ComputerBase Menü
Aktuelles

Fido Key statt Eingabe von Passwörtern

D

Dandie

Cadet 2nd Year
Registriert
Juni 2022
Beiträge
18
Hallo,

ich habe mir von Kingston einen Fido Key mit Fingerabdruckscanner (Kensington VeriMark Desktop) für meinen Windows 10 PC zugelegt. Ich habe ihn auch erfolgreich für Windows Hello eingerichtet und Firefox kann auf den Key zugreifen (bspw. zur automatischen Eingabe von Kreditkartendaten).

So weit so schön. Nun möchte ich möglichst viele Passworteingaben durch einfachen Fingerabdruckscan des FIDO Keys ersetzen. Bisher habe ich die automatische Passwortvervollständigung von Firefox nur für relativ unkritische Seiten verwendet (Foren etc.). Ich hätte jetzt gerne, dass ich mir auch die Eingabe kritischer Passwörter, sowohl Online wie auch lokal, zuhause durch den Fingerabdruckscan ersetzen kann.

Bisher habe ich um Passwortmanager einen Bogen gemacht, einfach weil ein einzelner Hack ausreicht, um auch kritische Passwörter von mir zu erhalten. Ich hatte jetzt gehofft, dass es vielleicht eine Lösung gibt, die zwar einen Passwortmanager verwendet, aber der Fido Key diese erst entschlüsselt (per Fingerabdruckscan) und damit auch ein Hacker ohne Legitimation durch mich nicht an die Passwörter ran käme. Ist so eine Lösung denkbar?

Ideal wäre es wohl, wenn sehr kritische Seiten, bspw. Banken, den FIDO Key direkt verwenden würden. Alle anderen Online-Seiten über bspw. den Firefox Passwortmanager die Anmeldedaten (verschlüsselt und damit nicht hackbar) abrufen würden und lokal vielleicht noch ein Passwortmanager, für bspw. Veracrypt, EM Mail etc., die Logindaten (wiederum verschlüsselt per Fingerabdruckscan) abrufen würden.

Wichtig wäre mir dabei noch, dass ich auch ohne den Fidostick mich auf anderen Rechnern, bspw. auf der Arbeit, weiterhin regulär anmelden könnte, ohne dass der Passwortmanager dort dann nach meinem Fingerabdruck bzw. Fido Stick fragen würde.

Sorry, wenn das jetzt etwas kompliziert klang, aber vielleicht versteht ja jemand hier, was ich eigentlich will und kann mir sagen, welche Möglichkeiten ich zur Umsetzung hätte.
 
Ich überlege mir gerade ein Szenario, wo Biometrie besser ist als ein einzelnes, gutes Kennwort, das man sich merkt.

Mir fällt bloß keins ein.

Tipp: man kann dich dazu "überreden", deinen Finger draufzulegen. Das geht sogar, wenn du nicht mehr bei Bewußtsein bist. Mit einem Kennwort ist das nicht so einfach.

Und dabei gelte ich schon als paranoid ;)
 
Nun, das ist ganz simpel: Ein Kennwort eintippen dauert länger als den Finger auf den Scanner zu legen. Außerdem muss ich mir dafür nichts merken. Einen Passwortmanager wollte ich bisher aus oben genannten Gründen nicht. Wären die Passwörter aber irgendwie über den Fido Stick verschlüsselt und nur von diesem entschlüsselbar, dann wäre das für mich ein Argument einen solchen zu nutzen. Der Komfortgewinn käme dann noch hinzu.

Aber eigentlich auch egal. Ich wollte hier ja nicht rechtfertigen, warum ich das so will, sondern ich wollte wissen, ob und wie es gehen könnte, was ich da vorhabe.
 
Ein Passwort Satz mit Groß Klein und Sonderzeichen ist eigentlich ganz sicher.

Hoffe du hast noch einen 2ten FIDO Key sonst sperrst du dich aus wenn der Defekt geht
 
  • Gefällt mir
Reaktionen: Murray B.
Dandie schrieb:
weil ein einzelner Hack ausreicht, um auch kritische Passwörter von mir zu erhalten
Zum Vergrößern anklicken....

Dandie schrieb:
Wären die Passwörter aber irgendwie über den Fido Stick verschlüsselt und nur von diesem entschlüsselbar, dann wäre das für mich ein Argument einen solchen zu nutzen.
Zum Vergrößern anklicken....
Diese beiden Aussagen passen für mich nicht zusammen.

Ich wünsche dir natürlich trotzdem viel Erfolg bei der Suche nach einer Lösung für dein Problem.
 
Dandie schrieb:
Ein Kennwort eintippen dauert länger als den Finger auf den Scanner zu legen. Außerdem muss ich mir dafür nichts merken.
Zum Vergrößern anklicken....

witzig ist sowas dann immer, wenn man sich an dem Finger verletzt und der Abdruckscanner dann diesen nicht mehr erkennt.
Dann hat man keine Alternativen eingerichtet bzw konnte man es nicht, weil es keine Möglichkeit gab und schon steht man da und hat ein großes "UPS" sowie "UFF" und "und was nun?" im Gesicht stehen.

Kurz gesagt, du musst dir IMMER noch Zeug merken, ansonsten kann man damit ganz hart auf den Boden der Tatsachen aufschlagen.

Zudem hilft dir so etwas in privaten Umfeld kaum vor Fremdzugriff, denn ein Trojaner auf deinen Rechner "sieht" was dein Passwortmanager da eingibt und schreibt das mit genau wie bei einen Hack. Und wenn jemand bei dir einbricht und dich zwingt deinen Finger aufzulegen, haste du auch nichts gekonnt.
Kurz gesagt, ich persönlich halte im privaten umfeld nichts von Verschlüsselung, vorallem macht es im Havariefall eine Datenrettung unmöglich.
 
Naja, wenn du möchtest, dass du auch ohne Fido Stick auf alles zugreifen kannst, dann musst du dir entweder für all die Dienste (oder deinen Passwortmanager) einen anderen zweiten Faktor aussuchen oder es ganz mit dem zweiten Faktor lassen.
Denn dein Dienst kann nicht unterscheiden, ob du nun auf der Arbeit bist oder bei einem Freund und deshalb den zweiten Faktor nicht nutzen willst, oder ob jemand dein Passwort geklaut hat. Prinzipiell hast du dann weiterhin nur 1 Faktor und hast nicht wirklich was gewonnen.

Sonst speichern die Passwortmanager die Daten schon Ende zu Ende verschlüsselt ab und die werden bei dir auf dem Endgerät entschlüsselt. Wenn also bei denen eingebrochen wird, sollten deine Schlüssel nicht gefährdet sein.
Und selbst wenn dann jemand dein Passwortmanagerpasswort hat, dann braucht er noch den zweiten Schlüssel, um an deine Passwörter zu kommen.

Wenn du aber natürlich selbst gehackt wirst, dann hilft dir das alles nichts, weil die Passwörter dann halt bei der Verwendung abgegriffen werden können, da werden sie ja z.B. im Browser unverschlüsselt eingegeben.
In diesem Szenario wären nur Dienste gesichert, die FIDO direkt als zweiten Faktor nutzen, denn dabei verlässt dein Schlüssel nie deinen Stick, kann also auch nicht geklaut werden.
 
  • Gefällt mir
Reaktionen: Murray B.
Dandie schrieb:
Ideal wäre es wohl, wenn sehr kritische Seiten, bspw. Banken, den FIDO Key direkt verwenden würden.
Zum Vergrößern anklicken....
Es funktioniert an dieser Stelle aktuell nur bei wenigen Diensten, aber grundsätzlich durchaus mit einem aktuellen Windows 10/11 möglich.
https://www.borncity.com/blog/2018/11/21/passwortfreie-fido2-anmeldung-bei-microsoft/

Grundsätzlich ist sowas auch komplett ohne jegliche (lesbaren) Kennwörter möglich. Man muss dann aber natürlich wenigstens mehrere Geräte zur Authentifizierung festlegen, sonst wärst du schnell bei einem Geräteausfall alle deine Konten los.

Vielleicht eine kurze verständlichere Erklärung gibt es hier.
Testen auf webauthn.io
Haben Sie ein neueres Android-Handy oder einen Windows-10-PC mit aktiviertem Windows Hello (Fingerabdruck, PIN, Gesichtserkennung)? Dann surfen Sie damit mal mit dem Browser Edge oder Google Chrome auf die Webseite webauthn.io. Dort können Sie das Registrieren und Einloggen mit einem FIDO2-Schlüssel ausprobieren. Tippen Sie irgendeinen Benutzernamen ein. Wählen Sie bei Authenticator Type im Falle des Smartphones oder Windows-10-PCs die Option Platform (TPM). Klicken Sie auf Register. Nun fragt Ihr Gerät nach dem Fingerabdruck oder einer PIN, den/die Sie auf dem Gerät verwenden. Fertig – Sie sind registriert. Das Einloggen geht dann genauso einfach: Tippen Sie den Benutzernamen ein, tippen Sie auf Login, nun fragt beispielsweise das Android-Handy nach einem Fingerabdruck – voilà. Die auf der Site webauthn.io für Testzwecke angelegten Benutzernamen werden übrigens nach 24 Stunden gelöscht.
Zum Vergrößern anklicken....
https://www.pctipp.ch/praxis/sicherheit/so-funktionieren-fido-fido2-webauthn-2541235.html

Ansonsten grundsätzlich nach Windows und FIDO2 suchen und sich informieren.
 
Zuletzt bearbeitet:
Webauthn ist das was du willst.
Allerdings unterstützen das zwar die wesentlichen Betriebssysteme, aber nur die wenigsten Dienste
 
  • Gefällt mir
Reaktionen: Murray B.
Ja, das ist eben das Problem. Prinzipiell habe ich es ja auch eingerichtet auf meinem Rechner, aber außer zum Login oder für die erwähnten Kreditkartendaten in Firefox kann ich es wie erwähnt nicht nutzen.

Mir geht es auch nicht in erster Linie um einen Sicherheitsgewinn. Den wird man wohl nur dann wirklich bekommen, wenn die Dienste das direkt unterstützen, was derzeit eher selten der Fall ist. Ich will auch nicht eine 1 Faktor Authorisierung zu einer 2 Faktor machen, sondern möglichst komfortabel, zumindest auf diesem Rechner, meine Logins verwenden können, ohne dass sie ein Zweiter im Haushalt verwenden kann und auch möglichst gut vor Hackern geschützt.

Um einen Passwortmanager wird man wohl nicht rumkommen, so lange die Dienste und Programme Fido bzw. Windows Hello nicht direkt nutzen können/wollen.

Wenn ich also einen Passwortmanager auf dieser Maschine verwenden würde, welcher käme hier in Frage und welcher davon speichert die Passwörter lokal auf der Maschine so ab, dass sie nur noch mit dem Fido Stick entschlüsselt werden können? Das würde zumindest gegen eine Sicherheitslücke des Passwortmanagers schützen. Natürlich können Trojaner auch weiterhin die Passwörter bei Übertragung vom Manager in das Passwortfeld des Programms mitloggen. Dagegen kann man sich wohl nicht schützen. Auch Tasteneingaben kann ein Trojaner schließlich mitloggen. Dagegen ist man sowieso nie 100% gefeit.

Mein Fido Stick soll also erstmal nur den ersten Faktor komfortabel, nämlich durch Fingerabdruck, ersetzen. Da, wo 2 Faktor eingesetzt wird, bspw. bei Banken, wird ja meist ohnehin auf eine Smartphone App zugegriffen. Das wäre dann halt weiterhin der 2 Faktor, aber ich müsste auf beiden Geräten dann kein Passwort mehr eingeben.

Auf anderen Rechnern würde ich mich dann weiterhin mit den Passwörtern anmelden (müssen). Das wäre für mich akzeptabel und damit hätte ich bei Verlust des Sticks auch kein Problem.

Es geht mir also mehr um einen Komfortgewinn auf dieser einen Maschine und darum, dass andere nicht einfach lokal meine gespeicherten Passwörter verwenden können (wie bspw. beim Passwortmanager von Firefox).

Edit: Also es gibt ein Windows Hello Plugin für KeePass. Das speichert anscheinend den Master key in Windows Hello mit Hilfe der biometrischen Daten verschlüsselt in der Datenbank ab. Das geht schon in die Richtung dessen, was ich will. Ich sehe aber dabei noch zwei Haken:


1) Windows Hello lässt sich auch ohne Fingerabdruck, über das Windows Passwort, entsperren. Darüber käme ein Angreifer dann auch an mein Master Passwort von KeePass.

2) Die Passwörter im Passwort-Safe sind, meinem Verständnis nach, weiterhin mit dem Master Passwort von KeePass verschlüsselt, nicht mittels der biometrischen Daten des Scanners.

Was ich eigentlich will, ist eine Möglichkeit meine Passwörter so zu schützen, dass diese in jedem Fall immer nur mit den biometrischen Daten entschlüsselt werden können, also nur über den Zugriff auf den Fido Stick und meinem Fingerabdruck. Ist der nicht vorhanden, können die Passwörter nicht entschlüsselt werden, weder unter Kenntnis meines Windows Passworts, noch unter Kenntnis eines Master Passworts von KeePass.

Wenn mir der Fido Stick verloren geht oder ich aus anderen Gründen nicht mehr meine biometrischen Daten verwenden kann (Finger verwundet etc.), dann muss ich die Passwörter halt wieder manuell eingeben. Eine derartige Lösung suche ich eigentlich.
 
Zuletzt bearbeitet:
Hallo,

vielleicht funktioniert das bei Bitwarden: https://bitwarden.com/help/setup-two-step-login-fido/

Bitwarden kann man auch selbst hosten.
Wenn mir der Fido Stick verloren geht oder ich aus anderen Gründen nicht mehr meine biometrischen Daten verwenden kann (Finger verwundet etc.), dann muss ich die Passwörter halt wieder manuell eingeben. Eine derartige Lösung suche ich eigentlich.
Zum Vergrößern anklicken....

Du willst also alle Passwörter im Passwort-Manager und auf Papier (oder deinem Kopf) speichern?

1) Windows Hello lässt sich auch ohne Fingerabdruck, über das Windows Passwort, entsperren. Darüber käme ein Angreifer dann auch an mein Master Passwort von KeePass.
Zum Vergrößern anklicken....

Nicht an das Passwort, aber in den Safe.
Aber du kannst ja das Windows-Passwort für Dich behalten :-)

Gruß,
Hendrik
 
Der Gamechanger bei FIDO ist vor allem der Schutz gegen Phishing.

Das bietet leider Passwort + OTP auf einem zeiten Gerät auch nicht.

Zum freischalten von Passwortern sehe ich jetzt keinen Vorteil, außer es ist eben ein Webdienst wie Bitwarden. Ich finde KeepassXC nach wie vor deutlich überzeugender, wenn man nicht auf Gruppenfunktionen angewiesen ist.

Der Fingerabdruckscan ist nur ein weiterer Schutz gegen Zugriff von Dritten auf den Stick selbst.
Ergänzung ()

Dandie schrieb:
Ich hatte jetzt gehofft, dass es vielleicht eine Lösung gibt, die zwar einen Passwortmanager verwendet, aber der Fido Key diese erst entschlüsselt (per Fingerabdruckscan) und damit auch ein Hacker ohne Legitimation durch mich nicht an die Passwörter ran käme. Ist so eine Lösung denkbar?
Zum Vergrößern anklicken....

Ohne echte FIDO Unterstützung des benutzen Dienst sehe ich nicht wie das gehen soll. Sobald dein Passwortmanager freigeschaltett ist, könnte jemand mit Zugriff auf deinen PC Passwörter auslesen.
Ergänzung ()

Dandie schrieb:
Es geht mir also mehr um einen Komfortgewinn auf dieser einen Maschine und darum, dass andere nicht einfach lokal meine gespeicherten Passwörter verwenden können (wie bspw. beim Passwortmanager von Firefox).
Zum Vergrößern anklicken....

Hast du kein Masterpasswort im Firefox? Das würde auch den Zugriff von Dritten verhindern.

Aber viel wichtiger, ohne Masterpasswort liegen soweit ich weiß deine Passwörter unverschlüsselt rum.
Ergänzung ()

Dandie schrieb:
Bisher habe ich um Passwortmanager einen Bogen gemacht, einfach weil ein einzelner Hack ausreicht, um auch kritische Passwörter von mir zu erhalten.
Zum Vergrößern anklicken....
Das ist leider so. Wenn jemand Zugriff hast, hat man verloren. Da hilft nur zusätzlich OTP auf einem zweiten Gerät oder aktuelle Standards wie FIDO + Hardware.

Kritische Passwörter die kein OTP unterstützen evtl. teilen, einen Teil im Passwortmanager, den anderen kürzeren Teil offline auf Papier. So mache ich das. Dann bräuchte man Pappier + Zugriff auf den Tresor. Aber das ist auch kein echter Schutz, auch ein Keylogger bekommt dich so.

Und zwei Tresore verwenden, einen für tägliche Dinge, den anderen, seltener benutze für höhere Sicherheit. Ist kein 100% Schutz, aber verringert die Chance etwas.
 
Zuletzt bearbeitet:
prev schrieb:
Zum freischalten von Passwortern sehe ich jetzt keinen Vorteil, außer es ist eben ein Webdienst wie Bitwarden. Ich finde KeepassXC nach wie vor deutlich überzeugender, wenn man nicht auf Gruppenfunktionen angewiesen ist.
Zum Vergrößern anklicken....
Wie gesagt geht es mir nicht in ersteer Linie um mehr Sicherheit, sondern um mehr Komfort. Idealerweise will ich mehr Komfort, ohne an der Sicherheit Kompromisse machen zu müssen. Aus genannten Gründen kamen Passwortmanager für mich bisher nicht in Frage. Sind einfach ein viel zu attraktives Ziel für Hacker, auch wenn sie schwer zu knacken sind, lohnt es sich einfach.

Ich weiß nicht, ob Fido das her gibt, aber ich hatte mir vorgestellt, dass der FIdo Stick die Ver- und Entschlüsslung der Passwörter anhand der Biometriedaten vornimmt und der Passwortmanager die Passwörter nur in der verschlüsselten Form vorliegen hat. Das wäre sehr aufwändig zu knacken und würde mich quasi dazu überreden, doch einen Passwortmanager einzusetzen.
prev schrieb:
Der Fingerabdruckscan ist nur ein weiterer Schutz gegen Zugriff von Dritten auf den Stick selbst.
Zum Vergrößern anklicken....
Was für mich auch genau der Grund war, ein solches Modell zu wählen. Wenn der Stick permanent eingesteckt ist und eine Software auf diesen ohne jegliche Interaktion durch den Nutzer zugreifen kann, dann ist ja nicht wirklich was gewonnen. Wenn aber die Biometriedaten abgefragt werden müssen und die Ver- und Entschlüsselung auf dem Stick geschieht, dann wäre das nur unter extremen Aufwand zu knacken.
prev schrieb:
Ohne echte FIDO Unterstützung des benutzen Dienst sehe ich nicht wie das gehen soll. Sobald dein Passwortmanager freigeschaltett ist, könnte jemand mit Zugriff auf deinen PC Passwörter auslesen.
Zum Vergrößern anklicken....
Das ist klar. Wie auch ein Keylogger immer eingegebene Passwörter mitprotokollieren kann. Das lässt sich nur durch 2 Faktor Authentifizierung oder ähnliche Systeme lösen. Wenn ein Dienst das mit Fido unterstützt, würde ich es nutzen wollen, aber wenn nicht, bleibt diese Lücke nun mal bestehen. Kann ich nicht ändern, hat aber mit der Verwendung des Fido Sticks als Zugangskontrolle zum Passwortmanager erstmal nichts zu tun.
prev schrieb:
Hast du kein Masterpasswort im Firefox? Das würde auch den Zugriff von Dritten verhindern.
Zum Vergrößern anklicken....
Ist halt wieder ein Passwort, das ich eingeben muss. Ich würde ja gerne einfach nur den Fingerabdruck verwenden. Auf einem anderen Rechner müsste ich das Masterkennwort eingeben. Das wäre für mich eine akzeptable Lösung.
prev schrieb:
Aber viel wichtiger, ohne Masterpasswort liegen soweit ich weiß deine Passwörter unverschlüsselt rum.
Zum Vergrößern anklicken....
Hab ich auch erst heute von gelesen. Wer programmiert sowas :rolleyes:
prev schrieb:
Kritische Passwörter die kein OTP unterstützen evtl. teilen, einen Teil im Passwortmanager, den anderen kürzeren Teil offline auf Papier. So mache ich das. Dann bräuchte man Pappier + Zugriff auf den Tresor. Aber das ist auch kein echter Schutz, auch ein Keylogger bekommt dich so.

Und zwei Tresore verwenden, einen für tägliche Dinge, den anderen, seltener benutze für höhere Sicherheit. Ist kein 100% Schutz, aber verringert die Chance etwas.
Zum Vergrößern anklicken....
Ja, das kann man alles machen, ist halt genau das Gegenteil von komfortabel. Sicherer ist es definitiv. Leider steht das meistens im Widerspruch.
 
Dandie schrieb:
Sind einfach ein viel zu attraktives Ziel für Hacker, auch wenn sie schwer zu knacken sind, lohnt es sich einfach.
Zum Vergrößern anklicken....
Mal anders als Gedanke. Das ein Hacker deinen Tresor knackt ist vermutlich unwarscheinlicher als das du durch zu unkomplexe Passwörter oder durch wiederverwendte Passwörter gehackt wirst.

Ich denke das Risiko keinen Passwortmanager zu nutzen, trotz der schwächen die du ja nennst, halte ich für deutlich höher.
Dandie schrieb:
ch weiß nicht, ob Fido das her gibt, aber ich hatte mir vorgestellt, dass der FIdo Stick die Ver- und Entschlüsslung der Passwörter anhand der Biometriedaten vornimmt und der Passwortmanager die Passwörter nur in der verschlüsselten Form vorliegen hat. Das wäre sehr aufwändig zu knacken und würde mich quasi dazu überreden, doch einen Passwortmanager einzusetzen.
Zum Vergrößern anklicken....
Verstehe ich, aber so funktioniert das eigentlich nicht. Vielleicht hat Keepass (das normale) irgendwelche Plugins die in die Richtung gehen. https://keepass.info/plugins.html#keechl

KeepassXC hat da vielleicht doch etwas, ich habe es mir aber nicht genau durchgelesen. Scheint wohl über Windows Hello zu gehen. Windows Hello scheinst du ja schon zu nutzen. Ich würde das nie nutzen, da man einen Online Account benötigt den ich absolut nicht haben will da ich keine Lust habe aus versehen unverschlüsselt Dinge mit dem Konto zu synchronisieren, daher habe ich mich nicht weiter mit den Möglichkeiten beschäftigt. https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_quick_unlock

Ich setze lieber auf keep it simple bei Security. Aber mich stört die Passworteingabe auch nicht.


Dandie schrieb:
Was für mich auch genau der Grund war, ein solches Modell zu wählen. Wenn der Stick permanent eingesteckt ist und eine Software auf diesen ohne jegliche Interaktion durch den Nutzer zugreifen kann, dann ist ja nicht wirklich was gewonnen. Wenn aber die Biometriedaten abgefragt werden müssen und die Ver- und Entschlüsselung auf dem Stick geschieht, dann wäre das nur unter extremen Aufwand zu knacken.
Zum Vergrößern anklicken....
Überschätze Biometrie nicht. Es ist schon vielen gelungen Fingerprints aus Fotos zu erstellen und solche Systeme zu überlisten. Der Fingerabdruck ist primär die einfachere Nutzung, was ja auch ein Vorteil ist.
Dandie schrieb:
Hab ich auch erst heute von gelesen. Wer programmiert sowas :rolleyes:
Zum Vergrößern anklicken....
Mal anders. Wie sollen die Passwörter verschlüsselt werden wenn es kein Passwort gibt? :-)
Dandie schrieb:
Ja, das kann man alles machen, ist halt genau das Gegenteil von komfortabel. Sicherer ist es definitiv. Leider steht das meistens im Widerspruch.
Zum Vergrößern anklicken....

Wenn du so hohe Ansprüche an komfortabel hast, fürchte ich wirst du auf dem Mac mehr freude haben. Da kann man das System fast so haben wie du möchtest über den integrierten Passwortmanager + Mac Sicherheitshardware + Fingerprint.

Aber wie gesagt, schau dir die Links üben für Keepass/KeepassXC mal an. Vielleicht klappt das auch damit. Ich fürchte nur ohne Key wirst du dann gar nicht mehr an deine Passwörter kommen, das ist auch eine Gefahr gegen die man sich absichern muss.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Murray B.
Hatte mal was gelesen das der Fingerabdruck gar nicht so "unique" ist wie man denkt das er es ist, finde den Artikel leider nicht wieder, aber selbst FPR kann man ja häufig an sich schon überlisten.
 
Dandie schrieb:
Ich weiß nicht, ob Fido das her gibt, aber ich hatte mir vorgestellt, dass der FIdo Stick die Ver- und Entschlüsslung der Passwörter anhand der Biometriedaten vornimmt und der Passwortmanager die Passwörter nur in der verschlüsselten Form vorliegen hat.
Zum Vergrößern anklicken....
Im Grunde genommen funktioniert es meines Wissens auch so in etwa, es werden nur keine "Passwörter" gespeichert. Die Authentifizierung wird über Windows Hello durchgeführt, der Challenge Key wird im TPM gespeichert, die Identifizierung über den Stick durchgeführt.
https://www.security-insider.de/was-ist-fido2-a-893570

Nur ist das trotzdem jetzt nur für ein paar wenige Websites möglich, ansonsten braucht man trotzdem eine Software zur Kennwortverwaltung. Ich würde mich da auch aktuell noch nicht so auf FIDO versteifen, sondern wo es immer möglich ist 2FA einsetzen.
 
Zuletzt bearbeitet:
prev schrieb:
Mal anders als Gedanke. Das ein Hacker deinen Tresor knackt ist vermutlich unwarscheinlicher als das du durch zu unkomplexe Passwörter oder durch wiederverwendte Passwörter gehackt wirst.

Ich denke das Risiko keinen Passwortmanager zu nutzen, trotz der schwächen die du ja nennst, halte ich für deutlich höher.
Zum Vergrößern anklicken....
Das Problem ist halt nur, dass ein gehackter Passwortmanager bedeutet, dass jemand an alle meine Passwörter dran kommt. Ich verwende nicht nur ein Passwort für alle Logins. Ich habe verschiedene Basispasswörter, je nach "Sicherheitsgrad" und dazu noch einen seitenspezifischen Passwortteil. Natürlich hat das ein System, welches sich jemand auch erdenken kann, wenn er mehrere meiner Passwörter kennt, aber die Mühe werden sich die meisten Hacker wohl eher nicht machen. Die Skripten sich ihren Weg wohl eher durch die Welt und wählen den Weg des geringsten Widerstands (sprich: simple Passwort-Leak-Datenbanken durchgehen).

Es ist halt auch hier, wie immer, ein Kompromiss zwischen: "Ich kann mir die Passwörter merken" und "Die Passwörter sind maximal sicher". Das widerspricht sich halt irgendwo. Voll auf einen Passwortsafe zu setzen hat leider wieder den Nachteil, dass jemand mit dem Masterpasswort an alles dran kommt, selbst die wichtigsten meiner Passwörter.

Wenn ich es wiederum durch 2FA oder ähnliches absichere und möglichst komplexe Passwörter verwende, muss ich wieder aufpassen, dass ich den Authentikator bloß nicht verliere bzw. er bloß nicht kaputt geht. Außerdem bin ich überall darauf angewiesen, den Authentikator bei mir zu haben (mein Kensington ist aber nicht transportabel), sonst komme ich nicht an meine Passwörter. Kompromiss ist halt wieder: System für die Passwörter, damit man sie sich merken kann und am PC zuhause ein Passwortmanager, mit dem man sie einfach komfortabler verwenden kann.

Apropos Komfort: Da wäre halt der integrierte Passwortmanager von Firefox schön, denn der ist gut in Webseiten integriert. Kann man den denn irgendwie über Fido Stick statt Masterkennwort freischalten?
prev schrieb:
KeepassXC hat da vielleicht doch etwas, ich habe es mir aber nicht genau durchgelesen. Scheint wohl über Windows Hello zu gehen. Windows Hello scheinst du ja schon zu nutzen. Ich würde das nie nutzen, da man einen Online Account benötigt den ich absolut nicht haben will da ich keine Lust habe aus versehen unverschlüsselt Dinge mit dem Konto zu synchronisieren, daher habe ich mich nicht weiter mit den Möglichkeiten beschäftigt. https://keepassxc.org/docs/KeePassXC_GettingStarted.html#_quick_unlock

Ich setze lieber auf keep it simple bei Security. Aber mich stört die Passworteingabe auch nicht.
Zum Vergrößern anklicken....
Fingerabdruck geht halt schneller. Kennt man ja vom Smartphone. Ist schon praktisch. Gegen Windows Hello habe ich prinzipiell auch nichts, nur stört mich, dass man an das Master Passwort dann auch über das Windows Passwort dran käme. Dass dieses mal durch ein Leak rauskommt, halte ich für nicht so unwahrscheinlich und damit sollte auf gar keinen Fall der Zugang zu meinem Passwort-Safe möglich sein.

Würde es aber nur über die Biometrie gehen, dann wäre das ok für mich, denn das kann jemand von außen nicht einfach so hacken. Ich habe ja keine Sorge davor, dass mir jemand eine Pistole an die Schläfe hält und meine Passwörter will. Die mit Abstand meisten Diebstähle dieser Art finden heute online statt. Dagegen ist Biometrie ein deutlich besserer Schutz, so lange diese Daten auf dem Stick bleiben (schwierig bis unmöglich zu hacken).
prev schrieb:
Überschätze Biometrie nicht. Es ist schon vielen gelungen Fingerprints aus Fotos zu erstellen und solche Systeme zu überlisten. Der Fingerabdruck ist primär die einfachere Nutzung, was ja auch ein Vorteil ist.

Mal anders. Wie sollen die Passwörter verschlüsselt werden wenn es kein Passwort gibt? :-)
Zum Vergrößern anklicken....
Mit den Biometriedaten in Verbindung mit dem privaten Schlüssel auf dem Stick. Nur der Fingerabdruck schaltet diese frei und der Stick gibt die entschlüsselten Daten bzw. Passwörter frei. Bei der Übertragung auf diesem Weg ist natürlich weiterhin ein Hack möglich. Das liegt in der Natur einer offenen Plattform wie Windows und lässt sich nicht lösen.

Für mich ist es aber trotzdem ein großer Unterschied, ob ein Hacker nur an meine Datenbank kommen und geleakte Passwörter (bspw. mein Windows Passwort) durchforsten muss und dann alle meine Passwörter in der Hand hält, oder ob er quasi meinen Rechner ausspähen muss und genau den Moment einer Authorisierung durch mich abpassen muss, um die dort ausgetauschten Schlüssel aus dem Speicher auszulesen, um meine Datenbank auf dem Rechner zu entsperren. Das ist um welten aufwändiger und setzt schon einen Hacker voraus, der bei einem persönlich ganz konkrete Zugänge erwartet. Die Mühe dürfte sich bei mir kaum einer machen, warum auch.
prev schrieb:
Aber wie gesagt, schau dir die Links üben für Keepass/KeepassXC mal an. Vielleicht klappt das auch damit. Ich fürchte nur ohne Key wirst du dann gar nicht mehr an deine Passwörter kommen, das ist auch eine Gefahr gegen die man sich absichern muss.
Zum Vergrößern anklicken....
Ja, danke für die Links! Hab es mir angesehen. Anscheinend unterstützt KeepassXC auch einen Hardware Key als 2FA und Windows Hello statt Passwort als ersten Faktor. Wenn das so ginge, könnte ich einmal das Windows Passwort über den Key freigeben und dann den zweiten Faktor direkt vom Stick. Wenn der zweite Faktor dann auch für die Verschlüssung der Datenbank mit herangezogen würde, dann könnte ein Hacker diese nicht ohne meinen Fingerabdruck entschlüsseln, selbst unter Kenntnis meines Windows Passwort. Hätte dann zwar die etwas seltsame Vorgehensweise, zweimal den eigenen Fingerabdruck für das Öffnen von Keepass auflegen zu müssen, aber das geht immer noch schneller als ein Passwort einzugeben.

Meinst du, das würde so funktionieren?
 
Dandie schrieb:
Außerdem bin ich überall darauf angewiesen, den Authentikator bei mir zu haben (mein Kensington ist aber nicht transportabel),
Zum Vergrößern anklicken....
Ich würde einfach mal behaupten, dass die meisten schlichtweg den Authenticator von Microsoft oder Google auf ihren Smartphone haben und das meist sowieso irgendwo in der Nähe liegt.
 
Geht das mit KeepassXC, dass man als zweiten Faktor den Fingerabdruckscanner des Smartphones nutzen kann?
 
Dandie schrieb:
Meinst du, das würde so funktionieren?
Zum Vergrößern anklicken....

Kann ich nicht sagen, würde ich einfach mal probieren.

Wie gesagt, aber unbedigt für Backup sorgen. Sonst sind deine Passwörter vielleicht weg bei einem Defekt des Sticks.

Wenn nur der die Datei in falsche Hände kommt, ist man durch den langen Schlüssel des Keys vermutlich sehr gut geschützt. Wenn aber jemand deinen PC Hackt und du den Passwortmanager öffnest, kann man vermutlich schon irgendwie an deine Passwörter ran, und sei es nur per Clipboard & Keylogger.
Dandie schrieb:
Geht das mit KeepassXC, dass man als zweiten Faktor den Fingerabdruckscanner des Smartphones nutzen kann?
Zum Vergrößern anklicken....
Nein. Aber du könntest KeepassDX auf deinem Smartphone betreiben und diesen per Fingerabdruck öffnen. Hilft dir aber nicht für deinen PC
Dandie schrieb:
Das Problem ist halt nur, dass ein gehackter Passwortmanager bedeutet, dass jemand an alle meine Passwörter dran kommt.
Zum Vergrößern anklicken....
Verstehe ich. Aber wie gesagt, das Risiko durch schlecht(ere) Passwörter ist durchaus gegeben. Nicht umsonst empfehlen und nutzen eigentlich alle die sich mit IT-Security beschäftigen Passwortmanager.

Was man machen kann, ich vermute dir aber zu umständlich, einfach einen zufälligen, komplizierten Teil im Passwortmanager speichern und einen kurzen Festen, für jedes Passwort gleichen "Salt" manuell an das Passwort anhängen. 100% schützt das aber natürlich auch nicht.

Beispiel: gg§$GSg43_34fg + meinSalt oder 5hfDFLor$p + meinSalt

Bedenke aber, wenn jemand Zugriff auf deinen PC hat, ist der Klau deines Tresors nur ein Problem. Ein Keylogger kann sämtliche Passwörter abfangen die du eingibst.

Dagegen hilft wirklich nur OTP auf einem zweiten Gerät oder eben FIDO.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Drexel
Passkeys mit Google Passwortmanager
Antworten
7
Aufrufe
802
Thomrock
Thomrock
CubeID
Zigbee2MQTT network encryption key
Antworten
4
Aufrufe
441
CubeID
CubeID
T
Netzwerkaufbau Omada mit MR600 statt Gigacube
Antworten
6
Aufrufe
645
norKoeri
N
Marvolo
Bis zu 10-Jahre alte WhatsApp Backups wiederherstellen?
Antworten
19
Aufrufe
1.085
h00bi
h00bi
wordfish
Emails von diversen Adressen abrufen - macht Probleme
Antworten
5
Aufrufe
585
Dr. McCoy
Dr. McCoy
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz