|
|
|||||||||||||||
|
16.08.2019, 23:22 | #11 |
Registriert seit: 02.06.2017
Ort: Berlin
Beiträge: 829
|
Ich habe in dem Video nicht eine einzige Erklärung gefunden was Fido2 sein soll, zu benutzen ist, nur blablabla. Ich bleib beim Passwort.
|
Sponsored Links | |
|
16.08.2019, 23:52 | #12 |
Registriert seit: 11.08.2004
Ort: Woinem
Beiträge: 32.038
|
Welches Video?
__________________
.___. (O,o) /)__) █Meine SUF-Bilder / Island-Bilder -"-"-██P.S.: Wissenschaft ist keine Meinung. |
17.08.2019, 07:17 | #13 |
Themenersteller
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 5.004
|
Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ...
Okay, es ist nicht ganz einfach, FIDO2 zu erklären. Ich versuche Mal, die Schritte aufzuzeigen, die es braucht, damit das funktioniert. Angenommen, die Seite sonyuserforum.de (SUF) unterstützt optional auch die Anmeldung ohne Passwort mit FIDO2. Dann würde das wie folgt ablaufen: Registrierung: SUF fragt mich nach dem Usernamen und der Art der Authentifizerung (Passwort oder FIDO). Ich wähle HaPeKa als Usernamen und FIDO als Authentifizierungsmethode. Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich. Ich kann nun über einen OK Button (in meinem Fall ein PopUp von Windows Hello) die Bestätigung geben, dass der Browser mit SUF Schlüssel austauschen darf. Mein PC generiert das Schlüsselpaar (einen öffentlichen und einen geheimen Schlüssel), das für die Kommunikation mit SUF genutzt werden muss und der Browser schickt SUF den öffentlichen Schlüssel, der dem User HaPeKa zugeordnet und gespeichert werden kann. Login: Ich rufe über den Browser die SUF Seite auf und gebe HaPeKa als Login ein. Da ich kein Passwort eingegeben habe, fragt SUF nach dem öffentlichen Schlüssel (Protokoll läuft für mich nicht sichtbar im Hintergrund zwischen SUF und meinem Browser ab). Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich. Ich gebe über den OK Button mein Einverständnis, dass der Browser mit SUF Schlüssel austauschen darf. Mein PC generiert das Schlüsselpaar und der Browser schickt SUF den öffentlichen Schlüssel zu. SUF gleicht den öffentlichen Schlüssel mit dem bei SUF gespeicherten ab. Stimmt er überein, kommt die Kommunikation zustande und ich habe mich ohne Passwort einloggen können. Was ist anders bei FIDO2 im Vergleich zum Passwort Login? In der SUF Datenbank ist kein Passwort gespeichert, das geklaut oder missbraucht werden kann, nur ein öffentlicher Key, der ausschliesslich für die Kommunikation von meinem PC mit SUF genutzt werden kann. Auf meinem PC ist kein Passwort oder Schlüssel gespeichert. Der Schlüssel wird erst erstellt, wenn der PC mich erkannt hat und ich die Einwilligung zur Kommunikation gegeben habe. Es werden zu keinem Zeitpunkt Geheimnisse ausgetauscht oder biometrische Daten gesendet, die belauscht oder abgegriffen werden können, es wird lediglich ein öffentlicher Schlüssel gesendet, der exklusiv für die Kommunikation zwischen SUF und meinem PC genutzt werden kann. Wenn ich ausser dem PC auch auf meinem Handy mit SUF kommunizieren will, muss ich auch mit dem Handy ein Schlüsselpaar erstellen und SUF den öffentlichen Schlüssel zukommen lassen. SUF muss also für jedes Endgerät, das HaPeKa nutzt, einen öffentlichen Schlüssel speichern. Noch kurz zum asymetrsichen Schlüsselverfahren: Mit einem öffentlichen Schlüssel (public key) wird Klartext so unlesbar gemacht, dass er nur mit den dazugehörigen geheimen Schlüssel (private key) wieder lesbar gemacht werden kann. Ich hoffe, das ist nun auch für nicht IT Fachleute etwas verständlicher erklärt. Weitere Infos zum FIDO Verfahren gibt es hier auf englisch Wenn ihr wissen möchtet, ob euer PC oder euer Handy FIDO2 tauglich ist, könnt ihr auf der webauthn.io Seite einen Test machen. Das sollte bei einem aktuellen Windows 10 (1903) oder mit Android problemlos funktionieren. Mit älteren Windows 10 Versionen funktioniert das nur mit dem Edge Browser, erst ab der aktuellsten Version 1903 auch mit Chrome, Firefox u.s.w. webauthn.io Wie oben am Beispiel SUF erklärt, gebt ihr für die Regsitrierung erst einen Usernamen an und drückt auf Register. Das sollte dann eine User Verification auslösen. War das erfolgreich, kann dann in einem zweiten Schritt das Login getestet werden. Die FIDO2 Technologie ist neu, aber ich bin überzeugt, dass sie in nächster Zeit einiges bewegen wird und bin gespannt, wann die ersten Webseiten FIDO2 als Option anbieten werden. Gut Ding will bekanntlich Weile haben |
17.08.2019, 08:22 | #14 |
Registriert seit: 10.11.2007
Ort: Nordschwarzwald
Beiträge: 8.935
|
Vielen Dank für die ausführliche und verständliche Erklärung!
__________________
Einige meiner Bilder: Winter und Polarlicht Nordnorwegen 2016 . Australien . Von Kalifornien nach Montana . Grönland 2016 . Australien 2009 . Meine Homepage |
17.08.2019, 08:39 | #15 |
Registriert seit: 20.12.2015
Ort: Bei Hamburg
Beiträge: 4.127
|
Ich verstehe noch nicht, wo da der Vorteil sein soll. Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden. Und zahlen, wenn ich das möchte. Bequemer wird es mit dieser Allianz sicher nicht.
__________________
https://martintimmann.myportfolio.com |
Sponsored Links | |
|
17.08.2019, 08:54 | #16 |
Themenersteller
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 5.004
|
Es geht um das Prinzip, Zugriff mit Passwörtern oder ohne.
Deine Implementation ist zugegebenermassen ähnlich einfach in der Handhabung, ausser, dass du dir für jeden Dienst erstmal ein Passwort ausdenken musst. Die Verwaltung entlastet dich dann vor dem Erinnern. Das können alle anderen Passwortmanager auch. Der Nachteil von Passwörtern, unabhängig davon, wie sie verwaltet werden, liegt in der Tatsache, dass es sie gibt und braucht. Sie können bei dir oder beim Dienstanbieter (z.B. SUF) gestohlen werden. Sie können durch einen Man-In-The-Middle Angriff abgegriffen werden. Und in deinem Fall: sie werden zusätzlich auch bei Apple gespeichert. Apple mag das, darum scheinen sie an einem FIDO2 Erfolg nicht sonderlich interessiert zu sein. Beim FIDO2 entfällt das eben, weil bei jedem Zugriff auf ein System, das eine hohe Sicherheit erfordert, nur noch Schlüssel ausgetauscht werden. Das erhöht die Sicherheit massiv. Ich gehe mal davon aus, dass Telebanking- und Online-Shop Systeme die ersten sein werden, die umstellen werden. We'll see ... |
17.08.2019, 09:32 | #17 |
Registriert seit: 03.09.2009
Ort: Ilvese boi Mannem
Beiträge: 15.272
|
Thema finde ich interessant.
Mir ist die Bindung an die HW nicht recht. Ich muss zur Sicherheit immer zwei Geräte verbinden und kann nicht einfach andere HW nutzen. Bei uns Haushalt gibt es recht viel alte HW 5/7 (inkompatibilität nicht sicher). Für finanzielle Themen ggf interessant, aber einschränkend. Ich habe ja eine "clevere" Passwortregel, die ich meiner Familie beizubringen versuche. Für die wäre FIDO dann eher was. Zumal meine Tochter alles am Smartphone macht. Wie sichere ich meinen Zugang mit nur einer HW ab?
__________________
Meinungsvielfalt -1! Keine Meinung -> kein Profil!
|
17.08.2019, 09:46 | #18 | ||
Themenersteller
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 5.004
|
Zitat:
Es wird jedoch nicht lange dauern, da wird dir die Apple Marketing Maschinerie vorschwärmen, wie viel einfacher es ist, statt mit dem Apple Schlüsselbund die Funktion "Login mit Apple" zu nutzen, die Tim Cook im Juni diesen Jahres als Lösung für das Passwort Problem vorgestellt hat. Solltest du diese Umstellung vornehmen, weiss Apple dann sehr genau, wann, wo und wie oft du auf welche Webseite einloggst. Hier noch die berechtigten Bedenken des Heise Redaktors zu diesem "Login mit xxx" Teufelszeug Zitat:
|
||
17.08.2019, 09:59 | #19 |
Themenersteller
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 5.004
|
Das ist die Herausforderung, die FIDO2 mit sich bringt und an der wohl auch noch gefeilt wird.
Die einfachste Möglichkeit ist der Einsatz eines Hardware-Tokens am Schlüsselbund oder an einem sicheren Ort hinterlegt (siehe PDF Link im ersten Post). Aber das ist ja die zweite Hardware, die du ausschliessen möchtest. Ich hab das FIDO2 Prinzip als zweiten Faktor bei Dropbox eingestellt, und Dropbox handhabt das so, dass mir am Ende des Registrierungsvorgangs ein Backupschlüssel angezeigt wird, den ich ausdrucken und sicher verwahren kann. Sollte ich dann mal die Hardware wechseln, sollte ich ähnlich wie beim "Passwort vergessen" Vorgang einen "Schlüssel ersetzen" Vorgang starten können, bei dem ich mit dem Backup Schlüssel meine Identität bestätigen kann. Das habe ich aber noch nicht durchgespielt ... Klar darf dieser Backup Schlüssel nicht als ScreenShot auf dem PC im Bilderordner landen, damit wäre die Sicherheit ja ausgehebelt und jemand, der meinen PC gehackt hat, hätte dann auch Zugriff auf meine Dropbox ... Also Backup Key schön ausdrucken und sicher verwahren oder in einen VeraCrypt Container versorgen Ich bin sicher, es wird noch verschiedene Ansätze geben, um beim Wechsel des Handys einen neuen Schlüssel mit dem Account zu verknüpfen. |
17.08.2019, 11:16 | #20 | ||
Registriert seit: 10.11.2007
Ort: Nordschwarzwald
Beiträge: 8.935
|
Zitat:
Auf meinem Smartphone mache ich außer dem Playstore nichts, wo ich mich einloggen müsste. Bzgl. Apple nehme mal Bezug auf den von HaPeKa verlinkten Artikel: Zitat:
https://www.heise.de/select/ct/2019/18/1566917336782380
__________________
Einige meiner Bilder: Winter und Polarlicht Nordnorwegen 2016 . Australien . Von Kalifornien nach Montana . Grönland 2016 . Australien 2009 . Meine Homepage |
||
Sponsored Links | |
|
|
Themen-Optionen | |
Ansicht | |
|
|