1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › Neue Fido-Funktionen…

Ein Schritt in die richtige Richtung, denn die Sticks sind ein schlechter Ansatz

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Ein Schritt in die richtige Richtung, denn die Sticks sind ein schlechter Ansatz

    Autor: Kelo173 06.05.22 - 08:25

    Ich persönlich finde es gut, dass man von diesen Sticks weg gehen will, denn der Gedanke von den Sticks ist nach meinem Verständnis einfach nur schlecht. Vielleicht mag ich das ganze Thema nicht vollumfänglich verstanden haben, also korrigiert mich bitte, wenn ich Mist erzähle. Aber hier ist mal mein Beispiel, weshalb die Idee von den Sticks schlecht ist.

    Man benötigt grundsätzlich zwei Sticks, denn wenn der eine Stick verloren geht, hast du so immer noch einen Backup-Stick. Der Backup-Stick muss allerdings bei jeder Erstellung eines neuen Kontos mitkonfiguriert werden, damit der auf dem identischen Stand ist, wie der primäre Stick.
    Wenn man nun unterwegs ist und man erstellt sich z. B. bei einem Internet-Shop ein neues Konto, muss man beide Sticks mit sich führen, damit man beide identisch für den Login konfigurieren kann. Wenn ich nun aber beide Sticks mit mir herum tragen muss, ist die Wahrscheinlichkeit hoch, dass man beide Sticks auf einmal verliert, denn niemand trägt einen Stick in der Hosentasche, den anderen aber im Rucksack. Das wäre umständlich, denn dann müsste man jedes Mal an beide Stellen greifen, um beide Sticks hervor zu holen. Man führt sie also am gleichen Ort mit sich und damit sind im Falle eines Verlusts beide Sticks verloren. Somit könnte man sich einen zweiten Stick also auch gleich sparen.
    Lässt man den Backup-Stick daheim, kann man sich unterwegs kein Konto erstellen, weil sonst die Sticks nicht mehr identisch wären. Außer man denkt dann, sobald man wieder Zuhause ist daran, den Backup-Stick nachträglich noch zu konfigurieren. -> Umständlich und man vergisst das leicht.
    Außerdem habe ich mir sagen lassen, dass man im Fall der Fälle dennoch das Passwort verwenden kann, um sich trotzdem ohne Stick anmelden zu können. Wenn das stimmen sollte, wäre zumindest durch solche Sticks nicht mehr Sicherheit geboten und man könnte gleich beim Passwortmanager bleiben. Dann muss man auch nicht mehr den Stick nervig in der Tasche suchen und hinterher wieder verstauen.

    Nochmal, bevor jemand meckert: Ich habe mich nicht all zu sehr mit diesem Thema beschäftigt, also korrigiert mich bitte, falls ich das Konzept hier nicht ganz umrissen habe. Ich bin offen für Aufklärung, denn ich will auch nicht dumm sterben.

  2. Re: Ein Schritt in die richtige Richtung, denn die Sticks sind ein schlechter Ansatz

    Autor: alpinlol 06.05.22 - 08:33

    Kelo173 schrieb:
    --------------------------------------------------------------------------------
    > Ich persönlich finde es gut, dass man von diesen Sticks weg gehen will,
    > denn der Gedanke von den Sticks ist nach meinem Verständnis einfach nur
    > schlecht. Vielleicht mag ich das ganze Thema nicht vollumfänglich
    > verstanden haben, also korrigiert mich bitte, wenn ich Mist erzähle. Aber
    > hier ist mal mein Beispiel, weshalb die Idee von den Sticks schlecht ist.
    >
    > Man benötigt grundsätzlich zwei Sticks, denn wenn der eine Stick verloren
    > geht, hast du so immer noch einen Backup-Stick. Der Backup-Stick muss
    > allerdings bei jeder Erstellung eines neuen Kontos mitkonfiguriert werden,
    > damit der auf dem identischen Stand ist, wie der primäre Stick.
    > Wenn man nun unterwegs ist und man erstellt sich z. B. bei einem
    > Internet-Shop ein neues Konto, muss man beide Sticks mit sich führen, damit
    > man beide identisch für den Login konfigurieren kann. Wenn ich nun aber
    > beide Sticks mit mir herum tragen muss, ist die Wahrscheinlichkeit hoch,
    > dass man beide Sticks auf einmal verliert, denn niemand trägt einen Stick
    > in der Hosentasche, den anderen aber im Rucksack. Das wäre umständlich,
    > denn dann müsste man jedes Mal an beide Stellen greifen, um beide Sticks
    > hervor zu holen. Man führt sie also am gleichen Ort mit sich und damit sind
    > im Falle eines Verlusts beide Sticks verloren. Somit könnte man sich einen
    > zweiten Stick also auch gleich sparen.
    > Lässt man den Backup-Stick daheim, kann man sich unterwegs kein Konto
    > erstellen, weil sonst die Sticks nicht mehr identisch wären. Außer man
    > denkt dann, sobald man wieder Zuhause ist daran, den Backup-Stick
    > nachträglich noch zu konfigurieren. -> Umständlich und man vergisst das
    > leicht.
    > Außerdem habe ich mir sagen lassen, dass man im Fall der Fälle dennoch das
    > Passwort verwenden kann, um sich trotzdem ohne Stick anmelden zu können.
    > Wenn das stimmen sollte, wäre zumindest durch solche Sticks nicht mehr
    > Sicherheit geboten und man könnte gleich beim Passwortmanager bleiben. Dann
    > muss man auch nicht mehr den Stick nervig in der Tasche suchen und
    > hinterher wieder verstauen.
    >
    > Nochmal, bevor jemand meckert: Ich habe mich nicht all zu sehr mit diesem
    > Thema beschäftigt, also korrigiert mich bitte, falls ich das Konzept hier
    > nicht ganz umrissen habe. Ich bin offen für Aufklärung, denn ich will auch
    > nicht dumm sterben.

    Es stimmt, dass du zwei Sticks benötigst, sollte einer verloren oder Kaputt gehen.
    Du musst aber nicht beide mit dir führen und auch beim Einrichten neuer Passwörter benötigst du nur einen dieser Sticks.
    Bei der Ersteinrichtung werden beide mit einer Bezeichnung vergeben und erhalten dann den selben Basisstand was Privater und öffentlicher Schlüssel angeht. Alles weitere dahinter ist dann der zweite Faktor z.B. ein Pin, Fingerabdruck oder Zertifikatsaustausch über NFC. Sogar NFC und Fingerabdruck oder NFC und Pin kombiniert.

    Prinzipiell ist der FIDO Standard um ein vielfaches besser als die Passwörter von Nutzern. Möchte jemand mit Bruteforce die Verschlüsselung knacken gehen hierfür Jahre ins Land und nicht nur mehrere Tage im Regelfall bei persönlichen Passwörtern.

  3. Re: Ein Schritt in die richtige Richtung, denn die Sticks sind ein schlechter Ansatz

    Autor: Kelo173 06.05.22 - 08:43

    alpinlol schrieb:
    --------------------------------------------------------------------------------
    > Kelo173 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Ich persönlich finde es gut, dass man von diesen Sticks weg gehen will,
    > > denn der Gedanke von den Sticks ist nach meinem Verständnis einfach nur
    > > schlecht. Vielleicht mag ich das ganze Thema nicht vollumfänglich
    > > verstanden haben, also korrigiert mich bitte, wenn ich Mist erzähle.
    > Aber
    > > hier ist mal mein Beispiel, weshalb die Idee von den Sticks schlecht
    > ist.
    > >
    > > Man benötigt grundsätzlich zwei Sticks, denn wenn der eine Stick
    > verloren
    > > geht, hast du so immer noch einen Backup-Stick. Der Backup-Stick muss
    > > allerdings bei jeder Erstellung eines neuen Kontos mitkonfiguriert
    > werden,
    > > damit der auf dem identischen Stand ist, wie der primäre Stick.
    > > Wenn man nun unterwegs ist und man erstellt sich z. B. bei einem
    > > Internet-Shop ein neues Konto, muss man beide Sticks mit sich führen,
    > damit
    > > man beide identisch für den Login konfigurieren kann. Wenn ich nun aber
    > > beide Sticks mit mir herum tragen muss, ist die Wahrscheinlichkeit hoch,
    > > dass man beide Sticks auf einmal verliert, denn niemand trägt einen
    > Stick
    > > in der Hosentasche, den anderen aber im Rucksack. Das wäre umständlich,
    > > denn dann müsste man jedes Mal an beide Stellen greifen, um beide Sticks
    > > hervor zu holen. Man führt sie also am gleichen Ort mit sich und damit
    > sind
    > > im Falle eines Verlusts beide Sticks verloren. Somit könnte man sich
    > einen
    > > zweiten Stick also auch gleich sparen.
    > > Lässt man den Backup-Stick daheim, kann man sich unterwegs kein Konto
    > > erstellen, weil sonst die Sticks nicht mehr identisch wären. Außer man
    > > denkt dann, sobald man wieder Zuhause ist daran, den Backup-Stick
    > > nachträglich noch zu konfigurieren. -> Umständlich und man vergisst das
    > > leicht.
    > > Außerdem habe ich mir sagen lassen, dass man im Fall der Fälle dennoch
    > das
    > > Passwort verwenden kann, um sich trotzdem ohne Stick anmelden zu können.
    > > Wenn das stimmen sollte, wäre zumindest durch solche Sticks nicht mehr
    > > Sicherheit geboten und man könnte gleich beim Passwortmanager bleiben.
    > Dann
    > > muss man auch nicht mehr den Stick nervig in der Tasche suchen und
    > > hinterher wieder verstauen.
    > >
    > > Nochmal, bevor jemand meckert: Ich habe mich nicht all zu sehr mit
    > diesem
    > > Thema beschäftigt, also korrigiert mich bitte, falls ich das Konzept
    > hier
    > > nicht ganz umrissen habe. Ich bin offen für Aufklärung, denn ich will
    > auch
    > > nicht dumm sterben.
    >
    > Es stimmt, dass du zwei Sticks benötigst, sollte einer verloren oder Kaputt
    > gehen.
    > Du musst aber nicht beide mit dir führen und auch beim Einrichten neuer
    > Passwörter benötigst du nur einen dieser Sticks.
    > Bei der Ersteinrichtung werden beide mit einer Bezeichnung vergeben und
    > erhalten dann den selben Basisstand was Privater und öffentlicher Schlüssel
    > angeht. Alles weitere dahinter ist dann der zweite Faktor z.B. ein Pin,
    > Fingerabdruck oder Zertifikatsaustausch über NFC. Sogar NFC und
    > Fingerabdruck oder NFC und Pin kombiniert.

    Danke für die Aufklärung. Wenn man also beide nur initial einmalig identisch konfigurieren muss und dann hinterher einfach nur den Backup-Stick an einem sicheren Ort verwahren muss, ohne ihn nochmal anfassen zu müssen, wäre das dann zumindest schon mal "besser", als ich eigentlich dachte.

    > Prinzipiell ist der FIDO Standard um ein vielfaches besser als die
    > Passwörter von Nutzern. Möchte jemand mit Bruteforce die Verschlüsselung
    > knacken gehen hierfür Jahre ins Land und nicht nur mehrere Tage im
    > Regelfall bei persönlichen Passwörtern.

    Wie sieht es dann aus, wenn man einen Passwortmanager nutzt, um für jeden Login ein individuelles, sehr starkes Passwort zu nutzen? Ich meine hier Passwörter von 20+ Zeichen, die wild aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen bestehen. Wenn ich dazu im Internet recherchiere, finde ich heraus, dass diese Passwörter erst dann mit einem Bruteforce-Angriff geknackt wären, wenn nicht mal mehr Staub von mir übrig wäre. Vorher gibt es Quantencomputer, bei denen dann aber sowieso alles schnell geknackt ist. Besteht da dann noch ein Vorteil im Sinne der Sicherheit durch FIDO?

  4. Re: Ein Schritt in die richtige Richtung, denn die Sticks sind ein schlechter Ansatz

    Autor: Prof.Dau 06.05.22 - 12:39

    Einen pw manager zu nutzen, um pws zu härten ist doch schonmal gut. Einem mitte 70 jährigen einen pw manager einzurichten eine völlig andere nummer, als ihm einfach zu sagen: du musst den knopf am stick drücken - meine meinung. Einrichten muss das in beiden fällen vermutlich ein dritter.

  5. Re: Ein Schritt in die richtige Richtung, denn die Sticks sind ein schlechter Ansatz

    Autor: LASERwalker 09.05.22 - 09:41

    Kelo173 schrieb:
    --------------------------------------------------------------------------------
    > Man benötigt grundsätzlich zwei Sticks, denn wenn der eine Stick verloren
    > geht, hast du so immer noch einen Backup-Stick.

    Nein, man kann zB. auch ein Android oder iOS Gerät verwenden. Viele Dienste haben auch die Option Wiederherstellungscodes auszudrucken.
    Ein zweiter Stick ist nicht zwingend erforderlich.

    > Der Backup-Stick muss
    > allerdings bei jeder Erstellung eines neuen Kontos mitkonfiguriert werden,
    > damit der auf dem identischen Stand ist, wie der primäre Stick.
    > Wenn man nun unterwegs ist und man erstellt sich z. B. bei einem
    > Internet-Shop ein neues Konto, muss man beide Sticks mit sich führen, damit
    > man beide identisch für den Login konfigurieren kann.

    Nein, neue FIDO Registrationen können jeder zweit erstellt und auch wieder gelöscht werden.
    Ich weiss auch nicht was du mit "auf dem gleichen Stand" meinst.

    > Außerdem habe ich mir sagen lassen, dass man im Fall der Fälle dennoch das
    > Passwort verwenden kann, um sich trotzdem ohne Stick anmelden zu können.

    FIDO (und Webauthn) bieten nur die APIs an. Die Implementierung ist Sache des Softwareherstellers. FIDO kann dich nicht vor einer Webseite voller Sicherheitslücken schützen.

    > Wenn das stimmen sollte, wäre zumindest durch solche Sticks nicht mehr
    > Sicherheit geboten und man könnte gleich beim Passwortmanager bleiben.

    - Ein Passwortmanager arbeitet immernoch mit Passwörtern (bei FIDO bekommt die Gegenseite nur ein öffentliches Zertifikat). Auch "sichere" Passwörter können leaken.
    - Ein Passwortmanager bietet kein Phishingschutz.
    - Ein Passwort bleibt sehr lange gültig. Eine FIDO Assertion nur einmal. Wie oft werden wohl die Passwörter im Passwortmanager gewechselt?

    > Nochmal, bevor jemand meckert: Ich habe mich nicht all zu sehr mit diesem
    > Thema beschäftigt

    Ja

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Software Architekt / Software Architect (m/w/d)
    igus GmbH, Köln
  2. Fachingenieur IT (w/m/d)
    Salzgitter Flachstahl GmbH, Salzgitter
  3. Softwareentwickler Android TK App (m/w/d)
    Techniker Krankenkasse, Hamburg
  4. Sachbearbeiter (m/w/d) Filial-Hotline
    Dirk Rossmann GmbH, Burgwedel

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. (von Samsung, AOC, Gigabyte, MSI & Co.)
  2. ca. 16.000 Artikel günstiger, hunderte Tiefstpreise lt. Preisvergleich
  3. 445,37€ (günstig wie nie, UVP 659€)
  4. 109,24€ (1TB) / 234,45€ (2TB) (jeweils günstig wie nie)


Haben wir etwas übersehen?

E-Mail an news@golem.de