Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › U2F: Yubico bringt winzigen Yubikey…

Für mich nicht nachvollziehbar

  1. Thema

Neues Thema Ansicht wechseln


  1. Für mich nicht nachvollziehbar

    Autor: M.P. 25.09.17 - 16:24

    > Es wird vom Hersteller explizit damit beworben, dass es dauerhaft ins Gerät eingesteckt wird.

    Da kann man die Zweifaktor-Authentisierung auch gleich lassen...


    Den Autoschlüssel zieht man ja auch ab, wenn man aus dem Auto aussteigt ...

  2. Re: Für mich nicht nachvollziehbar

    Autor: mbieren 25.09.17 - 16:35

    *hm* nun ja. Man darf halt beim Verlassen des Gerätes abziehen nicht vergessen. Ohne Password ist der Dongle auch wertlos. Aber im Prinzip hast Du vollkommen Recht

  3. Re: Für mich nicht nachvollziehbar

    Autor: sniner 25.09.17 - 17:04

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > > Es wird vom Hersteller explizit damit beworben, dass es dauerhaft ins
    > Gerät eingesteckt wird.
    >
    > Da kann man die Zweifaktor-Authentisierung auch gleich lassen...

    Jetzt noch ein Postit mit dem Passwort dran kleben und es kann nichts mehr schiefgehen :-D

  4. Re: Für mich nicht nachvollziehbar

    Autor: beejayone 25.09.17 - 17:18

    Ja, das Auto lässt man aber auch unbeobachtet in der Gegend stehen. Auf dein Notebook trifft das aber vermutlich nicht zu, das lässt man in der Regel selten unbeaufsichtigt. Und wenn doch, kann man das Ding halt doch abziehen.

    Analog dazu: Du steigst aus dem Auto aus und bleibst daneben stehen -> Schlüssel kann stecken bleiben (sofern man nicht Angst hat, dass das Auto sich selbst abschließt und man sich ausgesperrt hat).

    Es geht bei der Zwei-Faktor-Authentifizierung ja auch nicht nur drum, dass jemand an DEINEM Rechner Unfug treibt, sondern eher jemand aus "der Ferne". Stichwort Datenbank-Hacks, Leaks etc. Und der Schluri braucht dann immer noch Zugriff auf den Yubikey. Ob dieser dann entweder in deinem Notebook steckt oder in der Hosentasche/am Schlüsselbund ist für den chinesischen/amerikanischen/russischen Hacker gleich blöd.

    Von daher ist ein "im Laptop stecken lassen" gar nicht mal so ganz doof.

  5. Re: Für mich nicht nachvollziehbar

    Autor: My1 25.09.17 - 18:04

    Genau vor allem da malware das teil net einfach auslösen kann. Da musst du schon das ding berühren.

    Asperger inside(tm)

  6. Re: Für mich nicht nachvollziehbar

    Autor: dEEkAy 25.09.17 - 21:29

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > > Es wird vom Hersteller explizit damit beworben, dass es dauerhaft ins
    > Gerät eingesteckt wird.
    >
    > Da kann man die Zweifaktor-Authentisierung auch gleich lassen...
    >
    > Den Autoschlüssel zieht man ja auch ab, wenn man aus dem Auto aussteigt ...


    Zwei-Faktor-Authentifizierung mag zwar sicher sein, aber verdammt nervig. Für jeden Login eine e-Mail bestätigen (auch wenn mir das schon den ein oder anderen Account gerettet hat) oder irgend welche extra Pins eingeben nervt.

    So hat man den Key drin, logged sich ein und der zweite Faktor wird auch direkt erkannt. Gehe ich weg, nehme ich den Dongle mit.

  7. Re: Für mich nicht nachvollziehbar

    Autor: My1 25.09.17 - 21:36

    Dazu kommt das mail keine richtige 2fa ist. Und totp vom handy is Grenzwertig da man den key auslesen kann. U2f oder eben https mit client cert auf ner smartcard, das sind richtige 2fas mit wissen und Besitz.

    Asperger inside(tm)

  8. Re: Für mich nicht nachvollziehbar

    Autor: nietscherarek 26.09.17 - 00:08

    Die Yubikeys kann man als Smartcard benutzen.

  9. Re: Für mich nicht nachvollziehbar

    Autor: My1 26.09.17 - 00:32

    nietscherarek schrieb:
    --------------------------------------------------------------------------------
    > Die Yubikeys kann man als Smartcard benutzen.


    das ist mir vollends bewusst, da ich diese funktion selbst nutze.

    und eben damit dass der sowohl U2F als auch smartcard kann ist das ding ein Ideales tool für 2FA.

    Asperger inside(tm)

  10. Re: Für mich nicht nachvollziehbar

    Autor: amagol 26.09.17 - 00:38

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > > Es wird vom Hersteller explizit damit beworben, dass es dauerhaft ins
    > Gerät eingesteckt wird.
    > Da kann man die Zweifaktor-Authentisierung auch gleich lassen...
    > Den Autoschlüssel zieht man ja auch ab, wenn man aus dem Auto aussteigt ...

    Liegt dran wogegen man sich absichern moechte. Der Key verhindert dass sich jemand von einem anderen Rechner ohne Key einloggt, oder das eine App dies ohne explizite Berechtigung macht (ich nehme an man muss ihn jedesmal anfassen zum Aktivieren).

    Sollte dein Key gestohlen werden, musst du ihn natuerlich sofort deaktivieren.

  11. Re: Für mich nicht nachvollziehbar

    Autor: My1 26.09.17 - 00:48

    amagol schrieb:
    --------------------------------------------------------------------------------
    > M.P. schrieb:
    > ---------------------------------------------------------------------------
    > -----
    > > > Es wird vom Hersteller explizit damit beworben, dass es dauerhaft ins
    > > Gerät eingesteckt wird.
    > > Da kann man die Zweifaktor-Authentisierung auch gleich lassen...
    > > Den Autoschlüssel zieht man ja auch ab, wenn man aus dem Auto aussteigt
    > ...
    >
    > Liegt dran wogegen man sich absichern moechte. Der Key verhindert dass sich
    > jemand von einem anderen Rechner ohne Key einloggt, oder das eine App dies
    > ohne explizite Berechtigung macht (ich nehme an man muss ihn jedesmal
    > anfassen zum Aktivieren).
    >
    > Sollte dein Key gestohlen werden, musst du ihn natuerlich sofort
    > deaktivieren.

    exakt. aber das gute ist, dass eben nicht wie bei einigen anderen methoden das geheimnis einfach mal kopiert werden kann, ohne den stick kaputt zu machen sondern man wirklich den stick braucht, denn beim zerstören sollte auch der key verschwinden.

    und sobald man merkt dass der stick weg ist, dann muss man den halt entfernen.

    Asperger inside(tm)

  12. Re: Für mich nicht nachvollziehbar

    Autor: Nibbels 26.09.17 - 03:09

    U2F: Darum kauft man sich immer zwei+ solcher Keys und registriert mehrere ;)
    Das ist so vorgesehen.

    LG

  13. Re: Für mich nicht nachvollziehbar

    Autor: My1 26.09.17 - 09:24

    Nibbels schrieb:
    --------------------------------------------------------------------------------
    > U2F: Darum kauft man sich immer zwei+ solcher Keys und registriert mehrere
    > ;)
    > Das ist so vorgesehen.
    >
    > LG

    weiß ich auch, ich schreibe eine U2F implemenation für ne website.

    aber man muss den alten halt rausnehmen damit der der den stick hat nicht rein kommt.

    das ist der punkt, die sticks können nicht geklont werden und eine Vernünftige seite gibt dem user eine möglichkeit die keys zu benennen, sodass man den richtigen absägen kann..

    Asperger inside(tm)

  14. Re: Für mich nicht nachvollziehbar

    Autor: gaym0r 26.09.17 - 10:46

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > > Es wird vom Hersteller explizit damit beworben, dass es dauerhaft ins
    > Gerät eingesteckt wird.
    >
    > Da kann man die Zweifaktor-Authentisierung auch gleich lassen...
    >
    > Den Autoschlüssel zieht man ja auch ab, wenn man aus dem Auto aussteigt ...

    Ahja. Ich nehme an du weißt nicht wie man diesen Key benutzt?

  15. Re: Für mich nicht nachvollziehbar

    Autor: M.P. 26.09.17 - 11:39

    Naja, einen steckenden Autoschlüssel muss der Dieb auch anfassen, um das Auto zu starten.
    Oder scannt dieser Yubikey den Fingerabdruck?

  16. Re: Für mich nicht nachvollziehbar

    Autor: My1 26.09.17 - 11:45

    M.P. schrieb:
    --------------------------------------------------------------------------------
    > Naja, einen steckenden Autoschlüssel muss der Dieb auch anfassen, um das
    > Auto zu starten.
    > Oder scannt dieser Yubikey den Fingerabdruck?

    aber der dieb muss bei deinem Auto sein. der dinn von dem 2. Faktor beim Computer ist es, primär weit entfernten angreifern die wege zu klauen, und wenn das ding dauerhaft an meinem Laptop klemmt ist es auch nicht so schlimm weil der dieb halt wahlweise meinen laptop oder meinen stick mitnehmen muss um sich als mich einzuloggen, und da es 2FA ist braucht man dein passwort UND den stick.

    und während ein keylogger das PW mitschneiden kann, gibts beim U2F nur öffentliche daten, da es challenge response ist.

    Asperger inside(tm)

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. EUROGATE GmbH & Co. KGaA, KG, Hamburg, Bremerhaven
  2. BWI GmbH, Meckenheim, München, deutschlandweit
  3. Reck & Co. GmbH, Bremen
  4. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 49,94€
  2. 19,95€
  3. 13,95€
  4. (u. a. Grafikkarten, SSDs, Ram-Module reduziert)


Haben wir etwas übersehen?

E-Mail an news@golem.de


5G-Report: Nicht jedes Land braucht zur Frequenzvergabe Auktionen
5G-Report
Nicht jedes Land braucht zur Frequenzvergabe Auktionen

Die umstrittene Versteigerung von 5G-Frequenzen durch die Bundesnetzagentur ist zu Ende. Die Debatte darüber, wie Funkspektrum verteilt werden soll, geht weiter. Wir haben uns die Praxis in anderen Ländern angeschaut.
Ein Bericht von Stefan Krempl

  1. AT&T Testnutzer in 5G-Netzwerk misst 1,7 GBit/s
  2. Netzausbau Städtebund-Chef will 5G-Antennen auf Kindergärten
  3. SK Telecom Deutsche Telekom will selbst 5G-Ausrüstung entwickeln

Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
Wolfenstein Youngblood angespielt
"Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
Von Peter Steinlechner


    Ocean Discovery X Prize: Autonome Fraunhofer-Roboter erforschen die Tiefsee
    Ocean Discovery X Prize
    Autonome Fraunhofer-Roboter erforschen die Tiefsee

    Öffentliche Vergaberichtlinien und agile Arbeitsweise: Die Teilnahme am Ocean Discovery X Prize war nicht einfach für die Forscher des Fraunhofer Instituts IOSB. Deren autonome Tauchroboter zur Tiefseekartierung schafften es unter die besten fünf weltweit.
    Ein Bericht von Werner Pluta

    1. JAB Code Bunter Barcode gegen Fälschungen

    1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
      Funklöcher
      Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

      Nach den Vorwürfen eines Ortsteilbürgermeisters zu arrogantem Vorgehen bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

    2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
      Bethesda
      Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

      Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

    3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
      Roli Lumi
      Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

      Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


    1. 18:13

    2. 17:54

    3. 17:39

    4. 17:10

    5. 16:45

    6. 16:31

    7. 15:40

    8. 15:27