1. Foren
  2. Kommentare
  3. Internet-Forum
  4. Alle Kommentare zum Artikel
  5. › Neue Fido-Funktionen…

Und ist das Handy gehackt...

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Und ist das Handy gehackt...

    Autor: Flexy 05.05.22 - 18:45

    ... dann kommt man damit dank der vernetzen Welt überall rein.

    Da hab ich lieber 256+ verschiedene Passwörter, die ich selbst leicht wieder sofort rekonstruieren kann. Oder die ich auch einfach auf ein Stück Papier schreiben kann, das dann im Safe liegt.
    Damit sinkt die Wahrscheinlichkeit, dass alle Accounts gehackt werden können deutlich. Wichtige Infos wie der Zugang sollte nur dezentral gesichert/gespeichert werden. Und schon gar nicht in der Cluod, denn dann sind das Daten auf dem Rechner anderer Leute. Und damit auch die Daten eines anderen, die man lediglich auch mit nutzen kann.

  2. Re: Und ist das Handy gehackt...

    Autor: dura 05.05.22 - 18:50

    Bei den meisten Menschen sind die Passwörter
    * eh irgendwo gespeichert (im Zweifel deutlich unsicherer)
    * nicht sicher genug
    * alle gleich
    * egal, weil 1 Passwort, dass für den Mailaccount eh reicht um überall rein zu kommen

    Klar, davon gibt's auch Ausnahmen, viele auch hier vertreten, aber das ist nun mal schon (auch) verbreitet und da ist das ein Sicherheitsgewinn.

    Blöd ist nur, wenn man damit 2-Faktor zerstört, weil es sich um das gleiche Gerät handelt.

  3. Re: Und ist das Handy gehackt...

    Autor: Extrawurst 05.05.22 - 20:35

    dura schrieb:
    --------------------------------------------------------------------------------
    > Bei den meisten Menschen sind die Passwörter
    > * eh irgendwo gespeichert (im Zweifel deutlich unsicherer)
    > * nicht sicher genug
    > * alle gleich

    Ist mir ehrlich gesagt völlig egal. Hier gilt auch irgendwo ein Stück Eigenverantwortung.

    > * egal, weil 1 Passwort, dass für den Mailaccount eh reicht um überall rein
    > zu kommen

    Den Mail-Account muss man als Angreifer aber auch erst mal kennen.
    Und dann darf der auch nicht 2FA-geschützt sein.

    Ich persönlich schütze nicht jeden einzelnen Foren-Account mit 2FA, aber der Haupt-Mail-Account sollte schon abgesichert sein.

    Auch hier: Wer es nicht tut, selbst Schuld.
    Die meisten Menschen lernen IT-Sicherheit auf die harte Tour, in dem sie sich einmal richtig mit Nachlässigkeit verbrennen.

  4. Re: Und ist das Handy gehackt...

    Autor: BangerzZ 05.05.22 - 20:58

    Extrawurst schrieb:
    --------------------------------------------------------------------------------
    > Den Mail-Account muss man als Angreifer aber auch erst mal kennen.

    Nach der Logik bringen die Passwörter auch nichts. Schließlich brauch man immer loginname/email + Passwort.

  5. Re: Und ist das Handy gehackt...

    Autor: dura 05.05.22 - 21:02

    Extrawurst schrieb:
    --------------------------------------------------------------------------------
    > Den Mail-Account muss man als Angreifer aber auch erst mal kennen.
    Naja, den weiß man ziemlich sicher, wenn man dein Passwort kennt.

    > Auch hier: Wer es nicht tut, selbst Schuld.
    > Die meisten Menschen lernen IT-Sicherheit auf die harte Tour, in dem sie
    > sich einmal richtig mit Nachlässigkeit verbrennen.

    Genau, und wenn sie das getan haben ist FIDO eine sinnvolle Lösung um es besser zu machen.
    Will halt nicht jeder 5k Passwörter von Hand verwalten, wenn es auch einfacher geht.

  6. Re: Und ist das Handy gehackt...

    Autor: Flexy 05.05.22 - 21:58

    dura schrieb:
    --------------------------------------------------------------------------------
    > Extrawurst schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Den Mail-Account muss man als Angreifer aber auch erst mal kennen.
    > Naja, den weiß man ziemlich sicher, wenn man dein Passwort kennt.
    >
    > > Auch hier: Wer es nicht tut, selbst Schuld.
    > > Die meisten Menschen lernen IT-Sicherheit auf die harte Tour, in dem sie
    > > sich einmal richtig mit Nachlässigkeit verbrennen.
    >
    > Genau, und wenn sie das getan haben ist FIDO eine sinnvolle Lösung um es
    > besser zu machen.
    > Will halt nicht jeder 5k Passwörter von Hand verwalten, wenn es auch
    > einfacher geht.


    Dafür hast du unter Umständen gar keinen Zugriff auf deine Accounts mehr für eine ganze Weile, wenn dein Handy weg ist mit den Schlüsseln, z.B. wenn es geklaut wurde... Hat alles Vor- und Nachteile.
    Der Trick besteht nebenbei darin, sich die Passwörter so zu konstruieren, dass man die jederzeit wieder leicht rekonstruieren kann. Dann muss man nicht mal wirklich was aufschreiben irgendwo. Und man kann die Passwörter dann auch mal weitergeben an den Partner, falls was wichtiges sein sollte und man z.B. selbst im Krankenhaus liegt und nicht an sein Handy oder seinen Rechner kommt.

    Wie genau ich mir die Passwörter konstruiere sage ich hier allerdings nicht. Nur so viel: Es hat was mit 2 Schlüsseln zu tun...und man braucht schon Stift und Papier dafür. Und muss noch ein paar Dinge zusätzlich wissen. Und aus all dem kriegt man dann die Passwörter mit so 8+ Zeichen, Buchstaben oder Ziffern, ohne die man bei mir auch nichts ins Handy kommt.
    Von z.B. Biometrie halt ich nämlich auch nicht so wahnsinnig viel. Die kann man nicht mal eben ändern. Aber dafür kann man die Scanner in Handy & Co. leicht überlisten.

  7. Re: Und ist das Handy gehackt...

    Autor: dura 05.05.22 - 22:09

    Flexy schrieb:
    --------------------------------------------------------------------------------
    > dura schrieb:
    > ---------------------------------------------------------------------------
    > Dafür hast du unter Umständen gar keinen Zugriff auf deine Accounts mehr
    > für eine ganze Weile, wenn dein Handy weg ist mit den Schlüsseln, z.B. wenn
    > es geklaut wurde... Hat alles Vor- und Nachteile.

    Dafür hat man Backups und kann sich vielleicht das eine Passwort, was man für die Mails braucht ja noch merken.

    > Der Trick besteht nebenbei darin, sich die Passwörter so zu konstruieren,
    > dass man die jederzeit wieder leicht rekonstruieren kann. Dann muss man
    > nicht mal wirklich was aufschreiben irgendwo. Und man kann die Passwörter
    > dann auch mal weitergeben an den Partner, falls was wichtiges sein sollte
    > und man z.B. selbst im Krankenhaus liegt und nicht an sein Handy oder
    > seinen Rechner kommt.

    Blöd halt, wenn das jemandem auffällt und der das entschlüsseln kann.
    Und nützt auch nix, wenn du nicht mehr in der Lage bist, das weiterzugeben, ich hab dafür einen Emergency Prozess, da muss ich dann verunglücken und die IT ausfallen, sonst kommt jemand nach etwas Wartezeit an die Daten.
    Alles hat halt seine Vor- und Nachteile...

    > Von z.B. Biometrie halt ich nämlich auch nicht so wahnsinnig viel. Die kann
    > man nicht mal eben ändern. Aber dafür kann man die Scanner in Handy & Co.
    > leicht überlisten.
    Naja "leicht" ist immer sehr relativ. Aktuelle Technik, die sich dazu nach wenigen Versuchen deaktiviert ist nicht so schlecht. Aber klar, Passwort (solange niemand zuschaut) ist einfacher, aber auch unheimlich nerviger. Mit einer Smartwatch geht's vielleicht, aber wenn ich bei jeder Nachricht mein Passwort eingeben müsste um sie zu sehen, purer Horror.

  8. Re: Und ist das Handy gehackt...

    Autor: Flexy 05.05.22 - 23:39

    dura schrieb:
    --------------------------------------------------------------------------------
    > Flexy schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > dura schrieb:
    > >
    > ---------------------------------------------------------------------------
    >
    > > Dafür hast du unter Umständen gar keinen Zugriff auf deine Accounts mehr
    > > für eine ganze Weile, wenn dein Handy weg ist mit den Schlüsseln, z.B.
    > wenn
    > > es geklaut wurde... Hat alles Vor- und Nachteile.
    >
    > Dafür hat man Backups und kann sich vielleicht das eine Passwort, was man
    > für die Mails braucht ja noch merken.
    >
    > > Der Trick besteht nebenbei darin, sich die Passwörter so zu
    > konstruieren,
    > > dass man die jederzeit wieder leicht rekonstruieren kann. Dann muss man
    > > nicht mal wirklich was aufschreiben irgendwo. Und man kann die
    > Passwörter
    > > dann auch mal weitergeben an den Partner, falls was wichtiges sein
    > sollte
    > > und man z.B. selbst im Krankenhaus liegt und nicht an sein Handy oder
    > > seinen Rechner kommt.
    >
    > Blöd halt, wenn das jemandem auffällt und der das entschlüsseln kann.
    > Und nützt auch nix, wenn du nicht mehr in der Lage bist, das weiterzugeben,
    > ich hab dafür einen Emergency Prozess, da muss ich dann verunglücken und
    > die IT ausfallen, sonst kommt jemand nach etwas Wartezeit an die Daten.
    > Alles hat halt seine Vor- und Nachteile...
    >
    > > Von z.B. Biometrie halt ich nämlich auch nicht so wahnsinnig viel. Die
    > kann
    > > man nicht mal eben ändern. Aber dafür kann man die Scanner in Handy &
    > Co.
    > > leicht überlisten.
    > Naja "leicht" ist immer sehr relativ. Aktuelle Technik, die sich dazu nach
    > wenigen Versuchen deaktiviert ist nicht so schlecht. Aber klar, Passwort
    > (solange niemand zuschaut) ist einfacher, aber auch unheimlich nerviger.
    > Mit einer Smartwatch geht's vielleicht, aber wenn ich bei jeder Nachricht
    > mein Passwort eingeben müsste um sie zu sehen, purer Horror.

    Naja. ein Samsung S10 kann man z.B. ziemlich leicht überlisten, was Fingerabdrücke an geht.

    Und was die Konstruktion der Passwörter an geht:
    Das geht durchaus so, dass niemand mal so eben leicht knacken kann. Stichwort doppelte Spaltentransposition und so. Mit ein paar Ergänzungen für den jeweiligen Service. Da wirst du niemanden finden, der das mal auf die Schnelle knackt oder auch nur nachvollziehen kann. Erst recht, wenn man keinen im Internet verfügbaren Text als Grundlage nimmt. Damit kriegst du in Teilen ähnliche, aber doch recht verschiedene Passwörter.
    Gut, wenn man ein notorisch schlechtes Gedächtnis hat, dann ist das natürlich nichts ;-

    Ich misstraue eben elektronischen Geräten immer ein wenig, zumindest wenn sie so hoch komplex sind wie ein Handy - und wenn man dann auch noch nicht mal alleiniger Admin ist, weil z.B. Samsung oder Sony usw. da auch jederzeit im Prinzip alles machen können mit dem Gerät. Banking mach ich z.B. so gar nicht mit dem Smartphone, aus Prinzip. Das mach ich am PC - mit Chip-Tan. Da geht dann ohne die Bankkarte nichts - und die ist mit nur einem Anruf dafür auch sofort gesperrt, sollte sie mal verloren gehen.

  9. Re: Und ist das Handy gehackt...

    Autor: Truster 06.05.22 - 08:41

    Und bei Fido brauchst momentan noch nicht mal die E-mail Adresse wissen. Bei MSFT klickst du auf Authentifizierung mit Schlüssel und schließt ihn an. Zack, schon bist drin. Heißt Konkret: Ein jeder, der einen Fido Key findet, kann ihn einfach ausprobieren und sehen, welches Tor sich öffnet.

    Zudem braucht man ein Backup. Was, wenn das Gerät kaputt geht?

    Und versprechen können die Dienste ja viel (bzgl "E2E-Crypt") Ich vertraue keinen Dienst.

    Verifizierter Top 500 Poster!

    Signatur von quineloe geklaut!

    Signatur von Gunslinger Gary geraubmordkopiert!



    1 mal bearbeitet, zuletzt am 06.05.22 08:45 durch Truster.

  10. Re: Und ist das Handy gehackt...

    Autor: treysis 06.05.22 - 09:30

    Truster schrieb:
    --------------------------------------------------------------------------------
    > Und bei Fido brauchst momentan noch nicht mal die E-mail Adresse wissen.
    > Bei MSFT klickst du auf Authentifizierung mit Schlüssel und schließt ihn
    > an. Zack, schon bist drin. Heißt Konkret: Ein jeder, der einen Fido Key
    > findet, kann ihn einfach ausprobieren und sehen, welches Tor sich öffnet.

    Wenn der Key keine eigene Authentifizierung (PIN oder so) benötigt, ist er natürlich nicht geeignet. Gibt es solche Keys wirklich? Soweit ich weiß muss man die immer (zumindest für die aktuelle Session) über die Steuerungssoftware freischalten.

    > Zudem braucht man ein Backup. Was, wenn das Gerät kaputt geht?

    Bei Microsoft (und auch bei Google) kannst du ja mehrere Möglichkeiten zum Anmelden verwenden. Dann richtest du dir halt noch die Bestätigung über dein Smartphone und deine Backup-Email-Adresse ein. FIDO nutzt du dann aus Convenience. Den Rest für den Notfall. Funktioniert eigentlich ganz gut.

  11. Re: Und ist das Handy gehackt...

    Autor: treysis 06.05.22 - 09:31

    Flexy schrieb:
    --------------------------------------------------------------------------------
    > Ich misstraue eben elektronischen Geräten immer ein wenig, zumindest wenn
    > sie so hoch komplex sind wie ein Handy - und wenn man dann auch noch nicht
    > mal alleiniger Admin ist, weil z.B. Samsung oder Sony usw. da auch
    > jederzeit im Prinzip alles machen können mit dem Gerät. Banking mach ich
    > z.B. so gar nicht mit dem Smartphone, aus Prinzip. Das mach ich am PC - mit
    > Chip-Tan. Da geht dann ohne die Bankkarte nichts - und die ist mit nur
    > einem Anruf dafür auch sofort gesperrt, sollte sie mal verloren gehen.

    Unbegründete Angst. Ich nutze seit bald 10 Jahren Online-Banking selbstverständlich auch auf dem Smartphone. Zumindest bei meiner Bank gibt es da auch photoTAN, das Offline funktioniert.

  12. Re: Und ist das Handy gehackt...

    Autor: lattenegal 06.05.22 - 10:03

    dura schrieb:
    --------------------------------------------------------------------------------
    > Bei den meisten Menschen sind die Passwörter
    > * eh irgendwo gespeichert (im Zweifel deutlich unsicherer)
    > * nicht sicher genug
    > * alle gleich
    > * egal, weil 1 Passwort, dass für den Mailaccount eh reicht um überall rein
    > zu kommen
    >
    > Klar, davon gibt's auch Ausnahmen, viele auch hier vertreten, aber das ist
    > nun mal schon (auch) verbreitet und da ist das ein Sicherheitsgewinn.
    >
    > Blöd ist nur, wenn man damit 2-Faktor zerstört, weil es sich um das gleiche
    > Gerät handelt.

    stimme dir zu.
    Ich für meinen teilen gehöre nicht zu den meisten Menschen. Ist mir auch egal ob die anderen verbrennen - betrifft mich nicht. Was mir nicht egal ist, ist,ob sowas in der Art ein must have, ein Standard, guter Ton wird und es dann soweit geht, dass ich nur diese Alternative habe und sonst keine andere - und damit habe ich dann ein Problem.

  13. Re: Und ist das Handy gehackt...

    Autor: himbuin 06.05.22 - 10:29

    Flexy schrieb:
    --------------------------------------------------------------------------------

    > Dafür hast du unter Umständen gar keinen Zugriff auf deine Accounts mehr
    > für eine ganze Weile, wenn dein Handy weg ist mit den Schlüsseln, z.B. wenn
    > es geklaut wurde... Hat alles Vor- und Nachteile.
    > Der Trick besteht nebenbei darin, sich die Passwörter so zu konstruieren,
    > dass man die jederzeit wieder leicht rekonstruieren kann. Dann muss man
    > nicht mal wirklich was aufschreiben irgendwo. Und man kann die Passwörter
    > dann auch mal weitergeben an den Partner, falls was wichtiges sein sollte
    > und man z.B. selbst im Krankenhaus liegt und nicht an sein Handy oder
    > seinen Rechner kommt.
    >
    > Wie genau ich mir die Passwörter konstruiere sage ich hier allerdings
    > nicht. Nur so viel: Es hat was mit 2 Schlüsseln zu tun...und man braucht
    > schon Stift und Papier dafür. Und muss noch ein paar Dinge zusätzlich
    > wissen. Und aus all dem kriegt man dann die Passwörter mit so 8+ Zeichen,
    > Buchstaben oder Ziffern, ohne die man bei mir auch nichts ins Handy kommt.
    > Von z.B. Biometrie halt ich nämlich auch nicht so wahnsinnig viel. Die kann
    > man nicht mal eben ändern. Aber dafür kann man die Scanner in Handy & Co.
    > leicht überlisten.

    Genau so mach ich das auch! Ich brauch zwar kein Papier und Stift, so ist es wohl nicht ganz so sicher. Aber immerhin macht man es damit schon besser als vermutlich 90% der Menschen. Jeder dem ich den Rat gebe, sich eine gewisse Struktur für diese Passwörter zuzulegen, ist komplett überfordert.
    Ich bin dennoch sehr gespannt was die Zukunft bringt. Solche Konzepte wie Fido sind schon spannend.

  14. Re: Und ist das Handy gehackt...

    Autor: Truster 06.05.22 - 11:17

    aber dann hast ja eigentlich nichts gewonnen, wenn du die "veralteten" Techniken als Backup einrichtest.

    Ich bleib vorerst bei OTP & keepassxc - korrekt konfiguriert, füllt dieser auch nur aus, wenn die URL stimmt. Somit sehe ich es als nicht weniger Sicher als Fido und genauso einfach in der Nutzung, wenn man von der Erstknonfiguration absieht :-)

    Verifizierter Top 500 Poster!

    Signatur von quineloe geklaut!

    Signatur von Gunslinger Gary geraubmordkopiert!

  15. Re: Und ist das Handy gehackt...

    Autor: treysis 06.05.22 - 11:27

    Truster schrieb:
    --------------------------------------------------------------------------------
    > aber dann hast ja eigentlich nichts gewonnen, wenn du die "veralteten"
    > Techniken als Backup einrichtest.

    Naja, doch klar. Du kannst dir über die Backup-Methode ja irgendein super sicheres Passwort aussuchen und bist nicht mehr dazu verleitet, ein leicht einzugebendes PW zu verwenden, weil der normale Login über FIDO geschieht. Weil du das Backup-PW nur in seltensten Fällen einsetzt, sinkt auch die Gefahr, dass es abgefischt wird. Überhaupt sparst du dir zusätzlich zum Passwort eingeben auch das Eingeben deines Loginnamens.

    > Ich bleib vorerst bei OTP & keepassxc - korrekt konfiguriert, füllt dieser
    > auch nur aus, wenn die URL stimmt. Somit sehe ich es als nicht weniger
    > Sicher als Fido und genauso einfach in der Nutzung, wenn man von der
    > Erstknonfiguration absieht :-)

    Ich bleibe vorerst bei Variationen von meinen 3 Standardpasswörtern je nach benötigter Sicherheitsstufe. Das klappt seit über 20 Jahren ganz gut und ich muss nicht mit irgendwelchen Passwortmanagern hantieren, auf die ich im Zweifel gerade keinen Zugriff habe. 2FA kann mir gestohlen bleiben. Den Krampf tu ich mir nicht an. Naja, außer beim Online-Banking. Auch wenn ich es übertrieben finde, dass ich selbst für einfache Aktionen oft eine Freischaltung brauche (beim Ausführen einer Überweisung kann ich es ja verstehen, beim Rest eher nicht).



    1 mal bearbeitet, zuletzt am 06.05.22 11:29 durch treysis.

  16. eben nicht ..

    Autor: senf.dazu 08.05.22 - 13:01

    ob das Handy (Systemprozessor, OS, Apps) gehackt oder verseucht sind oder nicht ist egal

    man muß schon den Sicherheitschip im Handy hacken. Und auf dem läuft kein komplexes OS, wird kein komplexer Prozessor gebraucht, laufen keine Apps. Sondern ausschließlich recht stabiler und insgesamt wenig(! => realistisch kontrollierbar/zertifizierbar) Code rein für Sicherheitsoperation wie Login und Authentisierung. Der eigentlich auch nie Funktionsupdates brauchen wird (die eben nie versiegende Quelle von neuen Softwarelücken beim Systemprozessor/OS/Apps) .

    Und wenn der Hersteller alles richtig gemacht hat - dann kann dieser Sicherheitschip dabei am Systemprozessor vorbei mit Tastatur und Bildschirm und Biometriesensoren - verschlüsselt - operieren, so das eigene Tastatureingaben nicht von gehackten Apps/OS abgeschnorchelt werden können oder Displayausgaben bei laufenden Authentisierungen gestört oder gefaked werden können.

    Sozusagen der sichere Klasse 3 Kartenleser/Tangenerator/reader ins Handy eingebaut - ohne die "Hardware" eines Fido Keys im handy wär's nicht adäquat zu standalone Fido Keys. Und das ist eigentlich genial - weil man eben keinen zusätzlichen Stick oder Kartenleser brauch sondern der gleich im Handy ist - und noch besser die nötige Tastatur und Bildschirm gibt's in jedem Handy schon - in besserer Ausführung als beim Kartenleser allemal. Man muß sie nur auf gegen den Systemprozessor abgesicherte Weise anschließen. Sprich sie an den Sicherheitschip anschließen statt an den Systemprozessor .. der kriegt dann Zugriff zugeteilt.



    7 mal bearbeitet, zuletzt am 08.05.22 13:14 durch senf.dazu.

  17. Re: eben nicht ..

    Autor: treysis 08.05.22 - 22:21

    Wie richte ich das aber eigentlich ein, dass ich am Smartphone die FIDO-Funktionen nutze?

  18. Re: eben nicht ..

    Autor: senf.dazu 09.05.22 - 08:09

    treysis schrieb:
    --------------------------------------------------------------------------------
    > Wie richte ich das aber eigentlich ein, dass ich am Smartphone die
    > FIDO-Funktionen nutze?

    Wie diese Dienste und ihre Benutzung im Detail am Ende gestaltet sein werden ist sicher die spannende Frage ..

    Aber erstmal müssen die Hersteller die (erweiterten) FIFO Implementation in ihre Sicherheitschips und die entsprechenden Bibliotheksfunktionen in die Browser einbauen - was ja offenbar im Lauf dieses Jahres passieren soll. Und dann die Serviceanbieter wie z.B. "heise online" die Benutzung dieser Bibliotheksfunktionen in ihre Webseiten .. sprich da braucht's dann auch auf der Webpage den passenden Knopf "enloggen mit Webauthn .." oder "passwortlos mit Fido". Neben dem Knopf "einloggen mit User/Password".

    Darüber hinaus braucht's dann sicher auf den Webseiten wie bisher auch noch Zusatzfunktionen zur Verwaltung jedes Accounts auf Seiten des Webservice (Bank, Behörde, Supermarkt, heise, ..): Identität (endlich eID vom ePerso ?) nachweisen, Name,Adresse&Co angeben wo nötig, Alter nachweisen, Zweitschlüssel (zweites Gerät) einrichten/verwalten. Und einige dieser Verwaltungsfunktionen werden sich dann auch auf die Schlüsselverwaltung a la Fido beziehen - wie auch immer die dann aussehen wird.

    Also die üblichen Verdächtigen für Benutzerinterfaces: erstmal Browser (auf Webservice Seite) - dann vielleicht auch ne lokale SchlüsselbundApp als OS Bestandteil oder ggf. auch ne Webseite .. Cloud läßt grüßen. Schließlich muß man ja Kontrolle drüber erhalten wo der Schlüsselbund noch überall hin"kopiert" wird bzw. das zurückzunehmen .. oder sich von Fall zu Fall (Sicherheitsbedürfnis der Anwendung) auch mal auf "device resident keys", statt zwischen Geräten des eigenen Gerätezoos via Cloud kopierter ("passkey" oder "synced Key"), beschränken zu können.



    11 mal bearbeitet, zuletzt am 09.05.22 08:27 durch senf.dazu.

  19. Re: eben nicht ..

    Autor: treysis 09.05.22 - 10:39

    senf.dazu schrieb:
    --------------------------------------------------------------------------------
    > treysis schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > Wie richte ich das aber eigentlich ein, dass ich am Smartphone die
    > > FIDO-Funktionen nutze?
    >
    > Wie diese Dienste und ihre Benutzung im Detail am Ende gestaltet sein
    > werden ist sicher die spannende Frage ..
    >
    > Aber erstmal müssen die Hersteller die (erweiterten) FIFO Implementation in
    > ihre Sicherheitschips und die entsprechenden Bibliotheksfunktionen in die
    > Browser einbauen - was ja offenbar im Lauf dieses Jahres passieren soll.
    > Und dann die Serviceanbieter wie z.B. "heise online" die Benutzung dieser
    > Bibliotheksfunktionen in ihre Webseiten .. sprich da braucht's dann auch
    > auf der Webpage den passenden Knopf "enloggen mit Webauthn .." oder
    > "passwortlos mit Fido". Neben dem Knopf "einloggen mit User/Password".
    >
    > Darüber hinaus braucht's dann sicher auf den Webseiten wie bisher auch noch
    > Zusatzfunktionen zur Verwaltung jedes Accounts auf Seiten des Webservice
    > (Bank, Behörde, Supermarkt, heise, ..): Identität (endlich eID vom ePerso
    > ?) nachweisen, Name,Adresse&Co angeben wo nötig, Alter nachweisen,
    > Zweitschlüssel (zweites Gerät) einrichten/verwalten. Und einige dieser
    > Verwaltungsfunktionen werden sich dann auch auf die Schlüsselverwaltung a
    > la Fido beziehen - wie auch immer die dann aussehen wird.
    >
    > Also die üblichen Verdächtigen für Benutzerinterfaces: erstmal Browser (auf
    > Webservice Seite) - dann vielleicht auch ne lokale SchlüsselbundApp als OS
    > Bestandteil oder ggf. auch ne Webseite .. Cloud läßt grüßen. Schließlich
    > muß man ja Kontrolle drüber erhalten wo der Schlüsselbund noch überall
    > hin"kopiert" wird bzw. das zurückzunehmen .. oder sich von Fall zu Fall
    > (Sicherheitsbedürfnis der Anwendung) auch mal auf "device resident keys",
    > statt zwischen Geräten des eigenen Gerätezoos via Cloud kopierter
    > ("passkey" oder "synced Key"), beschränken zu können.

    Ja, interessant. Gerade gesehen, dass der Samsung-Browser seit ein paar Tagen WebAuthn unterstützt. Inkl. dem Android-Gerät als Key. Klar, jetzt müssen das noch die Webseiten entsprechend anbieten. Da sieht es immer noch mau aus. Passwordless ist da auch wirklich die Ausnahme. IdR wird - wenn überhaupt - das Ganze nur als 2FA-Token akzeptiert. Das bringt mir wenig. Ich will ja weg von Passwörtern (und diese eben nur noch als Backup mit einer anderen 2FA-Authentifizierung über Email bspw.). Es ist also wohl leider noch ein bisschen Weg vor uns.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. (Senior) IT Professional Client Systems (m/w/d)
    ALDI International Services SE & Co. oHG, Mülheim an der Ruhr
  2. Senior Software / Data Base Engineer (m/w/d)
    Allianz Technology SE, Unterföhring (bei München)
  3. Softwareentwickler C# für Laborgeräte - Partikelmesstechnik (m/w/d)
    Microtrac Retsch GmbH, Haan (Home-Office möglich)
  4. IT-Administrator interne IT (w/m/d)
    cirosec GmbH, Heilbronn

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 42,99€ (UVP 49,99€)
  2. (stündlich aktualisiert)
  3. (3500+ Deals, Blitzangebote, Giveaways)


Haben wir etwas übersehen?

E-Mail an news@golem.de