1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Nitrokey und Somu im Test: Zwei Fido…

Passwortlose Zukunft wird so nicht kommen

  1. Thema

Neues Thema Ansicht wechseln


  1. Passwortlose Zukunft wird so nicht kommen

    Autor: Eheran 05.11.19 - 10:12

    >Auch wenn es noch fast keine Webdienste gibt, die passwortloses Anmelden unterstützen, sind Nutzer mit dem Nitrokey und dem Somu für die passwortlose Zukunft gerüstet, sollte sie denn kommen. [...] Käufer sollten jedoch nicht auf nur einen Stick setzen, damit sie sich bei Verlust oder Defekt des Sticks nicht aus ihren Diensten aussperren. Denn einen Schlüsseldienst für Fido-Sticks gibt es nicht.

    Und hier steht auch gleich, warum es (so) nicht kommen wird. Der 0815 Nutzer, und damit auch der ganze Markt, will nicht alles mit dem Stick verlieren. Aber gleichzeitig den Komfort haben, sich nicht 100 Passwörter merken zu müssen. Selbst ein einziges Kennwort, das nie gebraucht wird, wäre schwer. Aus dem Grund muss man beim Handy ab und an mal das Kennwort eingeben, auch wenn man sich sonst mit dem Finger oder sonstwie anmeldet: Damit man es eben nicht vergisst.

  2. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Gamma Ray Burst 05.11.19 - 10:29

    Eheran schrieb:
    --------------------------------------------------------------------------------
    > >Auch wenn es noch fast keine Webdienste gibt, die passwortloses Anmelden
    > unterstützen, sind Nutzer mit dem Nitrokey und dem Somu für die
    > passwortlose Zukunft gerüstet, sollte sie denn kommen. [...] Käufer sollten
    > jedoch nicht auf nur einen Stick setzen, damit sie sich bei Verlust oder
    > Defekt des Sticks nicht aus ihren Diensten aussperren. Denn einen
    > Schlüsseldienst für Fido-Sticks gibt es nicht.
    >
    > Und hier steht auch gleich, warum es (so) nicht kommen wird. Der 0815
    > Nutzer, und damit auch der ganze Markt, will nicht alles mit dem Stick
    > verlieren. Aber gleichzeitig den Komfort haben, sich nicht 100 Passwörter
    > merken zu müssen. Selbst ein einziges Kennwort, das nie gebraucht wird,
    > wäre schwer. Aus dem Grund muss man beim Handy ab und an mal das Kennwort
    > eingeben, auch wenn man sich sonst mit dem Finger oder sonstwie anmeldet:
    > Damit man es eben nicht vergisst.

    Wenn man also den Stick verliert, kann sich jeder der ihn findet überall anmelden...

    ... super ... irgendwie habe ich den Eindruck das es lediglich bequemer ist, aber nicht sicherer.

  3. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Yo 05.11.19 - 10:52

    Also ich finde es auch irrwitzig diese Sticks. Da basteln sie irgendwelche Superduper-Verschlüsselungsalgorythmen und kloppen die dann in Hardware in Stick-Form.
    Und das beste ist dann, dass man für die Benutzung des Sticks immer noch ein Passwort braucht. Wo bitte ist da der Mehrwert?!?
    Da gehts doch nur darum wieder neuen Elektroschrott zu verkaufen. Dinge die die Welt nicht braucht.

    // Yo

  4. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: tzarchen 05.11.19 - 10:55

    > Wenn man also den Stick verliert, kann sich jeder der ihn findet überall
    > anmelden...
    >
    > ... super ... irgendwie habe ich den Eindruck das es lediglich bequemer
    > ist, aber nicht sicherer.


    Nein.
    1. Man muss wissen wo der Key hinterlegt wurde.
    2. Es gibt immer noch einen Benutzernamen oder ähnliches für jeden Account.
    3. Man kann den Key zusätzlich mit einem Passwort oder Pin schützen.

    Der Key alleine reicht also nicht aus, um sich irgendwo anzumelden. Man benötigt weitere Informationen.
    Die Höchste Sicherheit bietet natürlich der Pin für den Key.

  5. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: tzarchen 05.11.19 - 10:57

    Yo schrieb:
    --------------------------------------------------------------------------------
    > Also ich finde es auch irrwitzig diese Sticks. Da basteln sie irgendwelche
    > Superduper-Verschlüsselungsalgorythmen und kloppen die dann in Hardware in
    > Stick-Form.
    > Und das beste ist dann, dass man für die Benutzung des Sticks immer noch
    > ein Passwort braucht. Wo bitte ist da der Mehrwert?!?
    > Da gehts doch nur darum wieder neuen Elektroschrott zu verkaufen. Dinge die
    > die Welt nicht braucht.
    >
    > // Yo


    Man "kann" den Key mit einem Passwort schützen, muss es aber nicht.
    Wenn man den Key mit einem Passwort schützt hat man ein Passwort für den Stick und nicht für jeden Account eines.
    Das Passwort kann beim Anbieter gehackt werden. Der key nicht.



    1 mal bearbeitet, zuletzt am 05.11.19 10:58 durch tzarchen.

  6. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: cryptohacker1337 05.11.19 - 11:19

    tzarchen schrieb:
    --------------------------------------------------------------------------------
    > Man "kann" den Key mit einem Passwort schützen, muss es aber nicht.
    > Wenn man den Key mit einem Passwort schützt hat man ein Passwort für den
    > Stick und nicht für jeden Account eines.
    > Das Passwort kann beim Anbieter gehackt werden. Der key nicht.

    Wichtig ist hier vielleicht noch, dass die PIN für den key relativ kurz und leicht zu merken sein kann, da er sich nach einer kleinen Anzahl Versuche automatisch sperrt. Ein möglicher Finder kann also nicht das Passwort/die PIN bruteforcen.

    Generell spricht nichts dagegen als Backup Lösung (schlüsseldienst) auf Reset-Codes etc. zurückzufallen, wenn im Recovery-Prozess mehrere solcher "einfachen" Faktoren abgefragt werden, also z.B. email + ausgedruckter Code, oder SMS + Postanschrift etc..

  7. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: elgooG 05.11.19 - 11:44

    Bruteforce mag nicht möglich sein, aber die Firmware kann Bugs enthalten. Der Person die den Stick verloren hat bringt es zwar ein Gefühl von Sicherheit, dass die Konten höchstwahrscheinlich sicher sind, aber das bringt wenig, wenn man sich selbst auch ausgesperrt hat.

    Um dieses Aussperren zu verhindern setzen die Betreiber deshalb weiterhin auf unsichere Fallback-Methoden wie: Sicherheitsabfragen, SMS und EMail-Verifikation, die noch einfacher anzugreifen sind.

    Bei den meisten Anbietern ist auch mit aktiven Webauth, weiterhin der normale Login mit Benutzer und Kennwort möglich, was das ganze um so mehr ad absurdum führt. Die Hardware-Keys werden einfach zusätzlich hinterlegt, sind aber kein Ersatz.

    Bei Google, Microsoft und Dropbox braucht man auch jeweils einen anderen Browser für das Login. Microsoft erlaubt nur Windows 10 und Edge, will ich auf meinen Google Account brauche ich Chrome zumindest zur Einrichtung, dann funktioniert zumindest das Anmelden auch mit Firefox. Dropbox funktioniert nur mit Chrome.

    Kann Spuren von persönlichen Meinungen, Sarkasmus und Erdnüssen enthalten. Ausdrucke nicht für den Verzehr geeignet. Ungelesen mindestens haltbar bis: siehe Rückseite

  8. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Vögelchen 05.11.19 - 11:57

    tzarchen schrieb:

    > Die Höchste Sicherheit bietet natürlich der Pin für den Key.

    PIN als Passwörter sind ein schlechter Scherz!

  9. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: elcaron 05.11.19 - 11:58

    Nicht, wenn die Hardware nach drei Versuchen dichtmacht.

  10. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: My1 05.11.19 - 12:07

    Vögelchen schrieb:
    --------------------------------------------------------------------------------
    > tzarchen schrieb:
    >
    > > Die Höchste Sicherheit bietet natürlich der Pin für den Key.
    >
    > PIN als Passwörter sind ein schlechter Scherz!

    erstens es wird zwar PIN genannt aber muss laut specs 64 UTF8 zeichen können, also du kannst das passwörter machen.

    2) nach je 3 fehlversuchen hintereinander muss du den stick abziehen und nach 8 total wird alles was PIN braucht gesperrt.

    Asperger inside(tm)

  11. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Anonymer Nutzer 05.11.19 - 13:22

    Wenn ich dir heute mein Passwort sage oder du es durch einen Leak herausfindest, brauchst du immer noch die Hardware.

    Aus 'ich crack mal alles was ich im Internet erwische' wird ein 'ich brauch Zugang zu deiner Person'.

  12. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Olliar 05.11.19 - 16:48

    Yo schrieb:
    --------------------------------------------------------------------------------
    > Also ich finde es auch irrwitzig diese Sticks. Da basteln sie irgendwelche
    > Superduper-Verschlüsselungsalgorythmen und kloppen die dann in Hardware in
    > Stick-Form.

    Vom Verkaufen von Hardware kann man gut leben.


    > Und das beste ist dann, dass man für die Benutzung des Sticks immer noch
    > ein Passwort braucht. Wo bitte ist da der Mehrwert?!?

    Der Mehrwert ist klar:
    Bei keinem Provider gibt es mehr eine Datenbank mit den Logindaten.
    Die eigentlich Login daten liegen da wo sie hingehören:
    Beim User. Ausschließlich!

    DAS ist der Große Gewinn.

    DEN könnte man allerdings auch mit einer Software-Lösung erreichen.
    Zwar könnten die privaten Keys dann beim User von einem Virus kopiert werden.
    Das müßte bei jedem User geschehen.



    > Da gehts doch nur darum wieder neuen Elektroschrott zu verkaufen.

    100% ACK.
    Und manche Journalisten (nicht die von Golem, sondern die von H...) übernehmen -kritiklos-
    die Jubel-Phrasen des Marketings der Anbieter. Ja spielen die Probleme klein.
    ("Einen Haustürschlüssel können man ja auch verlieren". Emm, ja. Damit bekomme ich dann maximal 2 Türen auf, aber nicht auch noch meinen Tresor und die Kassette mit den Goldstücken darin...)

    Das Verfahren ist toll!
    Aber das man das nur per Hardware anbietet, so das es kein Backup geben kann, ist das Todesurteil, aus reiner Profisucht.

  13. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: treysis 05.11.19 - 16:53

    elgooG schrieb:
    --------------------------------------------------------------------------------
    > Bruteforce mag nicht möglich sein, aber die Firmware kann Bugs enthalten.
    > Der Person die den Stick verloren hat bringt es zwar ein Gefühl von
    > Sicherheit, dass die Konten höchstwahrscheinlich sicher sind, aber das
    > bringt wenig, wenn man sich selbst auch ausgesperrt hat.
    >
    > Um dieses Aussperren zu verhindern setzen die Betreiber deshalb weiterhin
    > auf unsichere Fallback-Methoden wie: Sicherheitsabfragen, SMS und
    > EMail-Verifikation, die noch einfacher anzugreifen sind.
    >
    > Bei den meisten Anbietern ist auch mit aktiven Webauth, weiterhin der
    > normale Login mit Benutzer und Kennwort möglich, was das ganze um so mehr
    > ad absurdum führt. Die Hardware-Keys werden einfach zusätzlich hinterlegt,
    > sind aber kein Ersatz.

    Najo, zumindest kann ich mir für diese Dienste dann ein wirklich sicheres Passwort ausdenken, und kann mich trotzdem unkompliziert einloggen.

    Eher frage ich mich: was bringt mir der Hardware-Key im Vergleich zu im Browser hinterlegten Anmeldeinformationen? Solange ich den Stick nicht einfach irgendwo an öffentlichen bzw. fremden Rechnern verwenden kann, bringt er mir nix.

    Was anderes wäre eine Nutzung im Zusammenhang mit 2FA: also den Key als zusätzlicher Faktor zum Passwort. Dann lasse ich den Key im Rechner. Und wer mein Passwort errät, kommt halt von seinem eigenen Rechner trotzdem nicht rein. Und für unterwegs müsste der Stick natürlich NFC unterstützen, damit ich ihn am Smarty als zweiten Faktor einsetzen kann.
    Die Passwörter muss ich mir dann entweder doch noch merken oder eben im Browser hinterlegen.

  14. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Olliar 05.11.19 - 16:55

    cryptohacker1337 schrieb:
    --------------------------------------------------------------------------------

    > Generell spricht nichts dagegen als Backup Lösung (schlüsseldienst) auf
    > Reset-Codes etc. zurückzufallen, wenn im Recovery-Prozess mehrere solcher
    > "einfachen" Faktoren abgefragt werden,
    > also z.B. email + ausgedruckter Code, oder SMS + Postanschrift etc..

    Du hast die Idee hinter Fido nicht verstanden!

    Denn der Witz an Fido ist, das der Provider ebend NICHT solche Daten speichern muß.
    Das man ebend NICHT solche zentralen (Schlüssel-Dienste) wie Facebook-login braucht
    dass es eben NICHT gigantische, zentrale Datenbanken gibt.

    Aber ist ist klar das staatliche Dienste (die jederzeit zugriff auf diese Backdoors hätten)
    dem Fido verboten haben eine kostenlose Software lösung oder ein praktikables anzubieten.
    Dann müsste diese auf den Rechner des Opfers, und könnten sich nicht unbemekrt anmelden.
    Aber da es so mit fifo2 nix wird...

  15. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: My1 05.11.19 - 16:59

    zumindest u2f also ohne PIN gibts als app.

    https://krypt.co/

    dass es kein Backup gibt, sondern man extra Hardware braucht ist nicht nur Profitsucht.

    der sinn ist halt dass der key nur un der Hardware existiert und man halt wenn man nicht gerade resident keys nutzt (von denen es eh nur begrenzt gibt) wissen muss WEN man einloggen will.

    der sinn ist halt dass die keys eben sehr sicher sind. man kann ja auch fallback methoden erstellen als seite die es erlauben reinzukommen wenn man seine Keys verlegt hat.

    dazu gibt es zumindest bei U2F auch keys die nur 5,50¤ auf amazon kosten, also nicht die welt.

    Asperger inside(tm)

  16. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: Olliar 05.11.19 - 17:02

    Sicaine schrieb:
    --------------------------------------------------------------------------------
    > Wenn ich dir heute mein Passwort sage oder du es durch einen Leak
    > herausfindest, brauchst du immer noch die Hardware.

    Genauer:
    den Zugriff auf den privaten Key dieser einen Person!
    Das der in einer eigenen Hardware steckt ist nett und -beri den Preisen- sehr lukrativ, aber nicht zwingend.

    > Aus 'ich crack mal alles was ich im Internet erwische' wird ein
    >'ich brauch Zugang zu deiner Person'.

    Sehr schön gesagt.

    DAS ist der Vorteil von Fido.
    DAS funktioniert aber auch ohne Hardware aber mit Backup-Möglichkeit.

    Ein Lauscher muss bei Fido auf meinem Rechner kommen.
    Hey, wenn er das kann, brauche ich keine Hardware:
    Dann muß er nur solange warten, bis ich mich anmelde.
    oder er löst das Anmelden selbst aus...(es gab USB-Keys, beidenen man nicht mal eine Taste drücken mußte...)

  17. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: My1 05.11.19 - 17:09

    Olliar schrieb:
    --------------------------------------------------------------------------------
    > cryptohacker1337 schrieb:
    > ---------------------------------------------------------------------------
    > -----
    >
    > > Generell spricht nichts dagegen als Backup Lösung (schlüsseldienst) auf
    > > Reset-Codes etc. zurückzufallen, wenn im Recovery-Prozess mehrere
    > solcher
    > > "einfachen" Faktoren abgefragt werden,
    > > also z.B. email + ausgedruckter Code, oder SMS + Postanschrift etc..
    >
    > Du hast die Idee hinter Fido nicht verstanden!
    >
    > Denn der Witz an Fido ist, das der Provider ebend NICHT solche Daten
    > speichern muß.
    > Das man ebend NICHT solche zentralen (Schlüssel-Dienste) wie Facebook-login
    > braucht
    > dass es eben NICHT gigantische, zentrale Datenbanken gibt.
    >
    > Aber ist ist klar das staatliche Dienste (die jederzeit zugriff auf diese
    > Backdoors hätten)
    > dem Fido verboten haben eine kostenlose Software lösung oder ein
    > praktikables anzubieten.
    > Dann müsste diese auf den Rechner des Opfers, und könnten sich nicht
    > unbemekrt anmelden.
    > Aber da es so mit fifo2 nix wird...


    Actually wenn man bei der Fido Alliance seite nachliest gibts sogar die möglichkeit sich softtokens zertifizieren zu lassen, dazu sind der Android Keystore bzw Safetynet auch verfahren die bei Webauthn erlaubt sind, und TPM gibts technisch gesehen auch (also mehr oder weniger in den meisten aktuellen komplett-computern in irgendeiner form vorhanden, da MS das ja seit ner weile verlangt bei PCs die mit windows verkauft werden), nur iirc keine große implementation von,

    für U2F gibts bspw auch
    https://krypt.co/ als direktes beispiel einer App die das kann.

    Asperger inside(tm)

  18. Re: Passwortlose Zukunft wird so nicht kommen

    Autor: My1 06.11.19 - 00:57

    Olliar schrieb:
    --------------------------------------------------------------------------------
    > Ein Lauscher muss bei Fido auf meinem Rechner kommen.
    > Hey, wenn er das kann, brauche ich keine Hardware:
    > Dann muß er nur solange warten, bis ich mich anmelde.
    > oder er löst das Anmelden selbst aus...(es gab USB-Keys, beidenen man nicht
    > mal eine Taste drücken mußte...)

    das ist nicht mal so Simpel. bei Windows 10 1093 gehen alle Fido2 requests direkt via Windows an den Key und windows blockiert direktzugriff für Programme die keine Adminrechte haben, und das Fenster der Windows Sicherheit sagt dir wo du dich anmelden willst, und es könnte sicher irgendwann noch mehr gehen, denn eine extension für transaktionsdaten gibts bereits (da könnte bspw der angenommene Internetprovider des Users seitens der website gezeigt werden, was ein phishing NOCH schwerer macht, da man nicht einfach nen Login für China machen kann.)

    dazu sind die U2F keys ohne taste (zumindest der den ich habe) so gemacht dass die beim request angesteckt werden müssen und danach wieder abgezogen werden müssen bevor wieder was signiert wird.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. Atelier Goldner Schnitt GmbH, Münchberg
  2. Madsack Market Solutions GmbH, Hannover
  3. über duerenhoff GmbH, Raum Mannheim
  4. Deutsche Rentenversicherung Bund, Berlin

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (u. a. MSI Optix G24C für 155,00€, Asus VP278H für 125,00€, LG 27UD59-W für 209,00€ und HP...
  3. 1439,90€ (Vergleichspreis: 1530,95€)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Computerlinguistik: Bordstein Sie Ihre Erwartung!
Computerlinguistik
"Bordstein Sie Ihre Erwartung!"

Ob Google, Microsoft oder Amazon: Unternehmen befinden sich im internationalen Wettlauf um die treffendsten Übersetzungen. Kontext-Integration, Datenmangel in kleinen Sprachen sowie fehlende Experten für Machine Learning und Sprachverarbeitung sind dabei immer noch die größten Hürden.
Ein Bericht von Maja Hoock

  1. OpenAI Roboterarm löst Zauberwürfel einhändig
  2. Faceapp Russische App liegt im Trend und entfacht Datenschutzdebatte

Support-Ende von Windows 7: Für wen Linux eine Alternative zu Windows 10 ist
Support-Ende von Windows 7
Für wen Linux eine Alternative zu Windows 10 ist

Windows 7 erreicht sein Lebensende (End of Life) und wird von Microsoft künftig nicht mehr mit Updates versorgt. Lohnt sich ein Umstieg auf Linux statt auf Windows 10? Wir finden: in den meisten Fällen schon.
Von Martin Loschwitz

  1. Lutris EA verbannt offenbar Linux-Gamer aus Battlefield 5
  2. Linux-Rechner System 76 will eigene Laptops bauen
  3. Grafiktreiber Nvidia will weiter einheitliches Speicher-API für Linux

Digitalisierung: Aber das Faxgerät muss bleiben!
Digitalisierung
Aber das Faxgerät muss bleiben!

"Auf digitale Prozesse umstellen" ist leicht gesagt, aber in vielen Firmen ein komplexes Unterfangen. Viele Mitarbeiter und Chefs lieben ihre analogen Arbeitsmethoden und fürchten Veränderungen. Andere wiederum digitalisieren ohne Sinn und Verstand und blasen ihre Prozesse unnötig auf.
Ein Erfahrungsbericht von Marvin Engel

  1. Arbeitswelt SAP-Chef kritisiert fehlende Digitalisierung und Angst
  2. Deutscher Städte- und Gemeindebund "Raus aus der analogen Komfortzone"
  3. Digitalisierungs-Tarifvertrag Regelungen für Erreichbarkeit, Homeoffice und KI kommen

  1. Autohersteller: Maserati will Elektroautos mit Sound ausstatten
    Autohersteller
    Maserati will Elektroautos mit Sound ausstatten

    Maserati wird zwei elektrisch angetriebene Autos auf den Markt bringen und hat dafür einen eigenen Antriebsstrang entwickelt. Die Elektroautos sollen ein unverwechselbares Fahrgeräusch von sich geben.

  2. E-Roller: Bird übernimmt Berliner E-Scooter Circ
    E-Roller
    Bird übernimmt Berliner E-Scooter Circ

    Bird hat die Berliner Firma Circ übernommen. Beide Unternehmen bieten E-Scooter im Verleih an. Mit einem Schlag wird Bird so zu einem wichtigen Anbieter in Europa.

  3. Deutsche Telekom: Erstmals LTE-Datentarife von Congstar
    Deutsche Telekom
    Erstmals LTE-Datentarife von Congstar

    Congstar bietet erstmals reine Datentarife mit LTE-Abdeckung an. Im Zuge dessen werden sowohl das ungedrosselte Datenvolumen als auch die maximale Download- und Upload-Geschwindigkeit erhöht.


  1. 07:30

  2. 07:14

  3. 06:29

  4. 17:19

  5. 16:55

  6. 16:23

  7. 16:07

  8. 15:15