Erklärungen sind schon mal übersichtlicher als die ersten Seiten :)

Danke, hab ja auch versucht, es etwas vereinfacht zu erklären ...

Das System scheint mir gut durchdacht zu sein, selbst für Leute, die sich intensiv mit Sicherheitsfragen befassen müssen. Aber es gibt noch einige Hürden zu nehmen, z.B. die Akzeptanz beim User und den Dienstebetreibern. Zudem muss die Verwaltung von Schlüsseln und deren Ersatz, wenn die User die Hardware wechseln, auf einfache und einleuchtende Weise gelöst werden. Gute Ansätze sind vorhanden, aber noch nichts Standardisiertes.

Heise hat zum Thema FIDO2 noch ein paar Infos auf der Online Seite (https://www.heise.de/hintergrund/Anmelden-ohne-Passwort-mit-FIDO2-4495336.html) bereitgestellt.

Insbesondere, wie FIDO2 vor Phishing schützt und welche Restrisiken bestehen ...

Heise hat zum Thema FIDO2 noch ein paar Infos auf der Online Seite (https://www.heise.de/hintergrund/Anmelden-ohne-Passwort-mit-FIDO2-4495336.html) bereitgestellt.
Leider nur lesbar, wenn man heise+ abboniert.

hmm, sorry, jetzt hab ich's auch gesehen ... bin da ja angemeldet.

Nachtrag: Kopie des kostenpflichtigen Artikels gelöscht.

Danke sehr. Hoffentlich bekommst du jetzt nicht mit heise Ärger.

Hat sich erledigt ... SUF soll keinen Ärger mit Heise kriegen :roll:

Deine Implementation ist zugegebenermassen ähnlich einfach in der Handhabung, ausser, dass du dir für jeden Dienst erstmal ein Passwort ausdenken musst.
Man merkt, dass du von Apple keine Ahnung hast. Die Apple Geräte schlagen automatisch sichere Passwörter vor. Und zwar pro Website/Anwendung getrennt. Man muss sich um nichts kümmern.
Der Nachteil von Passwörtern, unabhängig davon, wie sie verwaltet werden, liegt in der Tatsache, dass es sie gibt und braucht. Sie können bei dir oder beim Dienstanbieter (z.B. SUF) gestohlen werden. Sie können durch einen Man-In-The-Middle Angriff abgegriffen werden.
Dazu muss man erst mal die sichere Verbindung entschlüsseln. Und beim Dienstanbieter liegen sie hoffentlich auch nicht im Klartext vor.
Und in deinem Fall: sie werden zusätzlich auch bei Apple gespeichert.
Dort liegen sie nur mit starker Verschlüsselung. Apple kann sie nicht auslesen.

Wie identifiziert man sich als die berechtigte Person, die die Authentifizierungsfunktion des Gerätes benutzen darf? Biometrische Daten sind riskant (besonders Fingerabdrücke)
Bald wirst du dir einen Chip implantieren lassen. Wie Hund und Katze heute schon. Viel Spaß, wenn du überfallen wirst und es die Täter auf deinen Chip abgesehen haben.

Man merkt, dass du von Apple keine Ahnung hast. Die Apple Geräte schlagen automatisch sichere Passwörter vor. Und zwar pro Website/Anwendung getrennt. Man muss sich um nichts kümmern.
Stimmt :D

Und das "Apple System" arbeitet so, wie es andere Passwortmanager wie KeePass auch machen. Wie bereits geschrieben, zur Zeit eine der sichersten Methoden, mit den genannten Nachteilen, die FIDO2 nicht hat.

Aber FIDO2 steht am Anfang und es ist noch lange nicht sicher, ob sich das Prinzip durchsetzen wird. Leider gibt es einige, die das aus Eigeninteresse nicht unterstützen werden. Apple gehört dazu ...

[...]Heise setzt sich seit Jahren für Sicherheit ein und ich denke, das kann akzeptiert werden ...

Heise stellt ggfs. auch eigentlich kostenpflichtige Inhalte gratis zur Verfügung, wenn es der Verlag so entscheidet - auch auf Anregung der Leserschaft. Und selbst kostenfrei abrufbare Inhalte dürfen grundsätzlich nicht einfach so ohne Zustimmung woanders wiedergegeben werden.

Ist gelöscht, wen's wirklich interessiert, kann sich die Ausgabe ja am Kiosk oder online kaufen. Lohnt sich für IT Interessierte auf jeden Fall. Die c't habe ich seit der Erstausgabe auf der Systems 83 in München mehr oder weniger regelmässig gelesen, es gab und gibt all die Jahre nichts Vergleichbares in deutscher Sprache :top:

Interessantes Konzept und der vermutlich erste Vorteil eines TPM chips fuer Endanwender. Leider wird es beim Boardwechsel etc dann vermutlich richtig eklig.

Heise hat auf Heise Security ein FAQ dazu gepostet:

FAQ: FIDO2 und der Abschied vom Passwort (https://www.heise.de/security/meldung/FAQ-FIDO2-und-der-Abschied-vom-Passwort-4508519.html)

Ich verstehe noch nicht, wo da der Vorteil sein soll. Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden. Und zahlen, wenn ich das möchte. Bequemer wird es mit dieser Allianz sicher nicht.
Wie letzten Freitag bekannt wurde, gab es eine iPhone Hack, der jahrelang nicht entdeckt wurde, und der sogar die Keychain ausgelesen hat. Deine Passwörter könnten also bereits anderen bekannt sein, selbst, wenn du sie nicht auswendig kannst ...

War das Implant einmal auf dem iPhone, griff es unter anderem Nachrichtendatenbanken verschlüsselter Chats wie WhatsApp sowie Apples iMessages ab und übertrug sie auf einen externen Server. Weiterhin gab es Funktionen zur Übertragung der Kontaktdatenbank, aller enthaltener Fotos sowie wichtiger Tokens wie denen von Google. Inhalte von Telegram, Skype, Google, Outlook, Facebook und diversen weiteren potenziell interessanten Apps konnten abgesaugt werden. Auch Sprachnachrichten und SMS lagen offen, genauso wie die Keychain mit den Passwörtern und WLAN-Zugängen (Schlüsselbund). Weiterhin konnte Beer ein GPS-Tracking durch das Implant nachvollziehen, als er in Amsterdam auf Reisen war.

Quelle: Heise Security
iPhones über Jahre mit bösartigen Implants infiziert (https://www.heise.de/mac-and-i/meldung/Google-Project-Zero-iPhone-Nutzer-ueber-Jahre-mit-boesartigen-Implants-infiziert-4510434.html)

…
Quelle: Heise Security
iPhones über Jahre mit bösartigen Implants infiziert (https://www.heise.de/mac-and-i/meldung/Google-Project-Zero-iPhone-Nutzer-ueber-Jahre-mit-boesartigen-Implants-infiziert-4510434.html)

Findest Du es nicht etwas schäbig die Apfeljünger so zu erschrecken? :crazy:

wecken oder in die Realität zurück holen fände ich treffender ... :D

Apple ist nun auch dabei, ab Release 13.3 wird FIDO2 unterstützt.

FIDO2-Unterstützung von iOS im Kurztest (https://www.heise.de/ct/artikel/FIDO2-Unterstuetzung-von-iOS-im-Kurztest-4597703.html)

Mit dem iOS 16 Release letzten Montag hat Apple ein neues Passkey Verfahren eingeführt, das auf dem WebAuthn Standard der FIDO-Allianz beruht. Damit entfällt nun das Erstellen eines eigenen Passwortes bei Diensten, die das unterstützen.

Beim Anmelden auf einem Dienst, der die FIDO Standards unterstützt, wird auf dem iPhone ein Schlüsselpaar generiert, mit dem in Zukunft der Zugang gesichert wird. Mit Biometrie wie zum Beispiel Face-ID oder Touch-ID wird lediglich der Besitz des privaten Schlüssels nachgewiesen.

Apple erlaubt auch, dass die Passkeys im Cloud Schlüsselbund gesichert werden. Nachteiil davon: Nutzt man dieses Passkey-Verfahren, schliesst man sich im Applesystem ein, es ist nicht möglich, die Passkeys auf ein anderes System zu transferieren. Dasselbe gilt natürlich auch für FIDO basierende Passkey Systeme von Google und Microsoft.

Verliert jemand, aus welchem Grund auch immer sein Handy und den Zugriff auf die Cloud-Sicherung, verliert er bei allen Systemen, die mit dem Passkey Verfahren gesichert sind, den Zugriff. Der komplexe Wiederherstellungsprozess für verlorene oder gestohlene iCloud Zugänge ist sehr mühsam und nicht immer erfolgreich ...

Das Passkey Verfahren scheint sich langsam auch bei Google, Microsoft und Apple durchzusetzen, also Zeit, sich mit dem Verfahren vertraut zu machen.

Ein aktueller Artikel von Heise Online:
Zukunft ohne Passwort (https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html)

Ich seh da nach wie vor weder einen Gewinn an Komfort noch an Sicherheit.

Meine Passwörter hat Firefox gespeichert, das Firefox-Profil liegt auf einer Bitlocker-Parition und ist zusätzlich noch EFS-verschlüsselt. Davon abgesehen ist die Passwort-Datei von Firefox intern natürlich auch nochmal verschlüsselt. Da ich keine Passwörter eintippe, könnte selbst ein eventueller Keylogger keine abgreifen. Und Firefox füllt das Passwortfeld nur dann aus, wenn ich auf der zugehörigen Website bin, damit bin ich also auch gegen Phishing geschützt.

Und was den Komfort angeht: Da Benutzername und Passwort von Firefox automatisch eingetragen werden, ist das Anmelden - nachdem man sich davon überzeugt hat, dass alles korrekt ausgefüllt ist - nur ein einziger Mausklick. Was soll da noch einfacher gehen?

Im Gegenteil - wenn der private Schlüssel nur zu Hause auf meinem Rechner liegt, wie authentifiziere ich mich dann, wenn ich mal auf einem fremden Rechner (bei Freunden oder im Internet-Café) z.B. meine E-Mails lesen will?

Steht alles im oben verlinkten Artikel. Ein Passwort, dass es nicht gibt, kann nicht geklaut werden. Und Passwörter werden nicht nur beim User sondern auch bei lausig programmierten Webseiten von Lieferanten geklaut.

Und bei Google und Apple können die Schlüssel synchronisiert werden, d.h. wenn das Handy geklaut wird, kannst du mit deinem Tablet noch zugreifen und ein neues Handy authorisieren. Und wenn du auf einem PC, der nicht dir gehört, auf eine mit Passkey gesicherte Seite zugreifen willst, kannst du anstelle eines Passworts einzugeben über einen QR-Code einloggen, den du mit dem Handy, auf dem der Passkey gespeichert ist, scannen kannst.

Anyway, man darf natürlich auch weiterhin Passwörter nutzen, wenn man das will. Und es wird nicht allzulange gehen, da wird auch Firefox die gespeicherten Passwörter mit einem Passkey schützen, wie das Google Chrome, MS Edge und Apple mit dem Schlüsselbund heute schon machen.