SonyUserforum
Amazon
Forum für die Fotosysteme von Sony und KonicaMinolta
  SonyUserforum - Forum für die Fotosysteme
von Sony und KonicaMinolta
 
Registrieren Galerie Objektiv-Datenbank Kalender Forenregeln Alle Foren als gelesen markieren

Startseite » Forenübersicht » Treffpunkt » Café d`Image » Abschied vom Passwort mit FIDO2
Antwort
 
Themen-Optionen Ansicht
Alt 16.08.2019, 23:22   #11
flyppo
 
 
Registriert seit: 02.06.2017
Beiträge: 805
Ich habe in dem Video nicht eine einzige Erklärung gefunden was Fido2 sein soll, zu benutzen ist, nur blablabla. Ich bleib beim Passwort.
flyppo ist offline   Mit Zitat antworten
Sponsored Links
Alt 16.08.2019, 23:52   #12
BeHo
 
 
Registriert seit: 11.08.2004
Ort: Woinem
Beiträge: 31.952
Welches Video?
__________________
.___.
(O,o)
/)__) Meine SUF-Bilder / Island-Bilder
-"-"-██P.S.: Wissenschaft ist keine Meinung.
BeHo ist offline   Mit Zitat antworten
Alt 17.08.2019, 07:17   #13
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ...

Okay, es ist nicht ganz einfach, FIDO2 zu erklären. Ich versuche Mal, die Schritte aufzuzeigen, die es braucht, damit das funktioniert. Angenommen, die Seite sonyuserforum.de (SUF) unterstützt optional auch die Anmeldung ohne Passwort mit FIDO2. Dann würde das wie folgt ablaufen:

Registrierung:

SUF fragt mich nach dem Usernamen und der Art der Authentifizerung (Passwort oder FIDO).

Ich wähle HaPeKa als Usernamen und FIDO als Authentifizierungsmethode.

Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich.

Ich kann nun über einen OK Button (in meinem Fall ein PopUp von Windows Hello) die Bestätigung geben, dass der Browser mit SUF Schlüssel austauschen darf.

Mein PC generiert das Schlüsselpaar (einen öffentlichen und einen geheimen Schlüssel), das für die Kommunikation mit SUF genutzt werden muss und der Browser schickt SUF den öffentlichen Schlüssel, der dem User HaPeKa zugeordnet und gespeichert werden kann.

Login:

Ich rufe über den Browser die SUF Seite auf und gebe HaPeKa als Login ein.

Da ich kein Passwort eingegeben habe, fragt SUF nach dem öffentlichen Schlüssel (Protokoll läuft für mich nicht sichtbar im Hintergrund zwischen SUF und meinem Browser ab).

Mein PC startet die Gesichtserkennung um die User Verification durchzuführen und erkennt mich.

Ich gebe über den OK Button mein Einverständnis, dass der Browser mit SUF Schlüssel austauschen darf.

Mein PC generiert das Schlüsselpaar und der Browser schickt SUF den öffentlichen Schlüssel zu.

SUF gleicht den öffentlichen Schlüssel mit dem bei SUF gespeicherten ab. Stimmt er überein, kommt die Kommunikation zustande und ich habe mich ohne Passwort einloggen können.

Was ist anders bei FIDO2 im Vergleich zum Passwort Login?

In der SUF Datenbank ist kein Passwort gespeichert, das geklaut oder missbraucht werden kann, nur ein öffentlicher Key, der ausschliesslich für die Kommunikation von meinem PC mit SUF genutzt werden kann.

Auf meinem PC ist kein Passwort oder Schlüssel gespeichert. Der Schlüssel wird erst erstellt, wenn der PC mich erkannt hat und ich die Einwilligung zur Kommunikation gegeben habe.

Es werden zu keinem Zeitpunkt Geheimnisse ausgetauscht oder biometrische Daten gesendet, die belauscht oder abgegriffen werden können, es wird lediglich ein öffentlicher Schlüssel gesendet, der exklusiv für die Kommunikation zwischen SUF und meinem PC genutzt werden kann.

Wenn ich ausser dem PC auch auf meinem Handy mit SUF kommunizieren will, muss ich auch mit dem Handy ein Schlüsselpaar erstellen und SUF den öffentlichen Schlüssel zukommen lassen. SUF muss also für jedes Endgerät, das HaPeKa nutzt, einen öffentlichen Schlüssel speichern.

Noch kurz zum asymetrsichen Schlüsselverfahren: Mit einem öffentlichen Schlüssel (public key) wird Klartext so unlesbar gemacht, dass er nur mit den dazugehörigen geheimen Schlüssel (private key) wieder lesbar gemacht werden kann.

Ich hoffe, das ist nun auch für nicht IT Fachleute etwas verständlicher erklärt.

Weitere Infos zum FIDO Verfahren gibt es hier auf englisch

Wenn ihr wissen möchtet, ob euer PC oder euer Handy FIDO2 tauglich ist, könnt ihr auf der webauthn.io Seite einen Test machen. Das sollte bei einem aktuellen Windows 10 (1903) oder mit Android problemlos funktionieren. Mit älteren Windows 10 Versionen funktioniert das nur mit dem Edge Browser, erst ab der aktuellsten Version 1903 auch mit Chrome, Firefox u.s.w.

webauthn.io

Wie oben am Beispiel SUF erklärt, gebt ihr für die Regsitrierung erst einen Usernamen an und drückt auf Register. Das sollte dann eine User Verification auslösen. War das erfolgreich, kann dann in einem zweiten Schritt das Login getestet werden.

Die FIDO2 Technologie ist neu, aber ich bin überzeugt, dass sie in nächster Zeit einiges bewegen wird und bin gespannt, wann die ersten Webseiten FIDO2 als Option anbieten werden.

Gut Ding will bekanntlich Weile haben
HaPeKa ist offline   Mit Zitat antworten
Alt 17.08.2019, 08:22   #14
Reisefoto
 
 
Registriert seit: 10.11.2007
Ort: Nordschwarzwald
Beiträge: 8.899
Vielen Dank für die ausführliche und verständliche Erklärung!
Reisefoto ist offline   Mit Zitat antworten
Alt 17.08.2019, 08:39   #15
MaTiHH
 
 
Registriert seit: 20.12.2015
Ort: Bei Hamburg
Beiträge: 4.127
Ich verstehe noch nicht, wo da der Vorteil sein soll. Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden. Und zahlen, wenn ich das möchte. Bequemer wird es mit dieser Allianz sicher nicht.
MaTiHH ist offline   Mit Zitat antworten
Sponsored Links
Alt 17.08.2019, 08:54   #16
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Es geht um das Prinzip, Zugriff mit Passwörtern oder ohne.

Deine Implementation ist zugegebenermassen ähnlich einfach in der Handhabung, ausser, dass du dir für jeden Dienst erstmal ein Passwort ausdenken musst. Die Verwaltung entlastet dich dann vor dem Erinnern. Das können alle anderen Passwortmanager auch.

Der Nachteil von Passwörtern, unabhängig davon, wie sie verwaltet werden, liegt in der Tatsache, dass es sie gibt und braucht. Sie können bei dir oder beim Dienstanbieter (z.B. SUF) gestohlen werden. Sie können durch einen Man-In-The-Middle Angriff abgegriffen werden.

Und in deinem Fall: sie werden zusätzlich auch bei Apple gespeichert. Apple mag das, darum scheinen sie an einem FIDO2 Erfolg nicht sonderlich interessiert zu sein.

Beim FIDO2 entfällt das eben, weil bei jedem Zugriff auf ein System, das eine hohe Sicherheit erfordert, nur noch Schlüssel ausgetauscht werden. Das erhöht die Sicherheit massiv.

Ich gehe mal davon aus, dass Telebanking- und Online-Shop Systeme die ersten sein werden, die umstellen werden. We'll see ...
HaPeKa ist offline   Mit Zitat antworten
Alt 17.08.2019, 09:32   #17
dey
 
 
Registriert seit: 03.09.2009
Ort: Ilvese boi Mannem
Beiträge: 15.272
Thema finde ich interessant.
Mir ist die Bindung an die HW nicht recht.
Ich muss zur Sicherheit immer zwei Geräte verbinden und kann nicht einfach andere HW nutzen. Bei uns Haushalt gibt es recht viel alte HW 5/7 (inkompatibilität nicht sicher).
Für finanzielle Themen ggf interessant, aber einschränkend.
Ich habe ja eine "clevere" Passwortregel, die ich meiner Familie beizubringen versuche. Für die wäre FIDO dann eher was. Zumal meine Tochter alles am Smartphone macht.
Wie sichere ich meinen Zugang mit nur einer HW ab?
__________________
Meinungsvielfalt -1! Keine Meinung -> kein Profil!
dey ist offline   Mit Zitat antworten
Alt 17.08.2019, 09:46   #18
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Zitat:
Zitat von MaTiHH Beitrag anzeigen
Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden. Und zahlen, wenn ich das möchte. Bequemer wird es mit dieser Allianz sicher nicht.
da hast du recht, bequemer nicht, wenn's mal eingerichtet ist.

Es wird jedoch nicht lange dauern, da wird dir die Apple Marketing Maschinerie vorschwärmen, wie viel einfacher es ist, statt mit dem Apple Schlüsselbund die Funktion "Login mit Apple" zu nutzen, die Tim Cook im Juni diesen Jahres als Lösung für das Passwort Problem vorgestellt hat. Solltest du diese Umstellung vornehmen, weiss Apple dann sehr genau, wann, wo und wie oft du auf welche Webseite einloggst.

Hier noch die berechtigten Bedenken des Heise Redaktors zu diesem "Login mit xxx" Teufelszeug

Zitat:
Bei Smartphone-Apps, aber auch bei Diensten im Social-Media-Umfeld sieht man immer öfter die Option „Anmelden mit Google“ oder „Anmelden mit Facebook“. Und jüngst hat auch Apple das ganz groß als tolle, neue und angeblich sogar Privacy-freundliche Funktion angekündigt. Diese Lüge könnte kaum dreister sein.

Die Idee dieser Single-Sign-On-Konzepte ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu quasi beliebigen weiteren Diensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem: ohne weiteres Passwort. Das ist komfortabel und dank der Technik im Hintergrund (bei Google etwa OAuth 2.0) auf den ersten Blick recht sicher – also zumindest wenn Sie Ihr Google-, Facebook- oder Apple-Konto sicher halten.

Natürlich bekommt dabei dann etwa Google auch ganz genau mit, welche Dienste Sie wie oft nutzen. Man kann einwenden, dass die das ohnehin sehen, über die eingebettete Werbung, Analysedienste oder die Anmeldebestätigung ans Google-Mail-Konto. Das eigentlich neue an diesem Konzept ist jedoch, dass im Internet nicht mehr ich nachweise, wer ich bin, sondern ein Dritter mir das bestätigt – mein „Identity Provider“.

Schon der Name macht klar, dass es sich dabei um eine neue Dimension von Macht handelt. Es geht hier nicht nur um irgendeinen weiteren kostenlosen Dienst; Sie lassen sich dabei von Google oder Facebook Ihre Identität im Internet bestätigen. Für ein bisschen Bequemlichkeit verkaufen Sie hier nicht nur Ihre Seele, sondern Ihre komplette virtuelle Existenz an einen internationalen Mega-Konzern.

Nahezu jedes Unternehmen mit wertvollen Daten – so auch Google – hatte bereits Elite-Hacker im eigenen Netz. Dann sind da noch die National Security Letter und Begehrlichkeiten von FBI, BKA & Co. Die Erfahrungen der jüngeren Vergangenheit lassen nur einen Schluss zu: Es ist praktisch unmöglich, einen so eminent wichtigen Datenbestand auf Dauer vor allen Zugriffen Dritter abzuschotten.

Doch auch ganz ohne Missbrauch durch Dritte stinkt das Konzept: Für einen solchen Konzern ist nicht Ihr persönliches Wohlergehen das Maß aller Dinge, sondern das Geldverdienen. Facebook, Google und natürlich auch Apple wollen bei möglichst vielen Geschäften im Internet Provision kassieren. Und das geht viel besser, wenn man die Identität der Anwender kontrolliert. Und wenn der Konzern Sie aus irgendwelchen Gründen nicht (mehr?) mag, dann sind Sie plötzlich nichts, nada, ein Niemand.

So viel Macht will man nicht an einen Konzern abgeben – nicht als Individuum und schon gar nicht als Gesellschaft. Zentrale Identity Provider im Internet sind Teufelszeug und man sollte davon die Finger lassen. Dann doch lieber Passwörter – oder eben FIDO2.
HaPeKa ist offline   Mit Zitat antworten
Alt 17.08.2019, 09:59   #19
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Zitat:
Zitat von dey Beitrag anzeigen
Wie sichere ich meinen Zugang mit nur einer HW ab?
Das ist die Herausforderung, die FIDO2 mit sich bringt und an der wohl auch noch gefeilt wird.

Die einfachste Möglichkeit ist der Einsatz eines Hardware-Tokens am Schlüsselbund oder an einem sicheren Ort hinterlegt (siehe PDF Link im ersten Post). Aber das ist ja die zweite Hardware, die du ausschliessen möchtest.

Ich hab das FIDO2 Prinzip als zweiten Faktor bei Dropbox eingestellt, und Dropbox handhabt das so, dass mir am Ende des Registrierungsvorgangs ein Backupschlüssel angezeigt wird, den ich ausdrucken und sicher verwahren kann. Sollte ich dann mal die Hardware wechseln, sollte ich ähnlich wie beim "Passwort vergessen" Vorgang einen "Schlüssel ersetzen" Vorgang starten können, bei dem ich mit dem Backup Schlüssel meine Identität bestätigen kann. Das habe ich aber noch nicht durchgespielt ...

Klar darf dieser Backup Schlüssel nicht als ScreenShot auf dem PC im Bilderordner landen, damit wäre die Sicherheit ja ausgehebelt und jemand, der meinen PC gehackt hat, hätte dann auch Zugriff auf meine Dropbox ...

Also Backup Key schön ausdrucken und sicher verwahren oder in einen VeraCrypt Container versorgen

Ich bin sicher, es wird noch verschiedene Ansätze geben, um beim Wechsel des Handys einen neuen Schlüssel mit dem Account zu verknüpfen.
HaPeKa ist offline   Mit Zitat antworten
Alt 17.08.2019, 11:16   #20
Reisefoto
 
 
Registriert seit: 10.11.2007
Ort: Nordschwarzwald
Beiträge: 8.899
Zitat:
Zitat von MaTiHH Beitrag anzeigen
Meine (durchgängigen) Apple Geräte stellen bei Nutzung einmal fest, dass es sich tatsächlich um mich handelt. Anschließend verwaltet der Schlüsselbund die Passwörter und ich kann mich überall anmelden.
Der Sinn ist ja, von Passwörtern und Passwortdiebstahl wegzukommen. Wie sicher und komfortabel das neue System tatsächlich ist, bleibt zu beobachten. Mit vielen verschiedenen Geräten und wenn man öfters unterwegs ist, mag es komplizierter werden. Allerdings habe ich an meinen Geräten i.d.R. keine Kamera, oder sie ist abgeklebt. Kann die Gesichtserkennung nicht durch ein Foto ausgehebelt werden?
Auf meinem Smartphone mache ich außer dem Playstore nichts, wo ich mich einloggen müsste.

Bzgl. Apple nehme mal Bezug auf den von HaPeKa verlinkten Artikel:

Zitat:
Apple hat offenbar andere Prioritäten: Erst im Juni stellte Apples CEO Tim Cook noch mit großen Worten „Login mit Apple“ als Lösung des Passwort-Problems vor; die Web-Standards FIDO2 oder WebAuthn hingegen erwähnte er nicht einmal (siehe auch den Kommentar Teufelszeug) Doch auch Apple wird hoffentlich diesen FIDO-Boykott nicht lange durchhalten. In den aktuellen Entwickler-Previews finden sich jedenfalls bereits erste Hinweise auf FIDO2-Unterstützung.
...
Bei Smartphone-Apps, aber auch bei Diensten im Social-Media-Umfeld sieht man immer öfter die Option „Anmelden mit Google“ oder „Anmelden mit Facebook“. Und jüngst hat auch Apple das ganz groß als tolle, neue und angeblich sogar Privacy-freundliche Funktion angekündigt. Diese Lüge könnte kaum dreister sein.

Die Idee dieser Single-Sign-On-Konzepte ist, dass man sich nur einmal und zwar bei seinem Identitäts-Provider anmelden muss und damit Zugang zu quasi beliebigen weiteren Diensten bekommt. Ganz ohne Ausfüllen von Adressdaten, Bestätigungs-Mails und vor allem: ohne weiteres Passwort. Das ist komfortabel und dank der Technik im Hintergrund (bei Google etwa OAuth 2.0) auf den ersten Blick recht sicher – also zumindest wenn Sie Ihr Google-, Facebook- oder Apple-Konto sicher halten.

Natürlich bekommt dabei dann etwa Google auch ganz genau mit, welche Dienste Sie wie oft nutzen. Man kann einwenden, dass die das ohnehin sehen, über die eingebettete Werbung, Analysedienste oder die Anmeldebestätigung ans Google-Mail-Konto. Das eigentlich neue an diesem Konzept ist jedoch, dass im Internet nicht mehr ich nachweise, wer ich bin, sondern ein Dritter mir das bestätigt – mein „Identity Provider“.

Schon der Name macht klar, dass es sich dabei um eine neue Dimension von Macht handelt. Es geht hier nicht nur um irgendeinen weiteren kostenlosen Dienst; Sie lassen sich dabei von Google oder Facebook Ihre Identität im Internet bestätigen. Für ein bisschen Bequemlichkeit verkaufen Sie hier nicht nur Ihre Seele, sondern Ihre komplette virtuelle Existenz an einen internationalen Mega-Konzern. ...
Der Artikel (grauer Kasten) geht noch weiter.
https://www.heise.de/select/ct/2019/18/1566917336782380
Reisefoto ist offline   Mit Zitat antworten
Sponsored Links
Antwort
Startseite » Forenübersicht » Treffpunkt » Café d`Image » Abschied vom Passwort mit FIDO2

Themen-Optionen
Ansicht

Forenregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:20 Uhr.