1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › 2FA: Wie sicher sind TOTP…

Fido in der Praxis

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Fido in der Praxis

    Autor: plumo 24.06.22 - 15:28

    Ich habe 2 Yubikeys... einen per USB am Rechner, einen am Schlüsselbund mit NFC für unterwegs. Dumm nur dass ich mit der neuen Haustür mit Fingerprint mein Schlüsselbund immer öfters zu Hause lasse. Geschenkt! Denn Android soll es von Haus aus können . Das klingt in der Theorie gut, aber wie sieht es mit LineageOS aus ohne Google oder nur mit microG, oder sogar gerootet (böööse)? Apple, Google und Microsoft ist toll, aber was ist mit Linux?
    Unterstützung von services? Mir ist noch kein einziger service über den weg gelaufen der es unterstützt. Microsoft Konto habe ich nicht, Google Konto logge ich mich nur einmalig beim einrichten meines Smartphones ein(alle 3? Jahre).

    So nutze ich es lediglich als 2. Faktor auf meiner Nextcloud und meinem Bitwarden. Und als Passwordless sudo auf meinem PC (seeehr praktisch).

    Schade, eigentlich gefällt es mir, aber aktuell ist Fido leider nicht zu empfehlen!

  2. Re: Fido in der Praxis

    Autor: foobarJim 24.06.22 - 16:05

    plumo schrieb:
    --------------------------------------------------------------------------------

    > Unterstützung von services? Mir ist noch kein einziger service über den weg
    > gelaufen der es unterstützt.

    Yepp, da sieht es echt schwach aus. Nicht mal Amazon oder Paypal, bei denen es echt praktisch wäre und die auch eine 2-FA anbieten, unterstützen Fido. Das ist echt traurig.

  3. Re: Fido in der Praxis

    Autor: Coernel 24.06.22 - 18:40

    Ich nutze es wo es auch nur geht, sogar meine WordPress Seiten sind damit gesichert. Ich bin sehr zufrieden damit!

  4. Re: Fido in der Praxis

    Autor: senf.dazu 25.06.22 - 09:22

    >Denn Android soll es von Haus aus können . Das klingt in der Theorie gut, aber wie sieht es mit LineageOS aus ohne Google oder nur mit microG, oder sogar gerootet (böööse)? Apple, Google und Microsoft ist toll,

    Nach meinem Verständnis funktioniert die Fido Sicherheitstechnik mit Mobiles/Desktops nur zuverlässig wenn die Authentisierung komplett von einem Sicherheitschip abgewickelt wird, also inkl. Ein/Ausgabe ("Sperrbildschirm zur Kontrolle der Transaktionsdaten und Ok/Fingerabdruck/Abbrechen") ganz ohne Zutun des Systemprozessors und OS. Dabei kann die Eingabe der Transaktionsdaten durchaus auf dem unsicheren Mobile/Desktop erfolgen - die werden dann aber vom Service-Anbieter auf dessen "sichererem" Server verwurstet und kommen als kurze Zusammenfassung auf dem sicheren Bildschirm des Kunden an - und der kann wenn jemand die Transaktion verbogen hat auch mal "abbrechen" sagen. Wer nicht nur lesen kann sondern es auch tut wär klar im Vorteil.

    Ob dein OS oder Systemprozessor Virenbefall hat oder geroutet ist sollte dann eigentlich vollkommen egal sein. Letztlich braucht das OS nicht mal zu laufen.

    Der Fidostick mit Schalter ist dabei natürlich ne halbgare Lösung - denn der setzt ja auf eine "unsichere" Ausgabe der der Transaktionsdaten. Ist also vielleicht nur für Fälle geeignet in denen es solche nicht gibt (Haustür aufmachen, Login in Rechner, nur eine feststehende Transaktion).

    > aber was ist mit Linux?

    Auf Plattformen auf denen es keinen adäquaten Sicherheitschip gibt ist man natürlich angeschmiert. Aber schätzungsweise werden die eh aussterben ? Daneben ist's nicht unwahrscheinlich das auch die bisherigen Kartenleser-Butzen auf die Entwicklung reagieren und ihre bisherigen Kartenleser durch ein "Sicherheitsschlüsseldevice" ersetzten - also etwas das wie ein Handy oder ne Armband(uhr) oder Nasenring daherkommt aber eben keine Systemprozessor kein OS und keine ladbaren Apps hat. Nur einen Sicherheitschip mit Tastatur, Bildschirm und Biometriesensoren. Was dann z.B. mit Bluetooth/UWB-Funk mit dem minderbemittelten Linux Rechner redet, oder der Haustür, dem Fahrrad, dem Auto, dem Safe ..

    Da kann man sich dann wieder entscheiden - trau ich jetzt Apple, Google, MS, Amazon&Co und deren potenten Ingenieurabteilungen oder sind die eh NSA versucht (hmm) oder doch eher der Kartenleserbutze (naja) oder Bank mit ihrem langjährigem Knowhow (kicher) in "beeindruckend" vielfältiger Sicherheitstechnik oder .. ?



    14 mal bearbeitet, zuletzt am 25.06.22 09:39 durch senf.dazu.

  5. Re: Fido in der Praxis

    Autor: gunterkoenigsmann 25.06.22 - 19:30

    PayPal unterstützt fido, aber nur einen Key pro User. Also braucht man mindestens eine weitere Methode.

    Ansonsten ist erstaunlich, wer alles (noch?) kein fido2 unterstützt.

    Hat jemand raus, wie man sein Android -Telefon als weiteren fido2 -key nutzt? Ich hab das Feature in meinem Google-Account angeschaltet aber die sagen, man kann es nur mit Chrome und nur für die Webseite von Google nutzen. Dann wär das kein echtes fido2, oder?

  6. Re: Fido in der Praxis

    Autor: senf.dazu 26.06.22 - 08:22

    ich glaub ihr seid zu früh dran. Auch wenn Paßworte nerven.

    fido"2" passkey Unterstützung durch Betriebssysteme ist ja erst für den Herbst angekündigt. z.B. bei Apple mit der nächsten OS Version (neues Android - Phone ?) .. und das ist ja wohl ne Initiative die Apple, Google, MS "gemeinsam" vorrantreiben. Und keiner (?) weiß wie's dann den "alten" "es kann nur einen geben" resident Keys ergeht .. zumal die Services/Webseiten nicht nur bei der grundsätzlichen Fido Unterstützung sondern auch dabei wohl ne Rolle spielen.



    3 mal bearbeitet, zuletzt am 26.06.22 08:29 durch senf.dazu.

  7. Re: Fido in der Praxis

    Autor: Atzu 26.06.22 - 08:56

    plumo schrieb:
    --------------------------------------------------------------------------------
    > So nutze ich es lediglich als 2. Faktor auf meiner Nextcloud und meinem
    > Bitwarden. Und als Passwordless sudo auf meinem PC (seeehr praktisch).

    Synchronisierst du auch deine Kontakte und Kalender mit Nextcloud? Deswegen kann ich leider 2FA bei meiner Nextcloud nutzen.

  8. Re: Fido in der Praxis

    Autor: plumo 26.06.22 - 09:01

    >
    > Synchronisierst du auch deine Kontakte und Kalender mit Nextcloud? Deswegen
    > kann ich leider 2FA bei meiner Nextcloud nutzen.


    Ja, das mach ich aber eh über APP-Tokens, das ist dann unabhängig davon!



    1 mal bearbeitet, zuletzt am 26.06.22 09:04 durch plumo.

  9. Re: Fido in der Praxis

    Autor: JE 26.06.22 - 14:42

    gunterkoenigsmann schrieb:
    --------------------------------------------------------------------------------
    > PayPal unterstützt fido, aber nur einen Key pro User. Also braucht man
    > mindestens eine weitere Methode.

    Seit wann? Wo kann ich das machen?
    Mein letzter Stand war, daß Paypal zwar im FIDO-Konsortium ist, aber selbst kein Fido anbietet.

  10. Re: Fido in der Praxis

    Autor: gunterkoenigsmann 26.06.22 - 18:15

    In den Account-Einstellungen unter "mein Konto sichern".

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Daten-Manager/in (w/m/d) "Data Governance" mit SAP-Experience
    Bau- und Liegenschaftsbetrieb NRW, Düsseldorf
  2. (Wirtschafts-)Informatiker*in als Inhouse - Modulbetreuer*in SAP HCM
    Klinikum rechts der Isar der Technischen Universität München, München
  3. System Engineer HR-Systeme (m|w|d)
    ADAC IT Service GmbH, München
  4. Web-Developer Frontend (d/m/w)
    RND RedaktionsNetzwerk Deutschland GmbH, Hannover

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 119,90€ (Bestpreis, UVP 238€)
  2. 219,99€ (günstig wie nie)
  3. 59,99€ statt 99€
  4. (u. a. MSI Leopard 17,3" 300Hz, 16GB RAM, 512GB SSD, Geforc RTX 3060 für 1.549€ (statt 1.899€))


Haben wir etwas übersehen?

E-Mail an news@golem.de