@hapeka
2. HW schließe ich nicht aus. Token wäre für mich ok.
Wenn ich für jeden Online Schlüssel noch ein Backup sichern müsste, fänd ich das zu aufwendig. Da geht der Vorteil durch Komfortverlust verloren.

@reisefoto
Betrug durch Foto lässt sich sicher leicht absichern. Videoauschnitt anstatt Foto und das das Video von einem Kopf und nicht von einem Bild ist, sollte leicht feststellbar sein.

Die Gesichtserkennung nutze ich für die sogenannte "User Verification" (UV), also zum Sicherstellen, dass ich es bin, der den Austausch der Schlüssel erlaubt. Die UV muss nicht zwingend mit der Gesichtserkennung erfolgen, ich habe bei mir am PC den Anmeldeprozess damit verbunden, weil das für mich die einfachste Art ist.

Die User Verification kann auch durch Fingerabdruck, Iriserkennung oder PIN erfolgen, also mittels eines Geheimnisses, das nur ich kenne. PIN wäre für mich jedoch zu unsicher, weil jeder, der mir mal über die Schulter schaut, den PIN erkennen und sich merken kann.

Versteht mich nicht falsch, ich wollte euch mit diesem Thread nicht animieren, euer Passwortsystem umzustellen. Dafür ist es noch zu früh. Ich wollte eigentlich nur darauf aufmerksam machen, dass sich da was tut, das unsere Art, wie wir in Zukunft mit Passwörtern umgehen, wesentlich verändern könnte.

Zur Zeit ist das von Martin beschriebene System eines Passwortmanagers immer noch das einfachste und, wenn individuelle starke Passwörter genutzt werden, auch ein sehr sicheres. Das von Dey betrachte ich als das Flexibelste, weil es überall auf verschiedenen Systemen verschiedener Hersteller eingesetzt werden kann.

Ich verwende wie Dey auch ein Passwortsystem, bei dem ich für jeden Dienst ein Passwort herleiten muss und ich betrachte das als Gehirnjogging :D

Erinnert ihr euch noch an die Zeit, wo man ein Dutzend oder mehr Telefonnummern auswendig kannte? Die Adressverwaltung auf den Telefonen ist zwar praktisch, aber hat auch dazu geführt, dass wir uns Telefonnummern kaum mehr merken wollen (und können).

Bei den Passwörtern zeichnet sich mit FIDO2 etwas ähnliches ab. An was werden wir uns in Zukunft noch erinnern müssen? Womit werden wir unsere Synapsen fit halten?

Es wird bestimmt eine Lösung für dieses Problem geben, habe an anderer Stelle was von temporären Schlüsseln für den Wechsel von Hardware A auf Hardware B gelesen, weiss aber (noch) nicht, wie dieser Ablauf vor sich gehen könnte.

Bei einem Telebankingsystem habe ich beim Wechsel des Handys bei der Bank einen neuen Freischaltcode anfordern müssen, der mir dann per Post zugestellt wurde. Das war aber noch keine FIDO2 Authentisierung sondern eine mittels CrontoSign.

Kein PDF, auf der verlinkten heise-Seite das Video.
Danke für deine ausführliche Erklärung. :top:

Auf die Post möchte ich nicht warten müssen.

@HaPeKa: Danke für die Erklärung, ich bin gerade dabei die c't Artikel zu lesen, aber deine Erklärungen sind schon mal übersichtlicher als die ersten Seiten :)

Danke, hab ja auch versucht, es etwas vereinfacht zu erklären ...

Das System scheint mir gut durchdacht zu sein, selbst für Leute, die sich intensiv mit Sicherheitsfragen befassen müssen. Aber es gibt noch einige Hürden zu nehmen, z.B. die Akzeptanz beim User und den Dienstebetreibern. Zudem muss die Verwaltung von Schlüsseln und deren Ersatz, wenn die User die Hardware wechseln, auf einfache und einleuchtende Weise gelöst werden. Gute Ansätze sind vorhanden, aber noch nichts Standardisiertes.

Heise hat zum Thema FIDO2 noch ein paar Infos auf der Online Seite bereitgestellt.

Insbesondere, wie FIDO2 vor Phishing schützt und welche Restrisiken bestehen ...

Leider nur lesbar, wenn man heise+ abboniert.

hmm, sorry, jetzt hab ich's auch gesehen ... bin da ja angemeldet.

Nachtrag: Kopie des kostenpflichtigen Artikels gelöscht.