Was genau ist bei FIDO der zweite Faktor? (insb. bei Passwordless)

[DenB]

Hallo,

in meiner Firma sollen wir von der IT uns jetzt mit Multi-Faktor-Authentifizierung (MFA) beschäftigen. Ich habe immer so am Rande mitbekommen, dass FIDO 2 hier das Nonplusultra sein soll. Und Microsoft selbst sagt, dass passwordless das Beste sein soll.

Also wie ich das verstanden habe, ist FIDO ja ein Hardwaretoken mit priv. Schlüssel und öffentlichem Schlüssel im AAD hinterlegt.
Und irgendwo am Rande habe ich auch mal mitbekommen, das soll sogar so toll sein, dass wenn das über Funk läuft, die Leute z.B. weggehen können vom PC und er gesperrt wird und wenn sie wiederkommen er wieder entsperrt wird?

Aber was ist denn der zweite Faktor bei so einem Token?


(Ähnliche Frage am Rande, aber etwas OT):
Ähnliche Fragen stelle ich mir z.B. bei Windows Hello for Business, das Microsoft einem ja geradezu aufdrängt, wo das Passwort durch eine PIN ersetzt wird. Wieso hält MS den PIN für soviel sicherer?

 

[Tornhoof]

Da vermischt du viel.
FIDO ist erstmal nur eine Industriegruppierung, die Spezifikationen entwickelt. Der aktuell bekannteste ist davon FIDO 2.0, der simpel gesagt eine Kombination aus WebAuthN vom W3C und CTAP(2) ist.
Also effektiv eine Beschreibung wie eine Webseite einen externen kryptgraphischen Authenticator benutzen kann um Entscheidungen zu treffen.

Passwordless hat erstmal nichts mit Faktoren, im Sinne von 2FA zu tun, sondern primär mit Public/Private Key Crypto die statt Passwörtern eingesetzt werden.

Du kannst natürlich multiple Passwordless Konzepte kombinieren, das wären dann multiple Faktoren (MFA).

 

[Nilson]

Wieso hält MS den PIN für soviel sicherer?

Nach ein paar Fehlversuchen (5?) kommt wieder die Passworteingabe.
Die Idee dahinter ist, dass sich die Leute dann längere und bessere Passwörter aussuchen, da die nicht mehr so oft eingegeben werden müssen.
Hat ein Angreifer also keinen (physikalischen) Zugriff auf das Gerät, hat er es schwerer, während bei direktem Zugriff der Schutz immer noch ausreichend genug ist.

 

[Rubbiator]

Weil die PIN an ein spezielles Gerät gekoppelt ist und entsprechende Mechanismen eingestellt werden können bei mehrmaliger falscher Angabe. Sollte also jemand deinen PIN kennen kann er sich trotzdem von keinem anderen PC aus damit anmelden. Damit sind hier die Faktoren: Wissen und Besitz. Du weißt etwas (deine PIN) und du besitzt etwas (Deinen PC)
Dies erfüllt auch nicht wirklich meine Anforderungen an MFA und ist eher Marketing Gebluber von Microsoft aber so veruschen sie es einem als MFA zu verkaufen.

Was die FIDO Sticks angeht ist es hier auch, der priv. Schlüssel, der mit einer PIN geschützt ist, die im Idealfall wieder nur du kennst. Es gibt bestimmt FIDO Sticks, die die von dir beschriebenen Funktionalitäten aufweisen, dafür bin ich nicht tief genug im Stick Markt drin, um das beantworten zu können. Also auch hier der zweite Faktor wieder Besitz, aber deutlich sicherer als bei Windows Hello, da du den Stick immer an dir tragen kannst, deinen PC aber eher nicht. Dann gibt es auch die Möglichkeit Biometrie zu verwenden, dann hättest du sogar 3 Faktoren, weswegen das Passwort an der Stelle dann unwesentlich wird.

 

[Tornhoof]

Wieso hält MS den PIN für soviel sicherer?

Weil das nur in Kombination mit einem TPM funktioniert, das ja direkt an deine Hardware gebunden ist.
wenn dich details interessieren, schau dir https://learn.microsoft.com/en-us/w...usiness/hello-why-pin-is-better-than-password an.

 

[DenB]

schau dir https://learn.microsoft.com/en-us/w...usiness/hello-why-pin-is-better-than-password an.

Ich lese mal rein. Danke