SonyUserforum - Abschied vom Passwort mit FIDO2

dey · 17.08.2019, 11:44

@hapeka
2. HW schließe ich nicht aus. Token wäre für mich ok.
Wenn ich für jeden Online Schlüssel noch ein Backup sichern müsste, fänd ich das zu aufwendig. Da geht der Vorteil durch Komfortverlust verloren.

@reisefoto
Betrug durch Foto lässt sich sicher leicht absichern. Videoauschnitt anstatt Foto und das das Video von einem Kopf und nicht von einem Bild ist, sollte leicht feststellbar sein.

HaPeKa · 17.08.2019, 12:00

Zitat:

Zitat von Reisefoto

Allerdings habe ich an meinen Geräten i.d.R. keine Kamera, oder sie ist abgeklebt.

Die Gesichtserkennung nutze ich für die sogenannte "User Verification" (UV), also zum Sicherstellen, dass ich es bin, der den Austausch der Schlüssel erlaubt. Die UV muss nicht zwingend mit der Gesichtserkennung erfolgen, ich habe bei mir am PC den Anmeldeprozess damit verbunden, weil das für mich die einfachste Art ist.

Die User Verification kann auch durch Fingerabdruck, Iriserkennung oder PIN erfolgen, also mittels eines Geheimnisses, das nur ich kenne. PIN wäre für mich jedoch zu unsicher, weil jeder, der mir mal über die Schulter schaut, den PIN erkennen und sich merken kann.

Versteht mich nicht falsch, ich wollte euch mit diesem Thread nicht animieren, euer Passwortsystem umzustellen. Dafür ist es noch zu früh. Ich wollte eigentlich nur darauf aufmerksam machen, dass sich da was tut, das unsere Art, wie wir in Zukunft mit Passwörtern umgehen, wesentlich verändern könnte.

Zur Zeit ist das von Martin beschriebene System eines Passwortmanagers immer noch das einfachste und, wenn individuelle starke Passwörter genutzt werden, auch ein sehr sicheres. Das von Dey betrachte ich als das Flexibelste, weil es überall auf verschiedenen Systemen verschiedener Hersteller eingesetzt werden kann.

Ich verwende wie Dey auch ein Passwortsystem, bei dem ich für jeden Dienst ein Passwort herleiten muss und ich betrachte das als Gehirnjogging

Erinnert ihr euch noch an die Zeit, wo man ein Dutzend oder mehr Telefonnummern auswendig kannte? Die Adressverwaltung auf den Telefonen ist zwar praktisch, aber hat auch dazu geführt, dass wir uns Telefonnummern kaum mehr merken wollen (und können).

Bei den Passwörtern zeichnet sich mit FIDO2 etwas ähnliches ab. An was werden wir uns in Zukunft noch erinnern müssen? Womit werden wir unsere Synapsen fit halten?

HaPeKa · 17.08.2019, 12:05

Zitat:

Zitat von dey

Wenn ich für jeden Online Schlüssel noch ein Backup sichern müsste, fänd ich das zu aufwendig. Da geht der Vorteil durch Komfortverlust verloren.

Es wird bestimmt eine Lösung für dieses Problem geben, habe an anderer Stelle was von temporären Schlüsseln für den Wechsel von Hardware A auf Hardware B gelesen, weiss aber (noch) nicht, wie dieser Ablauf vor sich gehen könnte.

Bei einem Telebankingsystem habe ich beim Wechsel des Handys bei der Bank einen neuen Freischaltcode anfordern müssen, der mir dann per Post zugestellt wurde. Das war aber noch keine FIDO2 Authentisierung sondern eine mittels CrontoSign.

flyppo · 17.08.2019, 13:12

Zitat:

Zitat von HaPeKa

Er meint wohl das Video, das im PDF "Abschied vom Passwort" verlinkt ist ...

Kein PDF, auf der verlinkten heise-Seite das Video.
Danke für deine ausführliche Erklärung.

dey · 17.08.2019, 13:41

Auf die Post möchte ich nicht warten müssen.

Alison · 19.08.2019, 12:16

@HaPeKa: Danke für die Erklärung, ich bin gerade dabei die c't Artikel zu lesen, aber deine Erklärungen sind schon mal übersichtlicher als die ersten Seiten

HaPeKa · 19.08.2019, 12:26

Danke, hab ja auch versucht, es etwas vereinfacht zu erklären ...

Das System scheint mir gut durchdacht zu sein, selbst für Leute, die sich intensiv mit Sicherheitsfragen befassen müssen. Aber es gibt noch einige Hürden zu nehmen, z.B. die Akzeptanz beim User und den Dienstebetreibern. Zudem muss die Verwaltung von Schlüsseln und deren Ersatz, wenn die User die Hardware wechseln, auf einfache und einleuchtende Weise gelöst werden. Gute Ansätze sind vorhanden, aber noch nichts Standardisiertes.

HaPeKa · 20.08.2019, 16:07

Heise hat zum Thema FIDO2 noch ein paar Infos auf der Online Seite bereitgestellt.

Insbesondere, wie FIDO2 vor Phishing schützt und welche Restrisiken bestehen ...

flyppo · 20.08.2019, 17:51

Zitat:

Zitat von HaPeKa

Heise hat zum Thema FIDO2 noch ein paar Infos auf der Online Seite bereitgestellt.

Leider nur lesbar, wenn man heise+ abboniert.

HaPeKa · 20.08.2019, 18:26

hmm, sorry, jetzt hab ich's auch gesehen ... bin da ja angemeldet.

Nachtrag: Kopie des kostenpflichtigen Artikels gelöscht.

17.08.2019, 11:44	#21
dey Registriert seit: 03.09.2009 Ort: Ilvese boi Mannem Beiträge: 15.272	@hapeka 2. HW schließe ich nicht aus. Token wäre für mich ok. Wenn ich für jeden Online Schlüssel noch ein Backup sichern müsste, fänd ich das zu aufwendig. Da geht der Vorteil durch Komfortverlust verloren. @reisefoto Betrug durch Foto lässt sich sicher leicht absichern. Videoauschnitt anstatt Foto und das das Video von einem Kopf und nicht von einem Bild ist, sollte leicht feststellbar sein. __________________ Meinungsvielfalt -1! Keine Meinung -> kein Profil!

17.08.2019, 13:41	#25
dey Registriert seit: 03.09.2009 Ort: Ilvese boi Mannem Beiträge: 15.272	Auf die Post möchte ich nicht warten müssen. __________________ Meinungsvielfalt -1! Keine Meinung -> kein Profil!

19.08.2019, 12:16	#26
Alison Registriert seit: 05.04.2007 Ort: Aachen Beiträge: 2.759	@HaPeKa: Danke für die Erklärung, ich bin gerade dabei die c't Artikel zu lesen, aber deine Erklärungen sind schon mal übersichtlicher als die ersten Seiten __________________ It's not a game anymore.

20.08.2019, 18:26	#30
HaPeKa Themenersteller Registriert seit: 17.02.2016 Ort: Bern Beiträge: 4.962	hmm, sorry, jetzt hab ich's auch gesehen ... bin da ja angemeldet. Nachtrag: Kopie des kostenpflichtigen Artikels gelöscht. Geändert von HaPeKa (20.08.2019 um 21:24 Uhr)

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

19.08.2019, 12:26	#27
HaPeKa Themenersteller Registriert seit: 17.02.2016 Ort: Bern Beiträge: 4.962	Danke, hab ja auch versucht, es etwas vereinfacht zu erklären ... Das System scheint mir gut durchdacht zu sein, selbst für Leute, die sich intensiv mit Sicherheitsfragen befassen müssen. Aber es gibt noch einige Hürden zu nehmen, z.B. die Akzeptanz beim User und den Dienstebetreibern. Zudem muss die Verwaltung von Schlüsseln und deren Ersatz, wenn die User die Hardware wechseln, auf einfache und einleuchtende Weise gelöst werden. Gute Ansätze sind vorhanden, aber noch nichts Standardisiertes.

20.08.2019, 16:07	#28
HaPeKa Themenersteller Registriert seit: 17.02.2016 Ort: Bern Beiträge: 4.962	Heise hat zum Thema FIDO2 noch ein paar Infos auf der Online Seite bereitgestellt. Insbesondere, wie FIDO2 vor Phishing schützt und welche Restrisiken bestehen ...

Sponsored Links

Sponsored Links

Sponsored Links