FIDO2 mit Token - Wie sieht die Praxis aus?

[Moep89]

Mich interessiert das FIDO2-System sehr, weil ich doch so einige Passwörter habe und ehrlich gesagt immer fauler werde was das angeht. Mit jedem weiteren Passwort sinkt die Motivation wieder ein ordentliches auszudenken. Passwortmanager wären eine Alternative, aber den Schritt würde ich überspringen und (zumindest für einige DInge) direkt auf FIDO2 wechseln, wenn es denn geht.

Man findet leider nicht allzu viele Informationen zum tatsächlichen, praktischen Einsatz. Meist nur nachgequatschte Pressemitteilungen und allgemeine Beschreibungen (Challenge hier, Challenge da, Challenge accpeted usw.) Das verstehe ich auch, aber wie die Praxis für einen normalen Nutzer aussieht findet man eher nicht. Kann man z.B. überhaupt mit EINEM (+ Backup bei Verlust) Token/Key auskommen? Allein die fehlenden Anschlüsse machen mir Sorgen. Ich brauche USB-A für den PC, USB-C für's Handy (alternativ vmtl. NFC) und Lightning für's iPad. Eventuelle andere Geräte, die nicht meine sind und kurzfristig herhalten müssen noch nicht eingerechnet. Arbeiten die Dinger mit Adaptern problemlos oder gibt's ne Lösung komplett ohne Adapter? Eigtl. will man ja nicht neben dem Token am Schlüsselbund noch zig dämliche Adapter rumschleppen (und ggf. vergessen). Irgendwelche extra Apps will ich auch nicht. Reicht schon dass meine bescheuerte Bank meint, ich bräuchte ne App um die Kreditkarte nutzen zu können, weil ein selbst erdachtes Passwort ja plötzlich nicht mehr sicher sei.

Hat jemand das System schon praktisch im Einsatz und kann berichten? Oder weiß jemand zumindest mehr als ich über die Praxis?

 

[TrUeMaN]

Es gab in den letzten Monaten mehrere Artikel(-serien) in der c't zu dem Thema, von Test für Sticks etc. über technische Hintergründe bis zu Praxiserfahrungsberichten, meine ich.

 

[DocWindows]

Hat jemand das System schon praktisch im Einsatz und kann berichten? Oder weiß jemand zumindest mehr als ich über die Praxis?

Wenn du Windows 10 hast kannst du Windows Hello als FIDO2 Authenticator nutzen und brauchst keine separate Hardware. Kannst du natürlich trotzdem nutzen wenn du willst.

Ich habe z.B. Face Unlock an meinem Surface Tablet aktiviert (lokaler Account, kein MS Account) und kann mich zusätzlich an meinem MS Onlinekonto mit genau diesem Verfahren einloggen, genauso wie ich es lokal tu. Freundlich in die Kamera gucken statt Passwort eingeben.

Man könnte bei Windows Hello auch einen Yubikey FIDO2 Key registrieren und diesen dann anstatt der Gesichterkennung verwenden. Oder einen Fingerabdruck. Eben das was das Gerät und Windows Hello anbietet.

Beim Besuch der FIDO2-fähigen Webseite (z.B. account.microosft.com) mit einem kompatiblen Browser, escheint dann das normale Login-Fenster. Dort kann man dann wählen ob man das Passwort zum Konto eingeben will oder die FIDO2-Methode nutzen möchte. Beim Faceunlock muss man dann logischerweise in die Kamera gucken, bei Fingerabdruckmethode den Finger scannen und bei der USB-Stick Methode den Stick einstecken und eine Taste darauf drücken.

 

[Moep89]

Ich glaube ich kaufe lieber 100 Sticks als Windows Hello zu nutzen. Zumal ich auch keinen MS Account habe und will.
Mich reizt einzig die Möglichkeit eines Hardwaretokens zur Anmeldung ohne irgendwelche zusätzlichen Accounts oder Plattformen. Evtl. in Kombination integriertem Fingerabdruck oder Zur Not auch PIN. Allerdings finde ich einfach keinen Key, der alles nötige vereint. Feitian hat Keys mit Fingerabdrucksensor, aber die haben nur USB-A ODER USB-C und kein NFC oder BT. Die, die NFC und BT sowie USB-A oder USB-C haben, können gar kein FIDO2 und haben auch keinen Fingerabdrucksensor.

Gibt es noch andere Hersteller als Yubico, Feitian, Solokeys und Nitrokey? Die Letzteren zwei sind mir eigtl. sympathisch, weil sie open source sind, aber die haben nur ganz einfache Sticks ohne Fingerabdruck, BT, NFC etc. (bis auf die Solo-Tap mit NFC).

 

[DocWindows]

@Moep89 Du brauchst keinen MS-Account um Hello als FIDO2 Authenticator zu nutzen. Die Anmeldung bei account.microsoft.com war nur ein Beispiel, weil ich derzeit keine anderen FIDO2-fähigen Websites nutze. Man kann das gleiche auch bei Google enrichten.

Ich glaube ich kaufe lieber 100 Sticks als Windows Hello zu nutzen.

Hello brauchst du eh immer. Ansonsten musst du auf OTPs über Zwei-Faktor-Authentifizierung wechseln. Oder gleich das Betriebssystem.
Kannst es ja wenigstens mal ausprobieren um das Prinzip zu sehen und die Alltagstauglichkeit zu testen. Kostet 0 Euro. Und die Tokenverbindung kann man ganz einfach wieder trennen.

Was die Hardware angeht, wenn man denn ein externes Hardwaregerät haben will, werden oft Yubico und Solus empfohlen. Dann gibts noch die üblichen Chinasticks für die ich nicht einen Cent hinlegen würde. Und es gibt Zubehör für die Authenticatoren. Zum Beispiel USB-Fingerabdruckleser die dann Windows Hello nutzen kann. Bei den Preisen von teilweise unter 50 Euro frag icn mich aber auch wie gut die sein können und kauf sie lieber nicht.

Erfahrung habe ich also hier nur mit Yubico Keys und zwar mit den 4ern, 5ern und dem Security Key.
Sie tun alle zuverlässig das was sie sollen. Der Security Key ist sehr einfach und treiberlos zu nutzen, kann aber wenig. Dafür ist er sehr günstig. Die Produktmatrix auf der Yubico Seite zeigt dir welchen Stick du für deine persönliche Anforderung kaufen solltest.

Also hier nochmal kurz der Workflow für einen Yubico Security Key: Key kaufen -> Key einstecken und initialisieren -> Webseite aufrufen wo man ihn zur Anmeldung nutzen will -> Dort in den Accountsettings verknüpfen -> Fertig.

bei weiteren Webseiten muss man natürlich nicht mehr initilisieren, sondern nur noch verknüpfen.

 

[BeBur]

Wie ist das mit Backups? Ich hatte das auch Mal überlegt, aber man kann ja keinen zweiten Stick Offsite lagern solange zwischendurch noch Dienste dazu kommen und müsste doch jeden über einzeln mit jedem Dienst verknüpfen, oder nicht?

 

[DocWindows]

@BeBur Kann mir nicht vorstellen dass Backups oder identische Zweitsticks im Bereich FIDO2 möglich sind. Das Secret auf dem Key darf eigentlich nicht auslesbar sein. Das wäre ein Sicherheitsrisiko.
Ein Zweitstick müsste also als solcher zusätzlich beim Dienstanbieter verknüpft werden. Ein Kollege meinte kürzlich dass man Keys duplizieren könnte, aber das hatte er nur irgendwo nebenbei aufgeschnappt und keine weiteren Infos dazu.
Und es ist nicht so dass ein zusätzlicher Dienst auf dem Stick registriert wird, sondern der Stick beim Dienst. Also braucht man auch keine neuen Backups des Sticks wenn ein neuer Dienst dazukommt, weil sich am Stick nichts ändert.
Bei Verlust oder Beschädigung des Sticks sollte man also noch einen Passwortlogin machen können um den Fido.-Stick aus dem Account zu entfernen und/oder einen neuen zu verknüpfen.

 

[BeBur]

OK, d.h. das eignet sich für privat vor allem wirklich als comfort-Funktion und weniger als zusätzlicher Faktor.

Wäre mir persönlich zu heikel, so ein kleines Ding überall mit hin zu nehmen zusätzlich, andererseits hab ich meine Schlüssel auch noch nie verloren.

 

[snaxilian]

Praxisberichte inklusive Einrichtung und Unterschiede siehe die c't Artikel, sind auch beide in der dt. Wiki zu fido2 verlinkt. Sofern du einen Hardware-Token nutzen willst ist dieser natürlich ein Single Point of Failure. Genau dafür werden bei der Einrichtung von solchen Lösungen immer Backup Keys angezeigt mit dem deutlichen Hinweis, diese sicher aufzubewahren. Wenn du die Zeit zwischen Verlust, Neubeschaffung und Aktivierung des neuen mit den Backup-Codes verkürzen willst, hilft nur die Anschaffung von direkt zwei Keys.

FIDO2 ist noch eine relativ junge Technik und bisher haben nur wenige große Anbieter dies implementiert, daher ist es empfehlenswert bei der Wahl der Tokens darauf zu achten, dass diese nicht nur FIDO2 unterstützen sondern im besten Fall noch U2F und OTP/TOTP/HOTP, damit deckst du die größtmögliche Bandbreite ab.
Bei reinen 2FA Lösungen könnte man z.B. dem Partner/Partnerin auch gleich einen kaufen und richtet den jeweiligen Token als Backup des anderen ein.

Ergo ja: FIDO2 erleichtert vieles, da entsprechend lange und kryptografisch sichere Schlüssel erzeugt werden für die Anmeldung aber es ist keine 2FA/MFA bzw nur wenn man in Verbindung immer noch etwas wie einen Pin o.ä. eingeben kann. Du kannst es gut mit klassischen Türschlössern vergleichen. Ein handelsübliches Vorhangeschloss mit vielleicht 5-7 Stiften lässt sich in unter 30 Minuten knacken mit etwas Übung, bei Schlössern mit Schlagschlüsselschutz, Stiften oben und unten, etc ist dies komplexer. In beiden Fällen aber gleich doof wenn ich den Schlüssel an sich für das Schloss verliere oder dieser kaputt geht.

 

[Moep89]

Ein Backup-Key wäre für mich eh Pflicht. Außerdem einer, der den zweiten Faktor mit dabei hat. Deshalb entweder PIN oder noch lieber Fingerabdruck. Auch eine vollständige Abdeckung der Standards muss er haben. Ansonsten muss man ja mehrere Keys haben und DAS wäre völlig sinnlos.
Leider finde ich eben keinen passenden Key. Ich hoffe da tut sich schnell was beim Angebot.

 

[snaxilian]

Was ist denn mit dem yubikey 5 NFC? OTP, U2F und FIDO2, USB-A und NFC also die gängigsten PCs und Mobilgeräte wären abgedeckt...

 

[BeBur]

Ein Backup-Key wäre für mich eh Pflicht.

Du musst halt bei jedem neuen Dienst den Backup-Key rauskramen und manuell registrieren. ImHo kein sinnvoller Workflow.

 

[snaxilian]

Niemand hat behauptet, dass Security auch die Usability erhöht. Kannst natürlich auf Datenschutz pfeifen und überall wo möglich "login with Google/Facebook/whatever" verwenden wenn $Dienst dies anbietet, dann musst für den Dienst nix neu einrichten. Muss man halt überlegen was einem wichtiger ist: Faulheit oder Sicherheit. Oder man lebt eine Zeit mit dem Risiko und fügt den Backup Key nur alle 3 Monate bei den zwischenzeitlich hinzu gekommenen Diensten hinzu.

Hast du denn konkrete Vorschläge für einen besseren Workflow?

 

[Moep89]

Was ist denn mit dem yubikey 5 NFC? OTP, U2F und FIDO2, USB-A und NFC also die gängigsten PCs und Mobilgeräte wären abgedeckt...

Der hat zwar USB A und NFC, aber für Lightninggeräte nützt das nichts. Zumal er auch keinen Zweiten Faktor integriert hat. Im Sinne des Komforts und der Kompatibilität mit vielen Diensten sollte das aber auf jeden Fall dabei sein.

Du musst halt bei jedem neuen Dienst den Backup-Key rauskramen und manuell registrieren. ImHo kein sinnvoller Workflow.

Mag sein, aber wie oft registriert man neue Dienste? Und wenn es nichts kritisches ist (z.B. ein Forenaccount), dann kann man das Registrieren des zweiten auch gemütlich machen und das Risiko des zwischenzeitlichen Verlustes des ersten Keys gut ertragen. Zumal ja auch nicht gesagt ist, dass ein Dienst nicht für den Notfall andere Möglichkeiten zur Verifizierung anbieten kann.

 

[snaxilian]

2 Minuten Google... https://support.yubico.com/support/...9-using-your-yubikey-with-authenticator-codes
Wie gesagt: Ich sprach von den gängigsten Geräten, keine Randgruppen Hardware wobei manche iPads angeblich nen NFC haben sollen. Keine Ahnung welche, nutze ich nicht, kannst ja selbst recherchieren. Iphones haben NFC, ebenso viele Androids. Wenn du dir sowieso zwei holen willst um Verlust vorzubeugen kauf dir halt einen mit USB-A und NFC und einen zweiten mit Lightning und USB-C ...

 

[BeBur]

Muss man halt überlegen was einem wichtiger ist: Faulheit oder Sicherheit.

Ich verstehe den Tonfall nicht. Das ist doch eindeutig kein toller Workflow. Wenn nur selten neue Dienste dazu kommen wie Moep schreibt, dann ist das womöglich für einzelne akzeptabel. Aber am Ende ist das natürlich ein Backup, das manuell erstellt werden muss.
Darüber hinaus ist es ja kein "Entweder Oder", sondern ein Trade-Off. Soweit ich mich erinnere bieten die Dienste gerne Fallbacks auf (unsichere) Methoden an. Muss man sich überlegen, ob man das nutzen will und ob das weitgehend einheitlich geht (z.B. auf eine E-Mail Adresse).

Hast du denn konkrete Vorschläge für einen besseren Workflow?

Stick mit TOTP u.ä. haben den Nachteil, dass bei Diebstahl alles ausgelesen werden kann, als Ausgleich kann man Backups machen und später wieder aufspielen und (afaik) hat man dann wieder Zugriff auf alles. Wäre jdfs eine Möglichkeit. Wie gesagt, in erster Linie gibt es TradeOffs.

Ansonsten halt Master-Passwort mit Datei als zweitem Faktor. Ist ja leider nicht gewünscht, aber imHo der beste TradeOff. Vielleicht gibt es ja Apps, die komplexe Muster o.ä. statt Passwort anbieten? (Schon klar, dass das auf ein Passwort gemappt wird intern )

FIDO2 richtet sich von der Zielgruppe doch eher an (größere) Firmen oder irre ich mich da?

 

[Moep89]

2 Minuten Google... https://support.yubico.com/support/...9-using-your-yubikey-with-authenticator-codes
Wie gesagt: Ich sprach von den gängigsten Geräten, keine Randgruppen Hardware wobei manche iPads angeblich nen NFC haben sollen. Keine Ahnung welche, nutze ich nicht, kannst ja selbst recherchieren. Iphones haben NFC, ebenso viele Androids. Wenn du dir sowieso zwei holen willst um Verlust vorzubeugen kauf dir halt einen mit USB-A und NFC und einen zweiten mit Lightning und USB-C ...

Das habe ich bei Yubico direkt aus den Spezifikationen tatsächlich nicht rausgelesen. Allerdings braucht es dazu wieder eine zusätzliche App auf jedem Gerät. Das ist also ein Anfang, aber nicht wirklich komfortabel. Spätestens wenn man sich mal auf einem Gerät anmelden muss, das nicht einem selbst gehört ist Schluss.

iPads sind nun wirklich keine Randgruppenhardware sondern nach wie vor der absolute Marktführer. Platz 2 hat weniger als die Hälfte Marktanteil. Und nein, iPads haben derzeit keine NFC-Hardware verbaut.

Und zwei verschiedene Keys zu kaufen ist ziemlich unlogisch, wenn der eine als Backup dienen soll. Die Wahrscheinlichkeit, dass nur einer vom Schlüsselbund abhanden kommt ist doch äußerst gering Und wenn man mit allen Geräten arbeiten will, MUSS man immer beide dabeihaben.

Von daher denke ich, dass einfach noch keine passende Hardware auf dem Markt ist, die FIDO2 für mich sicher und komfortabel (beides im Rahmen des prinzipbedingt möglichen) ermöglichen können.

 

[snaxilian]

@BeBur Das hat nix mit Ton zu tun bzw. wenn dann interpretierst du diesen hinein. Ja, es ist ein Trade-Off bei jedem Dienst. Entweder bin ich faul und lebe mit dem Risiko ohne 2FA/MFA oder eben nicht.

Ein Dienst mit Fallback auf 1FA ist Quark, dann kann man es auch sein lassen denn was hält Dritte davon ab, diesen Fallback zu nutzen? Der Sinn von 2FA/MFA wäre damit ad absurdum geführt.

Kannst du einen Stick oder Anleitung benennen wie man TOTP Sticks auslesen kann? Selbst wenn hat ein Angreifer einen von zwei oder mehreren Faktoren und kann damit nichts anfangen da ihm ja noch der Pin/Passwort etc fehlt, das nur ich kenne. Das ist ja das Prinzip von 2FA/MFA: Etwas das ich weiß (Pin, Kennwort, etc) und etwas das ich habe (Token oder App, die OTPs generiert).

@Moep89 Ja, unter den Tablets sind iPads Marktführer korrekt. Schaue ich mir den Markt an Geräten an, wo ich so einen Token verwenden kann, also Smartphones, Tablets und PCs dann haben Tablets einen sagenumwobenen Anteil von 8% (Quelle) und wenn man sich jetzt den Marktanteil von den iPads ansieht, findet man Zahlen die von rund einem Drittel des Tabletmarkts ausgehen (Quelle). Von den PCs, Tablets und Smartphones haben iPads also einen Marktanteil von gerundet 2,7%. Gemäß dieser Quelle ist der Anteil der iPads unter den privaten Anwendern in Deutschland sogar nur bei 21%. Von den 8% Tabletmarkt blieben nach der Quelle also sogar nur 1,68% für iPads. Hmm doch, irgendwie sieht das für mich wie eine Randgruppe aus.
Theoretisch könnte man da sogar noch die iPads raus rechnen, die einen NFC Chip besitzen oder die iPad Pro, da diese ebenfalls ab 2018 ja einen USB-C Anschluss haben.

Zwei verschiedene muss nicht unbedingt unlogisch sein, verliert man den Lightning Stick kann man sich zwar nicht mehr am iPad anmelden aber immer noch auf anderen Geräten mit dem anderen Stick und diesen kann man ja zusammen mit dem iPad aufbewahren und nicht am Schlüsselbund. Selbst wenn du iPad und Lightning Yubikey verlierst kommt ja keiner an deine Accounts heran sofern du OTP verwendest.

FIDO2 ist ja "nur" eine kryptografisch sichere Anmeldemethode anstatt eines Kennworts mit dem Charme, dass der Server auch das Kennwort nicht kennt. Bei Kompromittierung des Anbieters somit kein Problem aber FIDO2 ist eben kein 2FA/MFA sofern ich nicht gerade einen massiven Denkknoten im Hirn habe aber ist ja auch schon spät. Falls doch jemand eine Quelle hat die erklärt dass FIDO2 auch 2FA/MFA mit nur einem Gerät ist immer her damit bin offen für Input.

Einen Stick mit 3 Steckern (USB-A, USB-C & Lightning) und zwei Funkstandards (NFC, Bluetooth) gibt es nicht, korrekt. Da wirst dann auch wirklich noch lange warten müssen, wahrscheinlicher ist dann eher, dass sich Apple vom Lightning verabschiedet.

 

[Moep89]

Und wenn man jetzt noch alle Geräte mit Akku als Basis nimmt dann liegen iPads bei 0,00001%
Tablets sind mittlerweile in fast jedem Haushalt (der Industrieländer) zu finden, teilweise mehrfach und parallel zu PCs und Smartphones. Gerade fürs Surfen und Shoppen werden mobile Geräte und damit auch Tablets vermehrt genutzt. Praktisch sind sie also sehr relevant, auch wenn sie in der Masse natürlich nicht mit PC und Smartphone konkurrieren.

Und nochmal, damit keine Verwirrung aufkommt: Es gibt derzeit keine iPads mit NFC Funktion. Sie besitzen zwar teilweise Chips dafür, aber es ist nicht aktiv. Lediglich in den iPhones kann man es mittlerweile halbwegs frei nutzen.

Und den Schlüssel beim Gerät aufzubewahren ist zwar vorstellbar, widerspricht aber dennoch dem Grundgedanken in Sachen Einfachheit. Das Schöne ist je gerade, dass man seinen Hardwaretoken immer dabei hat und sonst weiter nichts mehr braucht. Am Ende mehrere Token rumfliegen zu haben ist zwar sicher praktikabel, aber schön ist anders. An den Schlüsselbund denkt man meistens, aber an weitere, einzelne Schlüssel schon nicht mehr unbedingt. Kann man jetzt als "Meckern auf hohem Niveau" bezeichnen, aber wenn der Gedanke hinter dem Umstieg auf FIDO2 mit Token der ist, dass man alles stark vereinfachen und komfortabler, bei akzeptabler Sicherheit, machen will, dann ist das eben ein Knackpunkt.

Und ja, du hast wohl einen Denkknoten FIDO2 und die Keys sehen durchaus eine 2FA direkt mit dem Key vor, eben über Fingerabdruck oder PIN. Siehe z.B.: https://www.golem.de/news/fido2-und...erabdrucksensor-angekuendigt-1911-144811.html

Alle 3 Stecker sind sicher zu viel des Guten, aber zwei davon und ein kompakter Adapter sowie die Möglichkeit für einen Fingerabdruckscan sollten es sein.

 

[snaxilian]

liegen iPads bei 0,00001%

Hast du dafür auch eine Quelle oder belegbare Zahlen?

schön ist anders

Hat auch niemand behauptet. Wie BeBur es schon schrieb: Security oder "Schönheit"/Usability/Einfachheit. Am Ende ist es ein TradeOff. Noch simpler wäre wenn an sich nirgends irgendwo mehr anmelden müsste, wozu überhaupt Accounts ist doch auch unschön um es zu übertreiben.

Da dir meine Lösungsvorschläge alle nicht genehm sind, von dir aber außer Ablehnung keine konstruktiven Vorschläge kommen außer Wunschdenken bleibt dir halt nur übrig auf Mehrfaktoranmeldungen und/oder FIDO2 zu verzichten.

Es gibt ja Sticks mit 2 Steckern aber nicht die dir genehmen^^ Der Bio ist leider bisher nur angekündigt und mit welch simplen Mitteln Fingerabdrücke kopiert werden können wurden 2014 gut gezeigt vom CCC.