Forum: Netzwelt
Fido2: So funktioniert der Passwort-Nachfolger
c't

Das neue Log-in-Verfahren Fido2 hat das Zeug, das Passwort abzulösen. Die Experten von der "c't" erklären, was man über die neue Technik wissen muss.

Seite 2 von 3
Referendumm 20.10.2019, 13:44
10. Alles ganz nett,

aber weckt mich, wenn es für die breite Masse nutzbar ist.

Sorry, aber muss man/frau sich jetzt bei diesen Klimbim-Diensten wie Google, GitHub, Dropbox, Twitter und BoxCryptor etc. erst einmal anmelden, um dann Fido2 nutzen zu können?

Was ist mit ebay? Was mit amazon? Was mit Conrad / Voelkner etc., was mit Banken und Sparkassen?

Letztere gehen jetzt dazu über, eine "eigene" Hardwarebox (TAN-Generator) durchdrücken zu wollen, weil das bis dato sehr sichere smsTAN, mTAN abgeschaltet wird (smsTAN, mTAN ist sicher, so man/frau die Zwei-Geräte-Authentifizierung nutzt und nicht so dämlich ist, alles per EINEM Smartphone machen zu wollen; noch sicherer: SMS per Festnetz oder durch Einfach-Handy).

Ach ja, eine gaaanz tolle Möglichkeit ist noch eine App der Bank / Sparkasse zu nutzen - auch toll, mal wieder nur EIN Gerät; inklusive massive Schnüffeleien durch die Bank / Sparkasse.

Fazit: Bis jetzt nur Spielkram für Nerds.

Beitrag melden Antworten / Zitieren
draco2007 20.10.2019, 14:04
11.

Zitat von karla.hofer
Ein Passwort nicht. "Das Einloggen ohne Passwort funktioniert bereits bei Microsoft.com und den daran angeschlossenen Diensten wie Outlook.com, Office 365 und OneDrive, sofern Sie den Browser Edge nutzen." Also nur für die beiden Edge-Nutzer dann.
Den hat Windows doch ohnehin installiert...wirklich "nutzen" müssen sie den Edge dann doch nicht.

Schon früher hat Windows für INTERNE Vorgänge den Internet Explorer genutzt...
Wo ist das Problem?

Beitrag melden Antworten / Zitieren
yournamehere 20.10.2019, 14:25
12. Das wichtigste fehlt...

Mag ja ganz gut sein mit Fido2 und so. Aber woher kriegt man denn eigentlich so einen Authenticator? Der muss ja von einer vertrauenswürdigen Quelle kommen, um sicherzugehen, dass man da keinen "Fake" bekommt, der nur so tut als ob und in Wirklichkeit z.B. vorherbestimmte Tokens generiert.

Beitrag melden Antworten / Zitieren
tafka_neowave 20.10.2019, 15:16
13.

Zitat von peho65
Werter @Vayreon, bevor Sie persönlich werdend rumpöbeln, denken Sie mal drüber nach, wie weit Sie mit Ihrem Haustürschlüssel kommen, wenn Sie ihn nicht aus dem Etui holen.
@Vayreon hat vollumfänglich recht - informieren Sie sich zum Thema (Public-Private-Key-Authentifizierung). Ich weiß nicht, ob der obrige Text die Technik (systematisch gesehen nicht schwer zu verstehen) wieder gibt (tl;dr)... soviel sei aber festgestellt: Fido2 ist aus sicherheits- und datenschutztechnischer Hinsicht mit das (Aller-) Beste, was bisher in diesem Bereich nicht nur gedacht, sondern auch (äußerst praktikabel) umgesetzt wurde. Und... selbst wenn man's nicht versteht, es funzt trotzdem :-)

Beitrag melden Antworten / Zitieren
Grestorn 20.10.2019, 16:21
14.

Zitat von peho65
Werter @Vayreon, bevor Sie persönlich werdend rumpöbeln, denken Sie mal drüber nach, wie weit Sie mit Ihrem Haustürschlüssel kommen, wenn Sie ihn nicht aus dem Etui holen.
Das Prinzip beruht darauf, dass der im Dongle gespeicherte Schlüssel nur dazu dient eine Challenge mit einem privaten Key zu codieren.

Das Schloss kann mit einem Public Key prüfen, ob die Codierung korrekt ist, dabei muss der private Key nicht bekannt sein.

Sprich: Der private Key verlässt das Dongle nie und der Key kann auch nicht kopiert werden (wenn er korrekt gebaut ist).

Das ist ein völlig übliches, assymetrisches Codierungsverfahren, wie es sie zu 1000en gibt. Nur weil Sie die Technik nicht kennen, sollten Sie sich nicht zu solchen herablassenden Bemerkungen versteigen.

Beitrag melden Antworten / Zitieren
spigalli 20.10.2019, 17:15
15. Schlüssel auslesen doch möglich?

Zitat von peho65
Wenn der Schlüssel nicht ausgelesen werden kann, wie kann er dann benutzt werden? Soll heißen, natürlich muss der Schlüssel ausgelesen werden können. Und wenn das System, in das ich mich einloggen will, das kann, dann kann das niemand anderer? Soso.
Dazu gibt es verschiedene Varianten:
- in der ersten Variante finden alle Operationen, wie Verschlüsseln, Entschlüsseln und Sitzungsschlüssel Generieren auf dem Token statt. Daher müssen die Geheimnisse das Token nicht verlassen.
- in einer zweiten Variante kommt Public-Key Technik und ein kryptografisch sicherer Schlüsselaustauch (siehe: Diffie-Hellman Protokol) zum Einsatz. Damit kann man Sitzungsschlüssel generieren, und rekonstruieren ohne seine eigenen Geheimnisse preisgeben zu müssen oder Geheimnisse der Gegenseite zu kennen.

Nein, einfach ist das nicht. Möglich ist es.

Beitrag melden Antworten / Zitieren
intercooler61 20.10.2019, 17:26
16. @peho65: ich erklär's Ihnen

Zitat von peho65
Wenn der Schlüssel nicht ausgelesen werden kann, wie kann er dann benutzt werden? Soll heißen, natürlich muss der Schlüssel ausgelesen werden können. Und wenn das System, in das ich mich einloggen will, das kann, dann kann das niemand anderer? Soso.
Schön, wenn alle mit einem schimpfen, aber außer "fachkundigen" Stichworten oder Allgemeinplätzen keine Erklärung anbieten ...

Also dann: Man kann aus 1. einem _nicht_ auslesbaren Schlüssel und 2. einer (von Fall zu Fall wechselnden) Eingabe einen dritten Wert "errechnen", der von beiden Werten abhängt, de facto aber keinen Rückschluss auf einen der beiden Inputs ermöglicht (jedenfalls nicht für die nächsten 10-15 Jahre).

[…]

Man nennt sowas auch "one way function": Die Multiplikation ist einfach, der Rückweg gegenwärtig* praktisch nicht gangbar - also eine rechnerische "Einbahnstraße" (btw: Die gängige deutsche Übersetzung "EinWEGfunktion" ist sprachlich falsch und fachlich irreführend).

Verschiedene Partner geben Ihnen verschiedene Inputs vor, so dass sich für jeden Partner ein anderes Produkt ergibt und keiner mit seinem Wissen Ihre Identität bei anderen Partnern vorspiegeln kann. Das ist der Clou dabei.

* Krypto-Verfahren haben ganz allgemein eine begrenzte Haltbarkeit, da die verfügbare Rechenleistung steigt und (eher selten) neue Lösungsverfahren gefunden werden. Falls es in 20 Jahren ausreichend große Quantencomputer geben sollte, ließe sich damit u.a. das simple Primzahlprodukt knacken, auch für sehr große Zahlen.

Dies müssen Sie aber nur bei Daten im Hinterkopf behalten, die Ihnen in 20, 30 Jahren noch Nachteile bereiten könnten - z.B. einschlägige Gesundheitsdaten.

Sofern die Fido2-Macher ordentlich gearbeitet haben (dazu braucht man jetzt Vertrauen oder mehr Fachwissen), reicht es vorerst jedenfalls für den Hausgebrauch - auch als "2. Faktor" fürs Online-Banking, _wenn_ die Banken mitziehen (was sie mMn im Interesse der Einheitlichkeit, Einfachheit und Sicherheit tun sollten).

Beitrag melden Antworten / Zitieren
intercooler61 20.10.2019, 17:38
17. Nachtrag: Bitte nicht _zu_ wörtlich nehmen!

Zitat von intercooler61
[...] Stellen Sie sich (stark vereinfacht) vor, Ihr geheimer Schlüssel sei eine sehr große Primzahl. Ein Kommunikationspartner gibt Ihnen nun eine andere sehr große Primzahl als zweiten Input vor. Beide lassen sich relativ schnell multiplizieren. Der Rückweg (die Faktoren zu finden, wenn man nur das Produkt kennt) ist aber so aufwändig, dass Sie das errechnete Produkt relativ* "unbesorgt" dem Partner mitteilen und sich anschließend bei diesem damit legitimieren können, ohne dass er daraus Ihren geheimen Schlüssel ermitteln kann. [...] Verschiedene Partner geben Ihnen verschiedene Inputs vor, so dass sich für jeden Partner ein anderes Produkt ergibt und keiner mit seinem Wissen Ihre Identität bei anderen Partnern vorspiegeln kann. [...]
Um den Schlaumeiern zuvorzukommen: Die Primzahlmultiplikation als Beispiel ist (wie gesagt) aus didaktischen Gründen stark vereinfacht und _nicht_ zur Nachahmung empfohlen:

Die damit erzeugten Produkte haben den geheimen Schlüssel als gemeinsamen Teiler, was einen Angriff wesentlich erleichtert.

Beitrag melden Antworten / Zitieren
Newspeak 20.10.2019, 19:04
18. ...

Dass man den Stick nicht auslesen können soll, glaube ich nicht. Der Stick muss ja auslesbar sein, um ihn zu nutzen. Sowas wird immer behauptet, bis es dem ersten Nerd gelingt.

Und dann macht man sich abhängig von Google und anderen Firmen. Und braucht doch ein Passwort. Wozu sollte der Stick nochmal gut sein? Und irgendwann habe ich aufgehört, weiterzulesen, weil es im Vergleich zu einem Passwort viel zu kompliziert wird. Und wenn man den Stick verliert, sind gleich alle Passwörter komprommitiert. Alles total unsinnig, nur weil die Leute zu bequem sind.

Beitrag melden Antworten / Zitieren
sarang he 21.10.2019, 23:25
19.

Bitte diesen Artikel als Werbung deklarieren. Ähnliche Systeme die nicht ganz so sicher sind gibt es bereits seit Jahrzehnten und haben sich aus den gleichen Gründen als nicht für den allgemeinen Einsatz als praktikabel erwiesen, die bei diesem System als Nachteile beschrieben wurden

Beitrag melden Antworten / Zitieren
Seite 2 von 3