FIDO2 mit Token - Wie sieht die Praxis aus?

[Moep89]

Hast du dafür auch eine Quelle oder belegbare Zahlen?

Du Schelm, du

Hat auch niemand behauptet. Wie BeBur es schon schrieb: Security oder "Schönheit"/Usability/Einfachheit. Am Ende ist es ein TradeOff. Noch simpler wäre wenn an sich nirgends irgendwo mehr anmelden müsste, wozu überhaupt Accounts ist doch auch unschön um es zu übertreiben.

Da dir meine Lösungsvorschläge alle nicht genehm sind, von dir aber außer Ablehnung keine konstruktiven Vorschläge kommen außer Wunschdenken bleibt dir halt nur übrig auf Mehrfaktoranmeldungen und/oder FIDO2 zu verzichten.

Es gibt ja Sticks mit 2 Steckern aber nicht die dir genehmen^^ Der Bio ist leider bisher nur angekündigt und mit welch simplen Mitteln Fingerabdrücke kopiert werden können wurden 2014 gut gezeigt vom CCC.
[/QUOTE]

Gerade FIDO2 mit Hardware Token hat eigtl. das Potenzial Usability UND Sicherheit auf hohem Niveau zu vereinen. Bei mir scheitert es ja nicht an grundlegenden Eigenschaften, sondern lediglich am aktuellen Angebot an Keys mit den relativ hohen Anforderungen meinerseits. Prinzipiell gibt es ja auch schon Keys mit integriertem Pinfeld. Das ist zwar etwas aufwändiger als Fingerabdruck, aber maximal so sehr wie ein PW und dabei ist es schon der zweite Faktor. Andere 2FA Verfahren sind definitiv (zeit)aufwändiger. Wie sicher Fingerabdruckscanner in Zukunft sein können kann auch niemand voraussagen. Typisches Katz-und-Maus-Spiel.

Da ich nach Erfahrungen und Tipps gefragt habe, ist es etwas schwer konstruktive Vorschläge zu machen Einer wäre, vielfältigere Hardware, mit weitreichenden Anschlussmöglichkeiten auf den Markt zu bringen

Ich werde das Ganze noch einige Zeit im Blick behalten und schauen was an Keys rauskommt. Je nachdem wie sehr mich dann all die Passwörter nerven, werde ich entweder weiter warten oder irgendwann einen Kompromiss eingehen. Eventuell besorge ich auch demnächst erstmal einen Solokey Tap oder Nitrokey und teste es.

 

[snaxilian]

Es ist irrelevant wie gut Fingerabdrucksensoren werden können, vorhandene Abdrücke kopieren ist halt nach wie vor vergleichsweise simpel. Handelsübliche Digitalkamera, Bleistift, Tintendrucker, Holzleim und vielleicht ne halbe Stunde Zeit sind die Zutaten.
Bei Verwendung von Stick + biometrischen Merkmalen verwendest du halt nicht etwas was du weißt und etwas das du hast sondern zwei Dinge, die du hast. Kann man machen, muss man nicht unbedingt.

 

[Moep89]

Eine Kopie der Merkmale zu erstellen ist relativ simpel, ja. Aber dahingehend finden die Verbesserungen ja auch nicht mehr wirklich statt. Es geht eher um sekundäre Faktoren wie Körperwärme und anderes. Da hat sich schon so einiges getan bei den besseren Scannern. Er ist ja auch heute schon nicht jeder Scanner mit einer einfachen Leimkopie von jedem Deppen zu überlisten. Für einige muss die Kopie und die Handhabung schon bedeutend besser sein. Und dann muss man natürlich ehrlich sein und sich fragen, wie relevant das für den Normaluser ist. Schon die Tatsache, dass man Accounts nicht mehr abfischen bzw. durch "bequeme Hacks von zu Hause aus" kapern kann macht den absoluten Großteil dieser Operationen sinnlos, weil nicht mehr lukrativ. Die Einfachheit und die Masse machen's und beides sinkt massiv durch Hardwaretoken, auch mit Fingerabdrucksensor.
Bei gezielten Angriffen auf einzelne Ziele liegen die Anforderungen an Sicherheitsvorkehrungen immer bedeutend höher, aber die sind eben auch nur ein winziger Bruchteil der Gesamtmenge.
Daher würde selbst die Verwendung von Sticks mit integriertem Fingerabdrucksensor durch die große Masse der normalen Nutzer die Zahl der gekaperten Accounts auf einen Bruchteil reduzieren. Für jedes potenzielle Opfer Hardwaretoken stehlen und Fingerabdruck kopieren sind dann doch "etwas" größere Hürden als eine Fishingmail zu schreiben oder eine Sicherheitslücke auszunutzen.

Dennoch ist der Einwand, dass Stick + Fingerabdruck praktisch doch irgendwie zwei Besitzmerkmale sind (auch wenn der Abdruck offiziell natürlich zur Kategorie Inhärenz zählt) irgendwie korrekt. Besitz + Wissen wäre auch in meinen Augen sicherer. Aber da kommt dann wieder die Überlegung aus meinem ersten Textabschnitt zum Tragen. Wenn es allerdings irgendwann gute Sticks mit integriertem Keypad gibt, würde ich die langfristig auch vorziehen.

 

[BlackPanther87]

Besitz + Wissen wäre auch in meinen Augen sicherer. Aber da kommt dann wieder die Überlegung aus meinem ersten Textabschnitt zum Tragen. Wenn es allerdings irgendwann gute Sticks mit integriertem Keypad gibt, würde ich die langfristig auch vorziehen.

Nur weil es irgendwie noch gar nicht aufgetaucht ist: Ein hardwareverschlüsselter USB mit Keypad und kombinierter Nutzung eines Passwort-Managers ist keine Alternative? Ich habe hier zum Beispiel einen Istorage Datashur Pro (1.Gen). Die 2te Gen ist relativ neu. Ordentliche Sticks hier sind nicht billig, aber irgendwas ist ja immer. Auch recht klobig bauartbedingt. Aktuell am Telefon, daher Antwort begrenzt.