SonyUserforum - Einzelnen Beitrag anzeigen

HaPeKa · 17.08.2019, 07:17

Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ...

Okay, es ist nicht ganz einfach, FIDO2 zu erklären. Ich versuche Mal, die Schritte aufzuzeigen, die es braucht, damit das funktioniert. Angenommen, die Seite sonyuserforum.de (SUF) unterstützt optional auch die Anmeldung ohne Passwort mit FIDO2. Dann würde das wie folgt ablaufen:

Registrierung:

SUF fragt mich nach dem Usernamen und der Art der Authentifizerung (Passwort oder FIDO).

Ich wähle HaPeKa als Usernamen und FIDO als Authentifizierungsmethode.

Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich.

Ich kann nun über einen OK Button (in meinem Fall ein PopUp von Windows Hello) die Bestätigung geben, dass der Browser mit SUF Schlüssel austauschen darf.

Mein PC generiert das Schlüsselpaar (einen öffentlichen und einen geheimen Schlüssel), das für die Kommunikation mit SUF genutzt werden muss und der Browser schickt SUF den öffentlichen Schlüssel, der dem User HaPeKa zugeordnet und gespeichert werden kann.

Login:

Ich rufe über den Browser die SUF Seite auf und gebe HaPeKa als Login ein.

Da ich kein Passwort eingegeben habe, fragt SUF nach dem öffentlichen Schlüssel (Protokoll läuft für mich nicht sichtbar im Hintergrund zwischen SUF und meinem Browser ab).

Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich.

Ich gebe über den OK Button mein Einverständnis, dass der Browser mit SUF Schlüssel austauschen darf.

Mein PC generiert das Schlüsselpaar und der Browser schickt SUF den öffentlichen Schlüssel zu.

SUF gleicht den öffentlichen Schlüssel mit dem bei SUF gespeicherten ab. Stimmt er überein, kommt die Kommunikation zustande und ich habe mich ohne Passwort einloggen können.

Was ist anders bei FIDO2 im Vergleich zum Passwort Login?

In der SUF Datenbank ist kein Passwort gespeichert, das geklaut oder missbraucht werden kann, nur ein öffentlicher Key, der ausschliesslich für die Kommunikation von meinem PC mit SUF genutzt werden kann.

Auf meinem PC ist kein Passwort oder Schlüssel gespeichert. Der Schlüssel wird erst erstellt, wenn der PC mich erkannt hat und ich die Einwilligung zur Kommunikation gegeben habe.

Es werden zu keinem Zeitpunkt Geheimnisse ausgetauscht oder biometrische Daten gesendet, die belauscht oder abgegriffen werden können, es wird lediglich ein öffentlicher Schlüssel gesendet, der exklusiv für die Kommunikation zwischen SUF und meinem PC genutzt werden kann.

Wenn ich ausser dem PC auch auf meinem Handy mit SUF kommunizieren will, muss ich auch mit dem Handy ein Schlüsselpaar erstellen und SUF den öffentlichen Schlüssel zukommen lassen. SUF muss also für jedes Endgerät, das HaPeKa nutzt, einen öffentlichen Schlüssel speichern.

Noch kurz zum asymetrsichen Schlüsselverfahren: Mit einem öffentlichen Schlüssel (public key) wird Klartext so unlesbar gemacht, dass er nur mit den dazugehörigen geheimen Schlüssel (private key) wieder lesbar gemacht werden kann.

Ich hoffe, das ist nun auch für nicht IT Fachleute etwas verständlicher erklärt.

Weitere Infos zum FIDO Verfahren gibt es hier auf englisch

Wenn ihr wissen möchtet, ob euer PC oder euer Handy FIDO2 tauglich ist, könnt ihr auf der webauthn.io Seite einen Test machen. Das sollte bei einem aktuellen Windows 10 (1903) oder mit Android problemlos funktionieren. Mit älteren Windows 10 Versionen funktioniert das nur mit dem Edge Browser, erst ab der aktuellsten Version 1903 auch mit Chrome, Firefox u.s.w.

webauthn.io

Wie oben am Beispiel SUF erklärt, gebt ihr für die Regsitrierung erst einen Usernamen an und drückt auf Register. Das sollte dann eine User Verification auslösen. War das erfolgreich, kann dann in einem zweiten Schritt das Login getestet werden.

Die FIDO2 Technologie ist neu, aber ich bin überzeugt, dass sie in nächster Zeit einiges bewegen wird und bin gespannt, wann die ersten Webseiten FIDO2 als Option anbieten werden.

Gut Ding will bekanntlich Weile haben

17.08.2019, 07:17	#13
HaPeKa Themenersteller Registriert seit: 17.02.2016 Ort: Bern Beiträge: 4.969	Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ... Okay, es ist nicht ganz einfach, FIDO2 zu erklären. Ich versuche Mal, die Schritte aufzuzeigen, die es braucht, damit das funktioniert. Angenommen, die Seite sonyuserforum.de (SUF) unterstützt optional auch die Anmeldung ohne Passwort mit FIDO2. Dann würde das wie folgt ablaufen: Registrierung: SUF fragt mich nach dem Usernamen und der Art der Authentifizerung (Passwort oder FIDO). Ich wähle HaPeKa als Usernamen und FIDO als Authentifizierungsmethode. Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich. Ich kann nun über einen OK Button (in meinem Fall ein PopUp von Windows Hello) die Bestätigung geben, dass der Browser mit SUF Schlüssel austauschen darf. Mein PC generiert das Schlüsselpaar (einen öffentlichen und einen geheimen Schlüssel), das für die Kommunikation mit SUF genutzt werden muss und der Browser schickt SUF den öffentlichen Schlüssel, der dem User HaPeKa zugeordnet und gespeichert werden kann. Login: Ich rufe über den Browser die SUF Seite auf und gebe HaPeKa als Login ein. Da ich kein Passwort eingegeben habe, fragt SUF nach dem öffentlichen Schlüssel (Protokoll läuft für mich nicht sichtbar im Hintergrund zwischen SUF und meinem Browser ab). Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich. Ich gebe über den OK Button mein Einverständnis, dass der Browser mit SUF Schlüssel austauschen darf. Mein PC generiert das Schlüsselpaar und der Browser schickt SUF den öffentlichen Schlüssel zu. SUF gleicht den öffentlichen Schlüssel mit dem bei SUF gespeicherten ab. Stimmt er überein, kommt die Kommunikation zustande und ich habe mich ohne Passwort einloggen können. Was ist anders bei FIDO2 im Vergleich zum Passwort Login? In der SUF Datenbank ist kein Passwort gespeichert, das geklaut oder missbraucht werden kann, nur ein öffentlicher Key, der ausschliesslich für die Kommunikation von meinem PC mit SUF genutzt werden kann. Auf meinem PC ist kein Passwort oder Schlüssel gespeichert. Der Schlüssel wird erst erstellt, wenn der PC mich erkannt hat und ich die Einwilligung zur Kommunikation gegeben habe. Es werden zu keinem Zeitpunkt Geheimnisse ausgetauscht oder biometrische Daten gesendet, die belauscht oder abgegriffen werden können, es wird lediglich ein öffentlicher Schlüssel gesendet, der exklusiv für die Kommunikation zwischen SUF und meinem PC genutzt werden kann. Wenn ich ausser dem PC auch auf meinem Handy mit SUF kommunizieren will, muss ich auch mit dem Handy ein Schlüsselpaar erstellen und SUF den öffentlichen Schlüssel zukommen lassen. SUF muss also für jedes Endgerät, das HaPeKa nutzt, einen öffentlichen Schlüssel speichern. Noch kurz zum asymetrsichen Schlüsselverfahren: Mit einem öffentlichen Schlüssel (public key) wird Klartext so unlesbar gemacht, dass er nur mit den dazugehörigen geheimen Schlüssel (private key) wieder lesbar gemacht werden kann. Ich hoffe, das ist nun auch für nicht IT Fachleute etwas verständlicher erklärt. Weitere Infos zum FIDO Verfahren gibt es hier auf englisch Wenn ihr wissen möchtet, ob euer PC oder euer Handy FIDO2 tauglich ist, könnt ihr auf der webauthn.io Seite einen Test machen. Das sollte bei einem aktuellen Windows 10 (1903) oder mit Android problemlos funktionieren. Mit älteren Windows 10 Versionen funktioniert das nur mit dem Edge Browser, erst ab der aktuellsten Version 1903 auch mit Chrome, Firefox u.s.w. webauthn.io Wie oben am Beispiel SUF erklärt, gebt ihr für die Regsitrierung erst einen Usernamen an und drückt auf Register. Das sollte dann eine User Verification auslösen. War das erfolgreich, kann dann in einem zweiten Schritt das Login getestet werden. Die FIDO2 Technologie ist neu, aber ich bin überzeugt, dass sie in nächster Zeit einiges bewegen wird und bin gespannt, wann die ersten Webseiten FIDO2 als Option anbieten werden. Gut Ding will bekanntlich Weile haben