Sony Advertising
Amazon
Forum für die Fotosysteme von Sony und KonicaMinolta
  SonyUserforum - Forum für die Fotosysteme
von Sony und KonicaMinolta
 
Registrieren Galerie Objektiv-Datenbank Kalender Forenregeln Alle Foren als gelesen markieren

Startseite » Forenübersicht » Treffpunkt » Café d`Image » Abschied vom Passwort mit FIDO2
Antwort
 
Themen-Optionen Ansicht
Alt 16.08.2019, 16:32   #1
HaPeKa
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Abschied vom Passwort mit FIDO2

Im c't Magazin 18-2019 wird der Abschied vom Passwort angekündigt. Wie's aussieht, scheint sich in diesem Bereich endlich mal wirklich was Wegweisendes zu tun. Eine spannende Artikelserie, die sicher noch einige Diskussionen auslösen wird.

Ich hab's mit zwei Konten (Microsoft und Dropbox) mal ausprobiert. Wär schön, wenn sich das System breit durchsetzen würde.

Zitat:
Passwörter sind eine Pest. Jeder hasst sie und das zu Recht. Sie sind lästiger, unsicherer Ballast aus dem letzten Jahrtausend. Trotzdem konnte sich keiner der vorherigen Versuche, Passwörter zu ersetzen, wirklich durchsetzen. Am nächsten kamen dem noch Googles und Facebooks Bemühungen, das „Anmelden mit …“ einzuführen.

Besser löst das die FIDO-Allianz. Das Kürzel steht für Fast IDentity Online. Unter diesem Dach arbeiten unter anderem Google, Microsoft, Facebook, Amazon, Paypal, Visa und Mastercard zusammen am Passwort-Nachfolger. Seit März 2019 ist es beschlossene Sache: Gemeinsam mit dem World Wide Web Consortium (W3C) verkündete man „einen Web-Standard für sichere, passwortlose Logins“. Gemeint war FIDO2 mit seiner Internet-Komponente WebAuthn.
Der Eingangsartikel kann frei gelesen werden, die Detailartikel dann leider nur in der aktuellen c't. Aber sehr lesenswert.

Abschied vom Passwort

Geändert von HaPeKa (17.08.2019 um 13:01 Uhr)
HaPeKa ist offline   Mit Zitat antworten
Sponsored Links
Alt 16.08.2019, 18:38   #2
Reisefoto
 
 
Registriert seit: 10.11.2007
Ort: Nordschwarzwald
Beiträge: 8.899
Praktisch wäre eine solche Lösung schon, aber ohne lesen des Artikels im Heft sehe ich noch nicht, wie das sicher funktioniert. Wenn so eine eine für alles Lösunng geknackt oder gestohlen wird, dann ist auch wirklich alles hin. Wie ist es, wenn man für bestimmte Dinge auch ausgewählten, anderen Personen zugang geben möchte?

Wie identifiziert man sich als die berechtigte Person, die die Authentifizierungsfunktion des Gerätes benutzen darf? Biometrische Daten sind riskant (besonders Fingerabdrücke), denn wenn diese einmal gestohlen und misbraucht worden, steht man möglicherwese plötzlich in allen möglichen Dateien von Strafverfolgungsbehörden, obwohl man nichts getan hat. Zur Sicherheit biometrischer Daten siehe z.B.:
https://www.tagesschau.de/wirtschaft...daten-105.html
https://www.globalsign.com/de-de/blo...entifizierung/
https://www.deutschlandfunknova.de/b...ten-als-risiko
https://www.heise.de/newsticker/meld...n-3934463.html
https://www.heise.de/security/meldun...z-4496575.html
Reisefoto ist offline   Mit Zitat antworten
Alt 16.08.2019, 18:55   #3
nobody23
 
 
Registriert seit: 19.07.2011
Ort: CH
Beiträge: 1.478
Traue dem keinen Milimeter über dem Weg.
Wenn die FANG Monopolisten was zusammen basteln dann sollten bei einem selbst die Sirenen heulen...
Am besten gleich noch mit Libra gekoppelt, damit wenn man mal einen nicht konformen Kommentar postet gleich mit einer 10tägigen Transaktionssperre (nix mehr kaufen) belegt wird.

https://youtu.be/g1VeElBAeas
https://youtu.be/ricI5t66cj8
nobody23 ist offline   Mit Zitat antworten
Alt 16.08.2019, 19:16   #4
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Das System ist sicherer und komfortabler, als ein Passwort.

Es basiert eben nicht auf biometrische Daten sondern auf die Kombination eines mittels Hardware generierten Schlüssels mit einer Benutzer Verifizierung.

Ich hab's bei mir mit dem PC und dem Handy probiert. Beim PC handelt es sich um einen Microsoft Surface PC, der über ein Trusted Platform Module (TPM) verfügt. Das ist ein Chip nach der TCG-Spezifikation, der einen Computer oder ähnliche Geräte um grundlegende Sicherheitsfunktionen erweitert.

Wenn ich nun zum Beispiel bei Microsoft einlogge, braucht es einen Schlüssel und meine Authentisierung. Bei mir läuft die über die Gesichtserkennung mit Windows Hello. Wenn also jemand meinen Microsoft Account hacken will, braucht er meinen PC und mich davor, anders geht's nicht. Also es gibt kein Passwort mehr, das geklaut werden oder mir abgeluchst werden kann. Der Nachteil: Wenn der PC geklaut wird, muss ich entweder mit einem anderen Gerät oder einem Backup des Schlüssels zugreifen können. Ich mache das mit dem Handy, da habe ich die IRIS Erkennung drauf, und hier gilt dasselbe: Wenn mir jemand das Handy klaut, kann er sich nicht bei MS einloggen, sondern braucht zusätzlich meine biometrischen Daten.

Also die biometrischen Daten alleine genügen nicht, es ist die Kombination von Verschlüsselung und biometrischen Daten.

Die Verschlüsselung kann auch über ein Token, das man z.B. am Schlüsselbund mit sich trägt, gemacht werden (auch als Backup).

Also das System ist definitiv einfacher und sicherer, als die Authentisierung über ein einfaches Passwort.

Zitat:
Zitat von nobody23 Beitrag anzeigen
Traue dem keinen Milimeter über dem Weg.
Wenn die FANG Monopolisten was zusammen basteln dann sollten bei einem selbst die Sirenen heulen...
Du scheinst da was zu verwechseln. Hier geht es um eine Erweiterung, die das W3C unterstützt und nicht um irgendeine proprietäre Lösung.

Geändert von HaPeKa (16.08.2019 um 19:49 Uhr)
HaPeKa ist offline   Mit Zitat antworten
Alt 16.08.2019, 20:02   #5
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Zitat:
FIDO im Überblick

In der Allianz für Fast Identity Online (FIDO) arbeiten unter anderem Google, Microsoft und Mozilla gemeinsam an neuen Standards für die Anmeldung an Online-Diensten. Das FIDO2-Verfahren hat mittlerweile auch den Segen des World Wide Web Consortiums (W3C) erhalten. Eigentlich fehlt nur Apple im Reigen der Grossen, was sich auch in fehlender FIDO-Unterstützung in Safari und vor allem iOS niederschlägt. Apple hat offenbar andere Prioritäten.

Die FIDO-Architektur besteht aus insgesamt vier aktiven Parteien. Das sind einmal die Server, die einen Dienst bereitstellen. Sie bezeichnet die Spezifikation als Relying Party. Der Server muss das vom W3C als Web-Standard spezifizierte WebAuthn-API implementieren. Über das spricht nämlich der Client, also im Allgemeinen der Browser des Anwenders, mit dem Dienst.

Der Browser muss FIDO2 ebenfalls kennen und unterstützen. Er vermittelt nämlich zwischen der Relying Party und dem zentralen Element der Online-Anmeldung – dem Authenticator. Jener beherbergt das identitätsstiftende Geheimnis, das nicht an Dritte weitergegeben werden muss und darf. Auf Geräten mit speziell gesicherter Hardware (TPM oder Secure Element) kann das System den Authenticator bereitstellen, wie das Windows 10 und Android bereits vormachen; macOS und iOS könnten das ebenfalls.

Alternativ kann der Browser über das Client to Authenticator Protocol (CTAP) mit einem externen Authenticator sprechen (Roaming Authenticator). Das sind dann zumeist sogenannte Tokens für den Schlüsselbund; sie lassen sich an mehreren Geräten nutzen. Die Kommunikation erfolgt dann wahlweise via USB, NFC oder Bluetooth.

Die Hoheit über den Anmeldevorgang hat immer und ausschliesslich der Anwender. Er muss zumindest seine Anwesenheit durch ein Antippen des Tokens kundtun (User Present, UP). Für höhere Sicherheitsansprüche erfordert der Anmeldevorgang eine Überprüfung des Anwenders (User Verification, UV) etwa durch PIN-Eingabe oder biometrische Merkmale (Fingerabdruck, Gesicht).

Für Anmeldung und Registrierung bei einem Dienst erzeugt der Authenticator ein asymmetrisches Schlüsselpaar (Public + Secret Key). Den geheimen Schlüssel errechnet er als Keyed-Hash Message Authentication Code (HMAC-SHA256) mit seinem internen Geheimnis aus der Domain des Dienstes. Daraus lässt sich der zugehörige öffentliche Schlüssel dann trivial errechnen. Als Signatur-Verfahren kommt in der Regel das auf elliptischen Kurven der NIST beruhende ECDSA P-256 zum Einsatz. Die FIDO-Standards fordern, dass auch noch das veraltete RSA unterstützt wird. Das modernere EdDSA auf Basis der DJB-Kurven ist nur optional vorgesehen, was ein kleines Haar in der Krypto-Suppe ist.
Quelle: c't 18-2019
HaPeKa ist offline   Mit Zitat antworten
Sponsored Links
Alt 16.08.2019, 21:05   #6
Rudolfo
 
 
Registriert seit: 23.02.2014
Ort: Oer-Erkenschwick
Beiträge: 991
An welcher Stelle haben die 16 amerikanischen Geheimdienste ihren Zutritt, um mitlesen zu können? Sie lassen sich doch eine weltweit einheitliche Useranmeldung nicht entgehen. ???
__________________
Grüße
Rudolf
Rudolfo ist offline   Mit Zitat antworten
Alt 16.08.2019, 21:09   #7
BeHo
 
 
Registriert seit: 11.08.2004
Ort: Woinem
Beiträge: 31.952
Ich werde mir das mal durchlesen und die Entwicklung beobachten.

Klingt auf jeden Fall besser als Biometrie. Biometrie-Daten werde ich auf jeden Fall maximal zur Handy-Entsperrung nutzen. Ein Passwort ist schnell geändert, sofern man noch nicht ausgesperrt wurde. Bei einem Finger oder eine Iris sieht das anders aus: Klick!

P.S.: Eine absolute Sicherheit wird es nie geben.
__________________
.___.
(O,o)
/)__) Meine SUF-Bilder / Island-Bilder
-"-"-██P.S.: Wissenschaft ist keine Meinung.

Geändert von BeHo (16.08.2019 um 22:38 Uhr) Grund: Geringfügige sprachliche Änderungen
BeHo ist offline   Mit Zitat antworten
Alt 16.08.2019, 22:22   #8
HaPeKa

Themenersteller
 
 
Registriert seit: 17.02.2016
Ort: Bern
Beiträge: 4.951
Zitat:
Zitat von Rudolfo Beitrag anzeigen
An welcher Stelle haben die 16 amerikanischen Geheimdienste ihren Zutritt, um mitlesen zu können? Sie lassen sich doch eine weltweit einheitliche Useranmeldung nicht entgehen. ???
Die melden sich direkt bei MS und Co, wenn sie an meine Daten wollen, weil sie meine Identität nicht mehr klauen können ...

Wie BeHo geschrieben hat: Absolute Sicherheit gibt es nicht. Aber das neue Verfahren ist allemal einfacher und sicherer als die Sicherung mit einem Passwort.
HaPeKa ist offline   Mit Zitat antworten
Alt 16.08.2019, 22:53   #9
MD800
 
 
Registriert seit: 11.04.2008
Ort: Ruhrpott Ost
Beiträge: 745
man lese dazu auch noch
https://www.heise.de/security/meldun...z-4496575.html

Wo bekommt man dann im Zweifelsfall noch ein neues Gesicht und neue Fingerabdrücke her
__________________
Fortschritt ist der Übergang von einem Zustand, dessen Nachteile man kennt, zu einem Zustand, dessen Nachteile man noch nicht kennt.
Bilder in der FC von mir
MD800 ist offline   Mit Zitat antworten
Alt 16.08.2019, 23:01   #10
BeHo
 
 
Registriert seit: 11.08.2004
Ort: Woinem
Beiträge: 31.952
Beitrag #7 hast Du wohl nicht gelesen?

Edit: Und Beitrag #2 wie ich auch zumindest nicht komplett.
__________________
.___.
(O,o)
/)__) Meine SUF-Bilder / Island-Bilder
-"-"-██P.S.: Wissenschaft ist keine Meinung.

Geändert von BeHo (16.08.2019 um 23:49 Uhr)
BeHo ist offline   Mit Zitat antworten
Sponsored Links
Antwort
Startseite » Forenübersicht » Treffpunkt » Café d`Image » Abschied vom Passwort mit FIDO2

Themen-Optionen
Ansicht

Forenregeln
Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.

Gehe zu


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:59 Uhr.